No és pas senzill conciliar PSD2 amb el Reglament General de Protecció de Dades. Hi ha hagut una gran batalla legal entre bancs i fintech arran de l’screep scraping, un procediment que permet al proveïdor extern entrar al compte del client d’un banc amb les seves pròpies claus. Finalment, la norma fixa uns estàndards, els quals entren en vigor al setembre, que només admeten l’screep scraping en el cas que les API, l’eina informàtica que ha de facilitar la transmissió de dades, no funcioni correctament. Tot i la limitació, el procediment pot suposar una violació de la normativa de protecció de dades, perquè, al banc, li costarà diferenciar informació sensible, que ha de consentir el client, de la que no ho és.