Protección de Datos

Sanciones AEPD fintech y pagos 2026

Sanciones AEPD fintech 2026: neobancos, pasarelas de pago, BNPL. Casos, importes y obligaciones RGPD específicas del sector financiero digital.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. Las fintech españolas y europeas operando en España acumulan sanciones AEPD crecientes por scoring automatizado opaco, verificación de identidad invasiva y deficiencias en información, con multas típicas entre 30.000 EUR y 1,2 M EUR.

Puntos clave

  • 89 procedimientos AEPD a fintech entre 2023 y 2025 (+62% interanual).
  • Wizink: 65.000 EUR (2024). Klarna España: en procedimiento.
  • BBVA fintech, Bnext, Bizum: expedientes archivados o multas menores.
  • Art. 22 RGPD (decisiones automatizadas) — incumplimiento más sancionado.
  • KYC y verificación biométrica: nuevo foco AEPD desde 2025.

1. Marco regulatorio combinado

Las fintech operan bajo varias normativas concurrentes:

  • RGPD + LOPDGDD: protección de datos.
  • Reglamento PSD2 y RTS asociados: pagos electrónicos.
  • Ley 10/2010 prevención blanqueo: KYC.
  • Reglamento DORA: resiliencia operativa desde enero 2025.
  • Reglamento MICA: criptoactivos desde diciembre 2024.

La AEPD coordina con Banco de España y Sepblac en muchos expedientes.

2. Decisiones automatizadas (art. 22 RGPD)

Concesión de crédito instantáneo, aprobación BNPL (Buy Now Pay Later) y bloqueo de cuentas por scoring de fraude son decisiones automatizadas del art. 22 RGPD. Requisitos:

  • Información específica sobre la lógica aplicada.
  • Derecho a obtener intervención humana.
  • Derecho a expresar punto de vista e impugnar.
  • Salvaguardas adicionales para categorías especiales.

Sanciones por incumplimiento: 50.000-300.000 EUR.

3. Casos sancionados relevantes

Entidad Importe (EUR) Año Motivo
Wizink 65.000 2024 Acceso indebido empleado
Plataforma BNPL X 180.000 2024 Art. 22 incumplido
Neobanco europeo 220.000 2025 Información insuficiente
Pasarela pagos 90.000 2023 Cookies marketing sin base
Crowdlending 45.000 2024 Conservación excesiva

4. KYC y verificación biométrica

La verificación de identidad por selfie + DNI es tratamiento biométrico (categoría especial art. 9 RGPD). Requiere:

  • Base jurídica adicional (consentimiento explícito o art. 9.2.g interés público).
  • EIPD obligatoria conforme al listado AEPD.
  • Conservación limitada al plazo de la Ley 10/2010 (10 años desde fin relación) salvo eliminación tras KYC válido.
  • Información clara sobre proveedor del servicio (suelen ser Onfido, Veriff, IDnow, todos fuera de España).

5. Open banking y consentimiento

PSD2 introduce el “consentimiento explícito” para acceso a cuentas vía API por TPP. Este consentimiento debe distinguirse del consentimiento RGPD. Buenas prácticas:

  • Pantalla de consentimiento separada y específica.
  • Información sobre datos accedidos, finalidad y plazo.
  • Revocación inmediata desde la app del banco.
  • Registro de consentimientos con timestamp.

6. BNPL y scoring de crédito

Klarna, Aplazame, Sequra y otras plataformas BNPL realizan scoring instantáneo para aprobar pagos a plazos. La AEPD investiga desde 2024 si:

  • La información facilitada cumple art. 13 y 22 RGPD.
  • El scoring usa variables proxy discriminatorias.
  • La conservación de datos tras impago es proporcional.
  • Las consultas a bureaus de crédito están justificadas.

Sanciones esperadas en 2026 por importes superiores a 500.000 EUR.

7. Transferencias internacionales

Las fintech europeas operando en España suelen tratar datos en Irlanda, Alemania o terceros países. Requieren:

  • Cláusulas contractuales tipo de la Comisión (CCT 2021).
  • Análisis de impacto de las transferencias (TIA).
  • Información clara al usuario sobre país destino.

Tras invalidación del DPF previsto, las transferencias a EEUU pueden requerir medidas suplementarias. Ver transferencias internacionales.

8. Pagos por móvil y datos de geolocalización

Bizum, Apple Pay, Google Pay, Stripe tratan datos de geolocalización para fraud detection. Bases jurídicas posibles:

  • Interés legítimo (con análisis y balance test documentado).
  • Obligación legal de prevención de fraude.
  • Consentimiento (si va más allá de la finalidad estricta de fraude).

La AEPD ha aceptado el interés legítimo para detección de fraude pero exige información clara y opt-out razonable para finalidades adicionales.

9. Brechas en fintech

Las fintech son objetivo prioritario de ataques (credential stuffing, ATO, phishing). DORA obliga desde 2025 a notificación adicional al supervisor en 4 horas para incidentes ICT mayores. Procedimiento integrado:

  1. Detección y contención.
  2. Notificación supervisor financiero en 4h.
  3. Notificación AEPD en 72h.
  4. Comunicación a usuarios si alto riesgo.
  5. Análisis forense.
  6. Medidas correctivas.

10. Cookies y marketing en apps fintech

Las apps fintech con tracking publicitario o analítica de terceros requieren consentimiento conforme a la nueva guía AEPD 2026. Botón “Rechazar” obligatorio al mismo nivel. Pasarelas de pago integradas en e-commerce: revisar quién es responsable de qué tratamientos.

11. Cómo cumplir RGPD en fintech

  • DPO obligatorio con dependencia del Consejo.
  • Registro de actividades por servicio y país de operación.
  • EIPD para todo nuevo producto que use datos masivos o IA.
  • Cláusulas art. 22 RGPD en flujos de scoring automatizado.
  • Auditoría anual ISO 27001 + RGPD.
  • Plan de respuesta a incidentes integrado RGPD + DORA.

FAQ

¿La fintech puede denegarme crédito sin explicación?

No. El art. 22 RGPD obliga a informar sobre la lógica de la decisión automatizada y permite solicitar intervención humana e impugnar.

¿Pueden usar mi selfie indefinidamente tras el KYC?

No. La conservación se limita al plazo necesario, normalmente 10 años desde fin de relación (Ley 10/2010) o eliminación tras KYC válido y backup limitado.

¿Open banking es seguro desde el RGPD?

Sí si el TPP cumple PSD2 y RGPD. El consentimiento es revocable inmediatamente desde la app del banco emisor.

¿Las fintech pueden compartir mis datos con su matriz extranjera?

Sí si hay base jurídica (normalmente interés legítimo del grupo) y cláusulas adecuadas de transferencia internacional (CCT 2021 o equivalentes).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →