A Verification of Payee só funciona tratando dados pessoais: compara o nome de um beneficiário com o titular de um IBAN. É exatamente o tipo de tratamento que o RGPD regula, por isso vale a pena perceber como uma verificação do nome pode ser ao mesmo tempo útil e conforme.
Base jurídica
Duas bases sustentam habitualmente a VoP. Primeiro, a obrigação legal: o Regulamento dos Pagamentos Instantâneos exige que os PSP ofereçam a verificação. Segundo, o interesse legítimo: prevenir pagamentos mal dirigidos e fraude é um interesse reconhecido que também beneficia o pagador. A base exata deve ser confirmada com o seu EPD, mas a VoP não é um tratamento sem justificação.
Minimize e não reutilize
Use apenas os dados necessários à verificação — nome e IBAN — e não reutilize os dados da verificação para fins não relacionados. Minimização de dados e limitação da finalidade mantêm a VoP proporcionada.
Conservação e residência
- Conservação — guarde os registos de verificação apenas pelo tempo necessário para auditoria, gestão de litígios e conformidade.
- Residência de dados — para os PSP da UE, tratar e armazenar dentro da UE evita complicações de transferência.
- Segurança — cifre em trânsito e em repouso e registe os acessos para responsabilização.
Porque a escolha do fornecedor importa
Como a VoP toca em dados pessoais, importa quem a executa. Um fornecedor que opera dentro da UE, com um tratamento de dados claro e residência na UE, simplifica a sua posição RGPD. A RoxPay opera sobre infraestrutura europeia de open banking com residência de dados na UE, de modo que a verificação do nome permanece dentro da UE e num quadro de proteção de dados claro.