Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
La Ley N.º 21.521, que promueve la competencia e inclusión financiera a través de la innovación y tecnología en la prestación de servicios, conocida como la “Ley Fintech”, en su Título III plantea una especial regulación del Sistema de Finanzas Abiertas (conocido también como “Open Finance”), estableciendo reglas y principios para la implementación de un sistema que permite el intercambio de diversos prestadores de servicios de clientes financieros que hayan consentido expresamente, mediante el acceso remoto y automatizado que permite la interconexión y comunicación directas entre las diversas instituciones, con altos estándares de seguridad. En concordancia con el artículo 16 de la Ley Fintech, deberán cumplir principios como proporcionalidad, calidad, transparencia e información al cliente, seguridad y privacidad de los datos, trato no discriminatorio e interoperabilidad entre instituciones participantes.
Los sujetos que participan en el SFA son aquellos: (i) instituciones proveedoras de información (IPI); (ii) instituciones proveedoras de cuentas (IPC); (iii) proveedores de servicios basados en información (PSBI); y (iv) proveedores de servicios de iniciación de pagos (PSIP).
En conformidad con el artículo 17 de la normativa en cuestión, el SFA deberá comprender: (1) Información sobre términos y condiciones generales de los productos y servicios financieros que ofrezcan al público, más los canales de atención al público de las IPI; (2) información de identificación y registro de los clientes y sus representantes recabada por las IPI durante el proceso de enrolamiento del cliente, contratación de los productos y servicios o ejecución de operaciones; (3) información sobre las condiciones contratadas y el uso o historial de transacciones realizadas por los clientes respecto de los productos y servicios financieros que mantengan contratados con IPI; (4) comunicaciones entre proveedores de servicios financieros, para efectos del proceso de portabilidad financiera; (5) datos o información necesaria para la prestación de servicios de iniciación de pagos; (6) otros datos o información relativa a productos o servicios financieros o iniciación de otro tipo de transacción, sujeto a la autorización del cliente, por lo que estos datos serán los que se centrarán en el SFA.
Entre los aspectos claves para el funcionamiento del SFA—y acorde al artículo 22 de la ley—se encuentran estándares de seguridad que deberán adoptar los proveedores además de las medidas necesarias para cumplir con los estándares mínimos de seguridad de la información, ciberseguridad y políticas de gestión de riesgos, control interno que permita resguardar la confidencialidad, integridad y disponibilidad de los datos y la información para prevenir riesgos que se produzcan de manera inherente por el tipo de información, así como la calidad del dato sensible que se intercambie en los procesos de transacciones. En el caso de vulnerabilidades de las medidas de seguridad adoptadas, deberán ser reportadas a la Comisión para el Mercado Financiero, teniendo en cuenta la normativa específica (ej. RAN 20-8 sobre información de incidente operacionales).
Los artículos 23 y 24 de la normativa establecen algunos aspectos asociados con el consentimiento y la responsabilidad de las instituciones en cuanto a los procesos de transacción que se realicen; que si bien son abordados con profundidad, durante el 2024, la Comisión para el Mercado Financiero, dictó la Norma de Carácter General N.º 514, aplicable a las IPI, IPC, PSBI y PSIP debiendo aplicar medidas de seguridad, y para ello, adoptar interfaces de programación de aplicaciones (API, por sus siglas en inglés) que realicen procesos de seguridad, es decir: (i) monitorear la información de las API; (ii) contar con resguardos y respaldos adecuados de la información, (iii) mantener un registro actualizado de los eventos propios del SFA, específicamente los eventos realizados a través de las API, dentro de un plazo de 5 años, (iv) eliminar correctamente la información una vez que venzan los plazos máximos legales.
