La presente información sobre protección de datos está disponible en varios idiomas. La versión alemana es la única versión autorizada y jurídicamente vinculante. Las demás versiones lingüísticas se facilitan únicamente a título informativo.
finAPI GmbH (en lo sucesivo, «finAPI»), Adams-Lehmann-Straße 44, D-80797 Múnich (AG München, HRB
175250), correo electrónico: kontakt@finapi.io.
El delegado de protección de datos de finAPI puede ser contactado en la dirección indicada (a la atención del
Departamento de Protección de Datos) o
por correo electrónico en datenschutz@finapi.io.
a) finAPI es una entidad de pago supervisada por la Autoridad Federal de Supervisión Financiera alemana (BaFin)
que presta servicios de información sobre cuentas y servicios de iniciación de pagos.
Mediante el servicio de información sobre cuentas, proporcionamos —a través de su proveedor de servicios (p.
ej., comerciante en línea,
banco prestamista, plataforma de gestión financiera, proveedor de evaluaciones de solvencia)— un servicio que le
permite
recuperar su información de cuenta, prepararla en su caso según el servicio solicitado
(p. ej., categorización de datos como determinación de ingresos, costes de alquiler, número de devoluciones) y
ponerla a disposición de su proveedor de servicios. Para ello, usted inicia sesión en su banca en línea a través
de nuestra interfaz web
o de la interfaz web de su banco. finAPI recupera entonces su información de cuenta
de su banco y transmite al proveedor que haya seleccionado la información de cuenta
necesaria para la prestación correspondiente.
Con el servicio de iniciación de pagos le permitimos iniciar órdenes y operaciones de pago con su
proveedor de cuentas. Antes de la presentación, puede verificarse su límite disponible.
Para prestar los servicios de información sobre cuentas y de iniciación de pagos es necesario tratar sus datos
personales.
La finalidad del tratamiento es, ante todo, el cumplimiento de nuestras obligaciones contractuales
frente a usted como usuario final o interesado, así como frente a nuestros clientes (su proveedor de servicios).
b) Como entidad de pago, finAPI está sujeta a requisitos de supervisión específicos y a obligaciones regulatorias como la prevención, detección y constatación de fraudes o la prevención de la financiación del terrorismo. Cuando utiliza los servicios de información sobre cuentas y de iniciación de pagos de finAPI, sus datos personales también pueden ser tratados por nosotros para el cumplimiento de dichas obligaciones legales.
c) En el marco de las operaciones de pago y para aumentar la seguridad de sus transacciones, realizamos una verificación del beneficiario (= Verification of Payee – VOP conforme al Reglamento (UE) 2024/886 sobre pagos instantáneos). El nombre y el IBAN del beneficiario se comparan automáticamente con los datos conservados en el banco del beneficiario. Esto se aplica a transferencias SEPA y a transferencias SEPA instantáneas dentro de la UE/EEE; quedan excluidas otras cuentas que no sean cuentas de pago (p. ej., cuentas de ahorro). Los clientes corporativos (empresas), como ordenantes, pueden excluir voluntariamente la verificación del beneficiario para órdenes de pago en lote. El tratamiento de estos datos tiene como única finalidad posibilitar la asignación y verificación del beneficiario conforme a las disposiciones de seguridad aplicables a los servicios de pago.
d) La garantía de la seguridad y la operativa de TI puede, en determinadas circunstancias, requerir también el tratamiento de sus datos personales. Además, tratamos los datos recuperados en la medida permitida por la ley y necesaria en cada caso, para fines internos. Esto incluye el tratamiento para el aseguramiento de la calidad (p. ej., la realización de evaluaciones y análisis de nuestros servicios), para mejorar y ampliar nuestros servicios (como el entrenamiento de la categorización de movimientos de cuenta) y las actividades de investigación y desarrollo relacionadas de finAPI o de las empresas vinculadas. Asimismo, podemos tratar sus datos personales, en su caso, para la gestión de cobros propia o para la publicidad directa de nuestros propios servicios. Si se pone en contacto con nosotros, p. ej., por correo electrónico, tratamos los datos que nos proporcione a efectos de tramitar la consulta y de una posible correspondencia posterior. Siempre que sea posible, anonimizamos o seudonimizamos sus datos.
