El siguiente texto es una traducción del alemán. En caso de contradicción entre las versiones lingüísticas, prevalecerá la versión alemana.

finAPI l'API bancaria intelligente

Información sobre la protección de datos de finAPI GmbH para los servicios de información de cuenta e iniciación de pagos
Situación: junio 2021

1. Nombre y datos de contacto de la instancia responsable y datos de contacto del delegado de protección de datos de la empresa

finAPI GmbH (en lo sucesivo, "finAPI"), Adams-Lehmann-Straße 44, D-80797 Múnich (AG Múnich, HRB 175250), correo electrónico: kontakt@finapi.io.
Puede ponerse en contacto con el delegado de protección de datos de finAPI en la dirección arriba indicada, a la atención del Departamento de Protección de Datos, o puede ponerse en contacto por correo electrónico a través de la dirección datenschutz@finapi.io.

2. Tratamiento de datos por parte de finAPI GmbH

2.1 Finalidad del tratamiento de datos e intereses legítimos perseguidos por finAPI o un tercero

a) finAPI es una entidad de pago supervisada por la Agencia Federal de Supervisión de Servicios Financieros alemana (BaFin).
El servicio de información de cuenta que le ofrecemos le permite consultar la información de su cuenta, procesarla, si es necesario, en función del servicio que desee (por ejemplo, categorización de datos, como determinación de ingresos, gastos de alquiler, número de notas de débito devueltas) y, a continuación, ponerla a disposición de su proveedor (por ejemplo, comercio en línea, banco prestamista, plataforma de gestión financiera, proveedor de servicios de evaluación de solvencia). Para ello, inicie sesión en su servicio de banca en línea a través de nuestra interfaz web. Acto seguido, finAPI consulta la información de su cuenta en su banco y transmite al proveedor que haya seleccionado la información de la cuenta necesaria para la prestación del servicio correspondiente.

Con el servicio de iniciación de pagos, le permitimos iniciar órdenes de pago y operaciones de pago con el proveedor de su cuenta. Antes de enviar la solicitud, es posible comprobar su límite de disposición.

La prestación de los servicios de información sobre cuentas e iniciación de pagos requiere el tratamiento de sus datos personales. Por lo tanto, la finalidad del tratamiento es, en primer lugar, el cumplimiento de nuestras obligaciones contractuales frente a usted en su condición de usuario final o parte interesada, así como frente a nuestros clientes (su proveedor).

b) Como entidad de pago, finAPI está sujeta a requerimientos especiales de supervisión y obligaciones reglamentarias, como la prevención, investigación y detección del fraude o la prevención de la financiación del terrorismo. Si utiliza los servicios de información sobre cuentas e iniciación de pagos de finAPI, es posible que también tratemos sus datos personales para cumplir dichas obligaciones legales. Asimismo, el tratamiento de sus datos personales puede ser necesario para garantizar la seguridad y las operaciones informáticas. Adicionalmente, tratamos los datos consultados en la medida en que lo permita la ley y que sea necesario en cada caso para fines internos. Esto incluye el tratamiento con fines de control de calidad (por ejemplo, la realización de evaluaciones y análisis de nuestros servicios), para mejorar y ampliar nuestros servicios (como aprender a categorizar los movimientos de la cuenta) y las actividades de investigación y desarrollo de finAPI relacionadas con ello. Adicionalmente, podemos tratar sus datos personales para nuestra propia gestión de cobros o para la mercadotecnia directa en relación con nuestros propios servicios. Si se pone en contacto con nosotros, por ejemplo, por correo electrónico, tratamos los datos que nos transmite con el fin de procesar la consulta y para la posible correspondencia subsiguiente. Siempre que sea posible, anonimizamos o seudonimizamos sus datos.