En materia de autentificación y verificación, la norma señala que: (i) se deben cumplir con estándares mínimos de autenticación y confirmación de clientes: se utilizará el estándar de Open ID Connect sobre el estándar de autorización de acceso a lectura o escritura de datos OAuth 2.0; es decir, un protocolo que permite a los usuarios registrarse en las aplicaciones usando un solo set de credenciales; (ii) autenticación del cliente financiero por parte de IPI e IPC: se requerirá una autenticación reforzada del cliente para la consulta de datos, y se puede solicitar información de autorización de acceso y confirmación en el caso de cargos que busquen iniciación de pagos; (iii) certificado digital por parte del PSBI e PSIP: se utilizará un certificado digital que permita la autentificación de identidad y que permita comparar y confirmar los permisos/roles indicados por el certificado versus los autorizados por el directorio que lleva la comisión para estos efectos.
En materia de consentimiento, se señala:
- La necesidad de contar con la voluntad de manera expresa, en el caso de las personas naturales, una autorización para el tratamiento y transmisión de los datos para iniciar pagos; y de personas jurídicas a través de sus representantes legales o apoderados autorizados, ya sea para actuar conjunta o separadamente, para el tratamiento y transmisión de datos;
- La implementación de mecanismos de gestión del consentimiento, por ejemplo, mediante paneles;
- El almacenamiento de la voluntad en soporte duradero, es decir, que reúna los requisitos de seguridad, integridad y acceso, además de permitir acreditar las condiciones, que fue otorgado de manera “libre, informada, expresa y específica”, en relación con el tipo de información requerido, la finalidad y el período máximo de validez;
- En el caso del consentimiento para la transmisión, tratamiento o cesión de datos, o iniciación de pagos, se debe informar de manera precisa y clara:
- Los datos sobre los cuales consiente el intercambio, tratamiento, cesión o iniciación de pagos;
- La institución a la que confiere la autorización o que permite iniciar y cursar los pagos;
- El período o frecuencia;
- La finalidad de la actividad.
- La vinculación con la finalidad respectiva, especialmente, en posibles procesos de fiscalización y, por ende, el cumplimiento con el principio de finalidad, cuando sean datos personales de personas naturales;
- La manera en que se presente la obtención del consentimiento debe ser en lenguaje sencillo, claro, preciso y evitando tecnicismos, salvo en los que resulte estrictamente necesario;
- La existencia del panel de control y la forma en que se podrá acceder al mismo, mediante el cual se podrá conocer, verificar y revocar los consentimientos otorgados; usualmente, se ha promovido el uso de paneles que permiten gestionar directamente el consentimiento;
- Y, por último y no menos importante, los mecanismos de autentificación del titular o cliente conforme a los requerimientos antes indicados.
Para la gestión del consentimiento obtenidos, las instituciones que son parte del FA deben contar (i) con un panel de control para conocer, verificar y revocar los consentimientos que se hayan otorgado; (ii) se debe preservar los accesos e interacciones a lo menos 5 años; además de la visualización de los consentimientos, otorgados, revocados o caducados durante los 5 años, (iii) si no hay acceso por parte del cliente al panel de control dentro de 1 año calendario, se debe enviar un calendario informando al respecto (dentro de los 5 días hábiles posterior a cumplir 1 año de inactividad).
Para concluir, hasta la fecha la CMF no ha dictado los estándares técnicos para las medidas de seguridad que deban adoptar las instituciones y, frente a la pronta entrada en vigor de la Ley N.º 21.719, que reformó la Ley N.º 19.628 sobre Protección de Datos Personales, ha inhibido el avance del SFA, debiendo promover una necesaria coordinación entre las instituciones.
Como se expone, el desafío para los participantes del SFA es de una importante exigencia en medidas y gestiones tecnológicas, de protección de datos y de la seguridad de los mismos, lo que implica un trabajo riguroso y complejo de aquellos que formen parte del SFA, en especial aquellas instituciones financieras que por la regulación estén obligados a participar, pero que sin embargo, no se encuentren hoy bajo el cumplimiento de las mencionadas medidas adecuadas de protección de datos y ciberseguridad.
Matías Langevin Correa es abogado, Socio de HD Group y lidera el área de Fintech.
Juan Pablo González Gutiérrez es abogado, Director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.