e) Los servicios de finAPI también están disponibles para cuentas del Reino Unido (en lo sucesivo, «cuentas UK»). La conexión de las cuentas UK se realiza a través del socio token.io Ltd. (en lo sucesivo, «socio token»), que dispone de autorización de las autoridades financieras del Reino Unido para la prestación de servicios financieros (servicios de información sobre cuentas y servicios de iniciación de pagos). A través de su proveedor de servicios, será dirigido a una interfaz web de finAPI que utiliza en segundo plano los servicios de token. Para utilizar los servicios deseados, será redirigido al sitio web del banco correspondiente para iniciar sesión en la banca en línea respectiva.
f) El socio token recupera la información de cuenta requerida de su banco, la remite a finAPI
para su ulterior tratamiento acordado (p. ej., categorización) y pone a disposición de su proveedor de servicios
los datos
necesarios para el servicio.
Con el servicio de iniciación de pagos le permitimos iniciar órdenes y operaciones de pago con su
proveedor de cuentas en el Reino Unido a través del socio token. A tal fin, remitimos los datos que usted nos
proporciona
a nuestro socio token para la iniciación del pago.
Para más información sobre el tratamiento de datos con token, consulte la sección 3 de la
presente información sobre protección de datos.
g) Puede ser necesario tratar sus datos personales si su proveedor de servicios se pone en contacto con nosotros en caso de problemas técnicos o cuestiones relacionadas con nuestro servicio. Solo se tratarán los datos personales necesarios para esclarecer los hechos.
h) Si usted, como usuario final, se pone en contacto con nosotros, sus datos se tratarán exclusivamente para comunicarnos con usted. Esto también se aplica si, como consumidor, desea ejercer sus derechos como interesado conforme al RGPD (véase la sección 4).
i) Si utiliza nuestros servicios para pagar sus compras en línea, sus datos personales pueden ser tratados, en casos individuales y con ocasión de auditorías por parte de nuestro proveedor. Ello tiene por objeto verificar la exactitud de la liquidación de comisiones de pago. Siempre que sea posible, anonimizamos los datos personales.
j) Sus datos personales también se comunicarán a autoridades o instituciones cuando exista una obligación legal para ello, o a terceros seleccionados (p. ej., en caso de asesoramiento jurídico).
Tratamos datos personales sobre la base de las leyes de protección de datos aplicables, en particular
del Reglamento General de Protección de Datos (RGPD) y de la nueva Ley Federal alemana de Protección de Datos
(BDSGneu), así como
de conformidad con las disposiciones de la Ley alemana de Supervisión de los Servicios de Pago (ZAG).
Tratamos datos personales sobre la base del art. 6, ap. 1, letra b) del RGPD y del § 59, ap. 2 de la ZAG
para llevar a cabo medidas precontractuales y cumplir las obligaciones contractuales de finAPI para con
nuestros clientes (su proveedor de servicios) y para con usted como usuario final o interesado. Encontrará
detalles
en nuestras Condiciones de Uso que rigen su uso de nuestros servicios de información sobre cuentas y
de iniciación de pagos.
Además, tratamos sus datos, en la medida estrictamente necesaria, con base en el art. 6, ap. 1,
letra c) del RGPD para cumplir obligaciones legales, en particular de supervisión. Conforme al art. 6, ap. 1,
letra f) del RGPD, podemos tratar sus datos personales cuando el tratamiento sea necesario para la satisfacción
de intereses legítimos
perseguidos por finAPI o por un tercero, siempre que no prevalezcan sus intereses o derechos y libertades
fundamentales
que requieran la protección de datos personales. Los datos personales solo se tratan
cuando, tras la ponderación de intereses, ello sea admisible. El interés legítimo deriva de las finalidades
indicadas en la sección 3.1 y puede ser también de naturaleza económica.