2.2 Base jurídica del tratamiento de datos

Tratamos datos personales sobre la base de las normas sobre protección de datos pertinentes, en particular, las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Federal alemana de Protección de Datos (BDSG, por sus siglas en alemán), y de conformidad con las disposiciones de la Ley relativa a la Supervisión de los Servicios de Pago (ZAG, por sus siglas en alemán).
Los datos personales son tratados por nosotros con base en el art. 6, apartado 1, letra b) RGPD y art. 59, apartado 2 ZAG, para la ejecución de medidas precontractuales, para el cumplimiento de las obligaciones contractuales de finAPI frente a nuestros clientes (su proveedor) y frente a usted en su condición de usuario final o parte interesada. Encontrará información detallada al respecto en nuestro Acuerdo de uso, que se aplica al por su parte de nuestros servicios de información sobre cuentas e iniciación de pagos.
Además, tratamos sus datos en la medida estrictamente necesaria sobre la base del art. 6, apartado 1, letra c) RGPD para cumplir obligaciones jurídicas, en particular, obligaciones de supervisión. De conformidad con el art. 6, apartado 1, letra f) RGPD, podemos tratar sus datos personales en la medida en que el procesamiento sea necesario para salvaguardar los intereses legítimos de finAPI o de un tercero y siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales de la persona interesada que requieran la protección de los datos personales. Los datos personales solo se procesan si esto está permitido tras sopesar todos los intereses. A este respecto, el interés legítimo en el tratamiento se deriva de los fines respectivos de conformidad con el punto 2.1 y también puede ser de naturaleza económica.

La información de la cuenta que se debe facilitar a su proveedor puede contener categorías especiales de datos personales (véase art. 9, apartado 1 RGPD) Esto puede incluir información sobre su origen racial y étnico, opiniones políticas, creencias religiosas o ideológicas, afiliación sindical, datos médicos o datos sobre su vida sexual u orientación sexual. Por ejemplo, podrían extraerse conclusiones a partir de la finalidad de las transferencias o de los destinatarios de estas. Usted acuerda con su proveedor la licitud del tratamiento de dichos datos para la prestación del servicio.

No tiene obligación de facilitarnos datos personales. Sin embargo, sin sus datos no nos es posible el cumplimiento de la relación contractual y, por tanto, la prestación de los servicios acordados contractualmente.

2.3 Origen de los datos

Tratamos sus datos personales en el marco de los servicios de información sobre cuentas o de iniciación de pagos. Los datos personales obtenidos en este proceso proceden de las entidades de crédito y servicios financieros, empresas de tarjetas de crédito y otros proveedores de datos financieros, a los que se accede exclusivamente con su consentimiento y tras haber iniciado sesión en su servicio de banca online en nuestra aplicación finAPI. Por tanto, el origen de los datos puede variar en función del servicio utilizado. Dado que el acceso a las cuentas siempre requiere su consentimiento, usted tiene conocimiento de las cuentas cuyo acceso por parte de finAPI ha sido aprobado y de los datos personales que estas contienen.

2.4 Categorías de datos personales que pueden tratarse

• Datos personales (por ejemplo, datos de referencia de la cuenta, apellidos, nombre, fecha de nacimiento, dirección, sexo)
• Datos de contacto (por ejemplo, números de teléfono, números de teléfono móvil, direcciones de correo electrónico)
• Información actual e histórica de las cuentas (por ejemplo, saldos, transacciones, beneficiarios de pagos, límites de disposición o descubierto, órdenes permanentes de pago, transferencias programadas)
• Datos de acceso o de inicio de sesión a sus proveedores de cuentas (por ejemplo, identificadores de usuario, PIN o contraseña) | Nuestros servicios se basan en las funcionalidades de su servicio de banca en línea. Por lo tanto, necesitamos acceder a su cuenta en línea. Para ello, se solicitan los datos de acceso al servicio de banca en línea asociados a su cuenta y se transmiten a su banco a través de nuestros sistemas mediante un procedimiento cifrado. En el caso de algunos bancos, utilizamos para ello interfaces estándar especiales de su banco (por ejemplo, FinTS o una interfaz específica para proveedores de servicios externos). Con otros bancos, el acceso se realiza a través de la interfaz de usuario de su servicio banca en línea, como si accediera a ella usted mismo. Los datos de acceso sólo se utilizan para establecer la conexión con su servicio de banca en línea y solo se almacenan en finAPI si usted ha consentido activamente su almacenamiento. La transmisión a nosotros y a su banco se realiza a través de una conexión cifrada que cumple los estándares bancarios.
• Datos procesados electrónicamente y agrupados en diversas categorías (por ejemplo, ingreso medio, alquiler, obligaciones crediticias, número de notas de débito devueltas).
• Datos personales específicos descritos en el punto 2.2.
• Datos de registro (archivos de registro), como la fecha y hora de acceso, la dirección IP (si lo solicita su banco), el tipo y la versión del navegador, el sistema operativo utilizado, las páginas a las que se ha accedido y las operaciones en el servicio de banca en línea.

