Este septiembre hay cambios en la forma de pago en comercio

Este septiembre hay cambios en la forma de pago en comercio

La nueva normativa de pagos es noticia.  El Real Decreto-ley 19/2018, de 23 de noviembre de servicios de pago y otras medidas urgentes ” entra en vigor este año, en concreto el 14/09/2019. La ley va a producir importantes cambios en la forma de pago en comercios.

ACTUALIZACIÓN 04/10/2019: Aunque oficialmente la norma  PSD2 está en vigor, hay una moratoria que permite a los bancos nacionales que la aplique con cierto margen. En el caso del Banco de España, ha dado un margen de entre 14 y 18 meses, lo que supondría que las sanciones por el incumplimiento de esta norma se empezarían a Aplicar entre noviembre de 2020 o incluso Marzo de 2021.  De facto, la norma está en vigor. Si por ejemplo sufrimos un pago no autorizado, la responsabilidad del consumidor se reduce a los primeros 50 euros, cuando antes eran 150 euros. Ante la duda, se debe aplicar la directiva, pero hasta dentro de un año o año y medio no se empezarán a aplicar sanciones en España.

Esta norma traspuso a la normativa española en 2018 la directiva europea contra el fraude y el uso de información sensible en pagos digitales y finalmente entra en vigor. En resumen, se obliga a permitir el open banking. Como contrapartida, hay cambios en  la forma de pago para compras superiores a 30 euros al implantarse el ARC (Autenticación Reforzada de Clientes).

Open banking

El open banking es una herramienta por la que los bancos (o cualquier otra entidad) proporcionan los medios técnicos a terceros para facilitar datos de sus cuentas. Es decir, los proveedores de Apps financieras o billeteros electrónicos podrán trabajar con los datos de los bancos, para mayor comodidad del usuario. Al estar accesible su información para terceros implica que el usuario tendrá que someterse a un sistema de doble autenticación para realizar los pagos, llamado ARC, o SCA en sus siglas en inglés.

Los cambios en la forma de pago afectan a adeudos domiciliados, operaciones de pago, transferencias, instrumentos de pago, envío de dinero, servicios de iniciación de pagos y de información sobre cuentas.

Doble autenticación

Esta normativa supone que en todo pago deben cumplirse al menos DOS de los siguientes TRES requisitos.

  • El cliente debe mostrar algo que solo posee él (carnet de identidad, pasaporte o tarjeta bancaria).
  • Facilitar un PIN o contraseña.
  • Facilitar algún dato biométrico (huellas, reconocimiento facial,..) para saber que quien realiza la transacción es quien dice ser.

Hasta ahora se permitía el pago con tarjeta únicamente o introduciendo el PIN a partir de ciertas cantidades, según el banco. También se admitían otras combinaciones como la tarjeta y el NIF. Este sistema permitirá pagar con el carnet de identidad y una contraseña, o con la huella y un PIN, por ejemplo.

Otra consecuencia es que desaparecerán prácticamente las tarjetas de coordenadas, cuando la norma empiece a aplicarse, porque no computan como elemento de seguridad, y serán sustituidas por códigos de seguridad enviados por mensaje o aplicación.

Los instrumentos financieros de los bancos para el comercio evitarán cada vez más, mediante sus APIs, que los clientes utilicen dinero físico si así lo desean, y simplificar la autenticación.

Están exentos de este sistema de la ARC los pagos inferiores a 30 euros y cuando el comercio vendedor realiza menos de 5 operaciones en 24 horas.

Beneficios para los consumidores, obstáculos para las empresas

Por último, los cambios en la forma de pago tienen ciertos beneficios para los consumidores. En principio, porque estará prohibido realizar cargos adicionales en tarjetas de crédito o débito. Además si la tarjeta es sustraída al propietario, su responsabilidad por el uso ilegal de la misma pasará de 150€ a 50€.

“El SCA o ARC es el acontecimiento más disruptivo que nos afectará al comercio electrónico”, según   Jordan McKee, analista de 451 Research.

Y esto es preocupante, porque 3 de cada 10 comercios no conocen aún esta norma.  La norma es por otra parte necesaria porque el fraude por transacciones comerciales ha llegado a ser de 17.000 millones de euros el último año.

A las empresas les preocupa sobre todo vender, y su política respecto a la publicidad se verá sin duda afectada por el nuevo Real-Decreto, dificultando inicialmente la flexibilidad de las compras. Habrá como es lógico un tiempo de transición. Adoptar con agilidad las nuevas medidas e informar a los usuarios con rapidez, será esencial para que la nueva normativa no afecte a la facturación.