La información de cuenta que se pondrá a disposición de su proveedor de servicios puede, en su caso, contener
categorías especiales de datos personales (véase el art. 9, ap. 1 del RGPD). Esto puede incluir información
sobre
su origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas,
afiliación sindical, datos de salud o datos relativos a la vida sexual o a la orientación sexual.
Por ejemplo, podrían extraerse inferencias a partir de conceptos de pago o beneficiarios.
La licitud del tratamiento de dichos datos para la prestación del servicio se acuerda entre usted y
su proveedor de servicios.
Usted no está obligado a facilitarnos datos personales. No obstante, sin sus datos no podemos ejecutar
la relación contractual ni prestar los servicios pactados.
Tratamos sus datos personales en el contexto de los servicios de información sobre cuentas y de iniciación de pagos. Los datos personales generados a tal efecto proceden de entidades de crédito y financieras, emisores de tarjetas y otros proveedores de datos financieros, a los que solo se accede con su consentimiento y después de que usted haya iniciado sesión en su banca en línea a través de nuestra aplicación finAPI o, para cuentas UK, a través del socio token. La procedencia de los datos puede variar según el servicio utilizado. Dado que el acceso a las cuentas siempre requiere su consentimiento, usted conoce las cuentas habilitadas para el acceso por finAPI y los datos personales que contienen. Sus datos personales también pueden llegarnos a través de su proveedor de servicios (p. ej., en caso de problemas técnicos) o directamente de usted (p. ej., a partir de su consulta por correo electrónico).
Tratamos sus datos personales en Alemania o en la UE; consulte la sección 3.6 para obtener más información.
a) Los destinatarios para las finalidades indicadas en la sección 3.1 a) son clientes de finAPI situados en el Espacio Económico Europeo y en Suiza, así como, en su caso, en otros terceros países (siempre que exista una decisión de adecuación correspondiente de la Comisión Europea para dichos países o se hayan acordado cláusulas contractuales tipo, que pueden consultarse en https://www.finapi.io/datenschutz-dsgvo/) (es decir, el proveedor que usted haya elegido). Otros destinatarios para las finalidades indicadas en la sección 3.1 b) pueden incluir encargados externos del tratamiento de finAPI conforme al art. 28 del RGPD, así como unidades externas e internas de finAPI. Además, para las finalidades indicadas en la sección 3.1 b), finAPI puede comunicar datos de clientes a terceros en la medida necesaria y legalmente admisible (p. ej., proveedores externos como prestadores de servicios de TI, operadores de aplicaciones para usuarios finales basadas en servicios de finAPI, empresas vinculadas o socios comerciales, así como entidades tenedoras de cuentas). Los datos de acceso sensibles que permiten el acceso a la información de cuenta en sus proveedores de cuentas son comunicados por finAPI exclusivamente a la entidad tenedora de la cuenta correspondiente, y no a terceros. finAPI también está sujeta a las facultades legales de intervención de las autoridades públicas.
b) Tratamos sus datos personales en centros de datos situados en Alemania o en la UE mediante alojamiento de
Amazon Web Services. El proveedor de servicios de Amazon Web Services es Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Luxemburgo. Hemos suscrito con el proveedor un contrato de encargo de tratamiento
conforme al art. 28 del RGPD.
El proveedor tiene su sede en Estados Unidos, por lo que, en casos excepcionales, puede producirse una
transferencia de datos entre
Amazon Web Services EMEA SARL y su sociedad matriz. Para el tratamiento utilizamos un sistema de cifrado
multicapa.
Los datos personales nunca son accesibles en forma no cifrada en los servidores de AWS y no pueden ser
consultados ni por AWS ni por otros terceros
(incluida la sociedad matriz estadounidense). El cifrado se realiza conforme al estado actual de la técnica y
cumple los requisitos
del RGPD.