2.5 Categorías de destinatarios de los datos personales

Los destinatarios para los fines mencionados en el punto 2.1 letra a) son clientes de finAPI (es decir, los proveedores que ha elegido) ubicados en el Espacio Económico Europeo y en Suiza, así como en otros terceros países, si procede, (siempre que exista la correspondiente decisión de adecuación de la Comisión Europea para estos o se hayan acordado cláusulas contractuales tipo, que pueden consultarse en https://www.finapi.io/datenschutz-dsgvo/). Otros destinatarios pueden ser contratistas externos de finAPI, de conformidad con el art. 28 RGPD, así como entidades externas e internas de finAPI para los fines mencionados en el punto 2.1 letra b). Adicionalmente, finAPI también podrá revelar datos de clientes a terceros (por ejemplo, proveedores de servicios externos como proveedores de servicios informáticos, operadores de aplicaciones de usuario final basadas en servicios finAPI, empresas asociadas como SCHUFA Holding AG o socios comerciales, así como a entidades gestoras de cuentas) en la medida necesaria y legalmente permitida en cada caso para los fines indicados en el punto 2.1 letra b). Los datos de acceso de carácter confidencial que permiten el acceso a la información de la cuenta en las entidades proveedoras de cuentas solo son transmitidos por finAPI a la entidad gestora de la cuenta correspondiente, pero no a otros terceros. finAPI también está sujeta a los poderes legales de intervención de las autoridades estatales.

2.6 Duración del almacenamiento de datos

Solo almacenamos datos personales durante un periodo de tiempo determinado. El criterio decisivo para determinar este tiempo es la necesidad. Por lo tanto, los datos personales son almacenados y tratados durante el tiempo necesario para los fines respectivos. Al respecto, debe tenerse en cuenta que la relación comercial mantenida con usted puede ser de larga duración y finAPI tratará los datos al menos hasta el final de dicha relación contractual. Asimismo, pueden existir obligaciones comerciales, tributarias y regulatorias de retención, documentación e información, a las que finAPI está sujeta. Estos plazos suelen ser de hasta diez años. Además, el tratamiento puede ser necesario durante más tiempo, por ejemplo, para fines de control y seguridad de la protección de datos, así como para la defensa jurídica. Los datos se eliminarán cuando ya no sean necesarios para los fines del tratamiento.

3. Derechos del interesado

Tiene derecho a obtener información de finAPI de conformidad con el art. 15 RGPD, derecho de rectificación de conformidad con el art. 16 RGPD, derecho de supresión de conformidad con el art. 17 RGPD, derecho de limitación del tratamiento de conformidad con el art. 18 RGPD y derecho a la portabilidad de los datos de conformidad con el art. 20 RGPD. Para ejercer estos derechos, puede ponerse en contacto con finAPI en cualquier momento (para los datos de contacto, véase el punto 1). Además, existe la posibilidad de dirigirse a una autoridad de control. La autoridad de control competente en el caso de finAPI es la Oficina Regional de Supervisión de Protección de Datos de Baviera (Bayerische Landesamt für Datenschutzaufsicht).
Puede revocar en cualquier momento el consentimiento otorgado a finAPI. Esto también se aplica a los consentimientos ya otorgados antes de la entrada en vigor del RGPD. La revocación del consentimiento no afecta la conformidad jurídica del tratamiento de datos personales hasta la revocación.

Estamos obligados a informarle que, de conformidad con el art. 21, apartado 1 RGPD, puede oponerse al tratamiento de datos sobre la base del art. 6, apartado 1, letras e) y f) RGDP por motivos derivados de su situación particular. Puede oponerse en cualquier momento al uso de sus datos personales con fines publicitarios, ya sea en su totalidad o para acciones individuales, de conformidad con el art. 21, apartado 2 RGPD. La oposición puede realizarse sin formalidades y debe dirigirse a finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Múnich.

4. Elaboración de perfiles / Categorización

Si así lo requiere el proveedor que ha elegido, tras un acceso a la cuenta provocado por usted a través de nuestra aplicación es posible que se procese (categorice) información procedente de su servicio de banca en línea mediante un tratamiento automatizado de datos y que se transmita a su proveedor, lo cual permite extraer conclusiones sobre su situación personal y económica (por ejemplo, ingreso medio, alquiler, obligaciones crediticias, número de notas de débito devueltas).

No tomamos ninguna decisión sobre la posible contratación de productos que usted desee realizar (por ejemplo, la concesión de un crédito). Esto es responsabilidad exclusiva de su proveedor. Su proveedor le informará sobre cualquier proceso de elaboración de perfiles y de toma de decisiones automatizada.