Huwaei y el veto de Trump: efectos y soluciones para la compañía china

Huwaei y el veto de Trump: efectos y soluciones para la compañía china

En medio de la guerra comercial entre EEUU y China, aunque según algunas fuentes, sin que sea consecuencia directa de ella, Donald Trump dictó el 16/05/2019 una orden ejecutiva:  Se trataba de prohibir el uso o compra de tecnología de telecomunicaciones de adversarios extranjeros. Aunque no se mencionaba expresamente a Huawei, era un misil dirigido directamente a la línea de flotación de la compañía china.  No solo eso, el 19/05/2019 Google acataba la normativa y anunciaba que no permitiría al fabricante chino utilizar su tecnología.

Huawei y el veto de Trump

Al igual que había sucedido en Mayo del año anterior con la compañía ZTE, a causa según EEUU de sus acuerdos comerciales con Irán y Corea del Norte,  se consideraba que podía haber riesgo de espionaje. En aquel caso, aunque también se mencionaba a Huawei, el blanco del ataque fue ZLE, que ya había tenido que pagar una dura multa de 1.200 millones de dólares en 2016, y que tuvo que llegar a un acuerdo con EEUU según las condiciones de Trump.

De hecho, el origen de las sospechas estaba en unas informaciones de Bloomberg, importante compañía de servicios financieros y noticias, que aseguraba que Huawei instalaba chips espía en servidores de compañías como Amazon y Apple. Trump tardó poco en hacer a Huawei el blanco de su nuevo ataque en forma de veto.

¿Tendré que tirar mi móvil Huwaei?

Los comunicados tanto de Huawei como de Google, con posterioridad a la tercera semana de Mayo, han afirmado que los usuarios de móviles Huawei van a poder seguir usando sus aparatos, y no van a perder ni el sistema operativo ni Google Play u otras aplicaciones de google.  Pero es una incógnita lo que va a suceder con los nuevos terminales, como la gama Mate.

Las consecuencias para los usuarios van a ser, por lo pronto que, aunque van a seguir teniendo actualizaciones de seguridad, estas estarán basadas  en la parte OpenSource de Android (AOSP). Por otra parte, las nuevas actualizaciones de Android no llegarán. Y, por supuesto, en los nuevos dispositivos que fabrique, Huawei no podrá instalar ni Android ni tampoco las aplicaciones preinstaladas que dependen de Google, incluyendo Google Maps, Calendar, Chrome o Drive.

Por otra parte, el 21 de Mayo Intel y Qualcomm indicaron que tampoco permitirían el uso de sus chips a Huawei. En el caso de los móviles, esto no afectará a la compañía china porque hace mucho que usa en ellos sus propios chips Kirin, pero sí a sus ordenadores portátiles.

Sin embargo, compañías también chinas como OnePlus, Oppo o Xiaomi  no se verán afectadas por el veto de Trump, por el sencillo motivo de que no se dedican al negocio de las telecomunicaciones, al que sí se dedica Huawei (y del que de hecho es líder desde la llegada del 5G.

Las reacciones de Huawei al veto de Trump

Las acusaciones de espionaje tocaron muy de cerca a Huawei cuando en Diciembre de 2018 detuvieron en Canadá, a instancias de los EEUU, a Sabrina Meng Whanzhon,  directora financiera de Huawei. En Marzo de 2019, demandó ante un tribunal federal en Texas (donde tiene su sede en EEUU) al gobierno estadounidense de atacar a la compañía china sin fundamento, y solicitó que se declarara inconstitucional la sección 889 de la Ley de Autorización de Defensa Nacional.  La compañía se defendía diciendo que no había pruebas de espionaje reales. Y en parte es así, porque ni Gran Bretaña, ni Alemania, entre otros países, han encontrado pruebas. Sin embargo, eso no ha sido un obstáculo para que países como Canadá, Australia o Francia hayan suspendido las compras a Huawei. En este caso, no es tanto la evidencia, como el principio de prudencia ante el hecho de que pueda haber espionaje.

El futuro de Huawei

A  nivel tecnológico, Huawei no solo puede seguir usando AOSP (la parte Open Source de Android), sino que se ha declarado un partner muy activo de Google Android, habiendo contribuido, según la compañía china, a su desarrollo.  Por otra parte, también ha declarado que ha desarrollado un sistema operativo propio que podría sustituir a  Google Android (en los móviles) o a Windows (en los portátiles, en caso de que Microsoft se sume al bloqueo).

Por tanto, la guerra comercial no ha hecho más que comenzar, después de la declaración de Donald Trump en forma de orden ejecutiva. Es imposible no ver en Huawei y el veto de Trump una continuidad de la durísima guerra comercial entre China y los Estados Unidos que comenzó a primeros de Mayo. El 9 de Mayo, Estados Unidos anunciaba la subida  de aranceles a productos chinos valorados en 200.000 millones, del 10% al 25%. El gobierno chino reaccionaba aumentando una subida similar a la importación de productos americanos  en su propio país (valorados en 60.000 millones). Aunque originalmente el veto a Huawei tenía relación con la seguridad, recientemente el secretario del tesoro del Gobierno de los EEUU ha mencionado muy recientemente la posibilidad de que las condiciones se suavicen, si se incluye el caso de Huawei como parte del acuerdo comercial que se está negociaciando con China.