Puede encontrar más información sobre los datos tratados mediante el uso de Amazon Web Services (AWS) en la
política de privacidad: https://aws.amazon.com/de/privacy/.
c) Para la conexión de algunas cuentas bancarias de la UE, tratamos los datos a través de token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlín. Para la conexión de cuentas UK, utilizamos
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Inglaterra, cuyo tratamiento de datos se realiza
contractualmente
en la UE. Hemos suscrito con el proveedor un contrato de encargo de tratamiento conforme al art. 28 del RGPD.
En casos excepcionales, puede producirse una transferencia de datos entre token GmbH y token.io Ltd. con la
empresa vinculada
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, EE. UU. Para toda posible
transferencia,
se han suscrito cláusulas contractuales tipo entre token GmbH, token.io Ltd. y token Inc. como garantías
adecuadas
conforme al art. 46, ap. 1 y ap. 2, letra c) del RGPD. Más información sobre la protección de datos del socio
token: https://token.io/policies/privacy-policy
d) Nuestros servicios GiroIdent Plus, GiroIdent Protección de Menores y GiroIdent GwG ofrecen una verificación adicional del nombre, la dirección y la fecha de nacimiento; en el caso de GiroIdent GwG, también del IBAN. Para ello, utilizamos una comparación con la base de datos de SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG es una agencia de información crediticia fiable y segura. Solo se transmiten al proveedor los datos personales necesarios para el servicio. Más información sobre la protección de datos del proveedor SCHUFA: https://www.meineschufa.de/de/datenschutzhinweis.
e) Para ofrecer asistencia rápida y eficaz en caso de problemas técnicos o consultas, utilizamos, en la
tramitación,
nuestro sistema de tickets, una solución de software de Zendesk, 989 Market St, San Francisco, CA 94103,
EE. UU. En cuanto su proveedor de servicios contacte con nuestro soporte, se abre automáticamente un ticket.
Hemos acordado contractualmente con el proveedor que el tratamiento de datos personales se realice
exclusivamente en la UE.
Para cualquier posible transferencia de datos a Estados Unidos, Zendesk utiliza cláusulas contractuales tipo
que, como garantías adecuadas conforme al
art. 46, ap. 1 y ap. 2, letra c), cumplen los requisitos de protección de datos. Hemos suscrito con el proveedor
un contrato de encargo de tratamiento
conforme al art. 28 del RGPD.
Más información sobre la protección de datos de Zendesk: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
En caso de preguntas técnicas o incidencias en las interfaces FinTS de los bancos, que obtenemos a través de B+S
Banksysteme
Aktiengesellschaft, contactamos con el servicio de atención al cliente de B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 Múnich, o B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a, A-5020
Salzburgo). El cliente, es decir, su proveedor de servicios, recibe a través del sistema de tickets de Zendesk
la información si
fue necesario un tratamiento adicional a través de B+S. Hemos suscrito con el proveedor
un contrato de encargo de tratamiento conforme al art. 28 del RGPD. Más información sobre la protección de datos
de
B+S Banksysteme Aktiengesellschaft: https://bs-ag.com/wir-uber-uns/datenschutz/
Solo conservamos los datos personales durante un período determinado. El criterio decisivo para fijar este período es la necesidad. Por tanto, los datos personales se conservan y tratan durante el tiempo necesario para las finalidades respectivas. Debe tenerse en cuenta que la relación comercial con usted puede ser a largo plazo y que finAPI trata datos al menos hasta la finalización de dicha relación contractual. Además, pueden aplicarse obligaciones de conservación, documentación e información de carácter mercantil, fiscal y de supervisión, que vinculan a finAPI. Tales plazos suelen ser de hasta diez años. Asimismo, el tratamiento puede ser necesario durante más tiempo, por ejemplo con fines de control de la protección de datos, copia de seguridad y defensa jurídica. Cuando los datos ya no sean necesarios para las finalidades del tratamiento, se suprimirán.
Los servicios de información sobre cuentas y de iniciación de pagos relativos a cuentas UK se prestan a través
del socio token
(véase la sección 3.1 c) de la presente información), ya que este dispone de la autorización necesaria de las
autoridades británicas.