Desgraciadamente para Huawei, le ha tocado estar en el medio de una guerra comercial entre dos grandes países, y las consecuencias para la compañía y sus futuros consumidores son aún imprevisibles.

¿Cómo se ha adaptado el RGPD en  la normativa española?

¿Cómo se ha adaptado el RGPD en la normativa española?

Este verano se publicó el Real Decreto-ley 5/2018, de medidas urgentes, que desarrolla el RGPD en la normativa española. El Real Decreto-Ley fue convalidado el 06/09/2018 en el Congreso por 339 votos a favor, ningún voto en contra y 2 abstenciones.

El Parlamento Europeo establecía hasta 56 cuestiones que debía desarrollar cada estado miembro. En este Real-Decreto se desarrollan cuestiones que eran inaplazables en esta normativa europea a la que estamos obligados desde el 25/05/2018.

El Decreto sobre todo establece las entidades responsables, tanto el órgano a nivel estatal como los responsables del tratamiento. Por otra parte, desarrolla las infracciones y sanciones y la prescripción de los plazos. Por último, habla del procedimiento de reclamación y de todos los pasos a seguir en dicho procedimiento

La norma se articula en tres capítulos. El Capítulo I deja muy claro cuál es la entidad que vela por el cumplimiento del RGDP. Básicamente estamos hablando de la Agencia Española de Protección de Datos, que es también, según la ley, la entidad que representa a España ante el Comité Europeo de Protección de Datos y la encargada de publicar resoluciones.

El Capítulo II define que los responsables de infracciones y sanciones son tanto los Responsables y Encargados de datos, como las entidades certificadoras y las entidades de supervisión.

En un apartado bastante más pormenorizado, establece qué consideramos infracciones. Para esto no añade nada nuevo, sino que se refiere básicamente a los artículos 4, 5 y 6 del artículo 83 del RGPD.

Recordemos que:

  • Las infracciones de los artículos 5 y 6 se penalizan con multas administrativas de 000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. De las dos, la que resulte de mayor cuantía.
  • Las infracciones del artículo 4 se penalizan con multas administrativas de 000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. De las dos, la que resulte de mayor cuantía.

Por último, indica cuándo prescriben las infracciones, y cuando las sanciones impuestas, incluyendo sendas tablas para ambos supuestos.

La prescripción de las infracciones se rige por lo siguiente:

  • Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años.
  • Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años.

Por su parte, las sanciones impuestas en aplicación del Reglamento, prescriben en los siguientes plazos

  1. a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
  2. b) Las sanciones por importe comprendido entre 001 y 300.000 euros prescriben a los dos años.
  3. c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.

Por último, el Capítulo III establece los plazos de admisión a trámite de las reclamaciones por posible vulneración a la AEPD. Estos serán de 6 a 8 meses, según los casos. También define los supuestos en los que no se admiten a trámite las reclamaciones:

  • Cuando no versen sobre cuestiones de protección de datos de carácter personal.
  • Cuando carezcan manifiestamente de fundamento.
  • Cuando sean abusivas.
  • Cuando no aporten indicios racionales de la existencia de una infracción.
  • Cuando el Responsable o Encargado del tratamiento haya establecido las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación. En este caso, cuando no haya llegado a producirse perjuicio del afectado, o se haya garantizado su derecho.

También indica las  actuaciones previas de investigación, que pueden durar hasta 12 meses y las medidas que se pueden tomar en ese periodo. La AEPD puede:

  • Ordenar la suspensión cautelar de los datos, bloqueo de los datos o cese del tratamiento.
  • Cursar una solicitud al responsable o encargado que atienda al cumplimiento de un derecho, sin perjuicio de que la reclamación siga su trámite.

Por último, en las disposiciones, se establece que la AEPD es el órgano representante español ante el Comité Europeo de Protección de Datos y la encargada de publicar resoluciones, se dice qué pasa con los contratos de cesión de datos firmados con anterioridad al RGPD, y se indican los artículos de la LOPD que quedan derogados (el 40, y los 43 a 49, con excepción del 46).

En conclusión, la norma vuelve a recordar la importancia de la cuantía de las sanciones, pero añade mayor detalle sobre cuándo prescriben las infracciones. También asigna un papel protagonista a la AEPD. Por último, deroga todo el articulado de la LOPD que establecía lo que eran sanciones leves, graves y muy graves, así como la cuantía de las sanciones y la prescripción de las mismas. Por tanto, desde la aplicación de esta norma tiene mayor vigor, si cabe, el RGPD, al haberse desarrollado reglamentariamente en la legislación española.

En caso de que aún no lo hayas hecho, aún estás a tiempo de implantar Gextor RGPD, que incluye un Informe de Seguridad, para asegurarte de que cumples plenamente con la normativa.