Para el acceso a cuentas y la recuperación de información de cuenta, así como para los servicios de iniciación
de pagos, token.io Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Inglaterra, es el responsable del tratamiento a efectos del RGPD;
se aplican las condiciones generales del socio token
(se facilitan más detalles en las Condiciones de Uso).
finAPI realiza las actividades de proporcionar la interfaz web o redirigir a
la interfaz web de su banco (para iniciar sesión en la banca en línea para cuentas UK), así como recibir la
información de cuenta recuperada, como encargado del tratamiento conforme al RGPD. A tal efecto,
existe un contrato de encargo de tratamiento entre el socio token y finAPI.
El tratamiento ulterior de la información de cuenta (p. ej., categorización) en relación con cuentas UK lo lleva
a cabo
finAPI como responsable del tratamiento conforme al RGPD. El tratamiento de datos descrito en la sección 2
se aplica análogamente en esta sección.
En este contexto, puede ser necesaria una transferencia de datos de finAPI al socio token, por ejemplo,
en cuestiones de soporte. Tales transferencias se realizan en su propio interés conforme al art. 6, ap. 1, letra
b) del RGPD. Existe una decisión de adecuación de la UE para el Reino Unido, por lo que
cualquier transferencia a dicho país ofrece el mismo nivel de protección de datos que en la UE.
Más información sobre la protección de datos del socio token: https://token.io/policies/privacy-policy
En los casos en que finAPI actúa como responsable del tratamiento, usted tiene derecho de acceso conforme al
art. 15
del RGPD, derecho de rectificación conforme al art. 16 del RGPD, derecho de supresión conforme al art. 17 del
RGPD, derecho
a la limitación del tratamiento conforme al art. 18 del RGPD y derecho a la portabilidad de los datos conforme
al art. 20
del RGPD. Puede ejercer estos derechos en cualquier momento contactando con finAPI (datos de contacto en la
sección
1). Asimismo, puede dirigirse a una autoridad de control. La autoridad de control competente para finAPI
es la Oficina Estatal de Supervisión de Protección de Datos de Baviera (Bayerisches Landesamt für
Datenschutzaufsicht).
Puede revocar en cualquier momento los consentimientos otorgados a finAPI, con efectos para el futuro. Esto
también se aplica a
los consentimientos otorgados antes de la entrada en vigor del RGPD. La revocación no afecta
a la licitud del tratamiento realizado sobre la base del consentimiento antes de su revocación.
Estamos obligados a informarle de que, conforme al art. 21, ap. 1 del RGPD, puede oponerse al tratamiento de datos basado en el art. 6, ap. 1, letras e) y f) del RGPD por motivos relacionados con su situación particular. Puede oponerse en cualquier momento, total o parcialmente, al uso de sus datos personales con fines de marketing conforme al art. 21, ap. 2 del RGPD. La oposición puede formularse de forma informal y debe dirigirse a finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Múnich.
Si así lo requiere su proveedor de servicios, tras un acceso a la cuenta iniciado por usted,
la información de su cuenta de banca en línea puede tratarse mediante nuestra aplicación mediante procesamiento
automatizado
(categorización) y transmitirse a su proveedor de servicios, lo que permite extraer conclusiones sobre su
situación personal y económica (p. ej., ingresos medios, alquiler, obligaciones crediticias,
número de devoluciones). El procesamiento automatizado también puede llevarse a cabo, para los servicios
designados, a través de
nuestros sistemas que utilizan algoritmos de inteligencia artificial. Estos sistemas están
implementados dentro de la arquitectura de finAPI; es decir, no se transfieren datos a terceros y, en
particular, no a
proveedores de inteligencia artificial.
No tomamos ninguna decisión respecto a una posible contratación de producto que usted desee (p. ej.,
concesión de un préstamo). Esto corresponde exclusivamente a su proveedor de servicios. Su proveedor le
informará
sobre cualquier elaboración de perfiles y toma de decisiones automatizada que tenga lugar en su ámbito.