Desde una visión crítica y prospectiva, Mónica Moyotl analiza la actual regulación de las tecnologías de información financiera y sobre el control que los usuarios tienen sobre sus datos.
El 9 de marzo de 2018 se publicó en el Diario Oficial de la Federación la Ley para Regular las Instituciones de Tecnología Financiera (LRITF), novedosa no sólo en cuanto a la regulación de nuevos tipos de entidades financieras que prestan sus servicios a través de medios electrónicos y el uso de activos virtuales, sino porque además incorpora el open finance en la regulación nacional en su artículo 76.
La publicidad de datos no es lo único de lo que se trata el open finance, pues también permite que los usuarios decidan sobre la transmisión de sus datos a otras entidades financieras, para obtener mejores servicios a la medida de sus necesidades.
El open finance en el marco regulatorio vigente
El open finance, también referido como open banking —que se traduce como finanzas o banca abierta, respectivamente, de conformidad con su regulación en la LRITF—, consiste en establecer canales para que las entidades financieras, y otras entidades relevantes del sector, compartan datos e información que sean parte de las siguientes categorías:1
- Datos financieros abiertos. Son los datos generados por las entidades financieras y otras entidades relevantes en el sector, que no contienen información confidencial: la información de productos y servicios que ofrecen al público general y la ubicación de sus oficinas y sus sucursales, sus cajeros automáticos u otros puntos de acceso a sus productos y servicios, entre otros;
Como se desprende de lo expuesto en el párrafo anterior, los datos financieros abiertos corresponden a información que incluso es pública y que puede obtenerse por el usuario de servicios financieros de manera fácil y directa, en adición a que se trata de datos que son generados respecto de las entidades financieras y otras entidades relevantes del sector y, en consecuencia, no corresponden a datos personales tutelados por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
- Datos agregados. Son los relativos a cualquier tipo de información estadística relacionada con operaciones realizadas por o a través de entidades financieras y otras entidades relevantes en el sector, sin la necesidad de que contengan un nivel de desagregación tal que puedan identificarse los datos personales o las transacciones de una persona.
Tratándose de datos agregados, no obstante se trata de datos relacionados con operaciones realizadas por los usuarios de entidades financieras; la forma en que se presentan no permite su asociación a un titular ni la identificación del mismo, por lo que, conforme al artículo 10 de la LFPDPPP, no se requiere el consentimiento del titular de datos personales para su tratamiento.
- Datos transaccionales. Son aquellos relacionados con el uso de un producto o servicio, incluyendo cuentas de depósito, créditos y medios de disposición contratados a nombre de los clientes de las entidades financieras y otras entidades relevantes del sector, entre otra información relacionada con las transacciones que los clientes hayan realizado o intentado realizar en su infraestructura tecnológica.
En este caso, los datos relacionados con las operaciones y los servicios que las personas tienen contratadas con las diversas entidades financieras son datos personales cuyo tratamiento debe ejecutarse de conformidad con la LFPDPPP y que además están protegidos por el comúnmente denominado “secreto bancario«.
La forma en que se pretende que funcione el open finance, de acuerdo con la LRITF, es a través de la instalación obligatoria de interfaces de programación de aplicaciones informáticas estandarizadas (API, por sus siglas en inglés), que hagan posible la conectividad y el acceso de otras interfaces desarrolladas o administradas por las entidades financieras y otras entidades relevantes del sector.
De acuerdo con lo que señala la LRITF, el intercambio de datos e información que podrá compartirse como parte del open finance está sujeto a las disposiciones de carácter general que para tal efecto emitan las autoridades financieras. Por eso el 4 de junio de 2020 se publicaron, en el Diario Oficial de la Federación, las “Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera”, que establecen el procedimiento para la autorización y el registro de las contraprestaciones a cobrar por el uso de las interfaces de programación de aplicaciones estandarizadas en relación con la transmisión de datos financieros abiertos.
Desafortunadamente esas disposiciones no cubren la totalidad de aspectos que conforme al artículo 76 de la LRITF deben ser atendidos por las disposiciones secundarias, por lo que está pendiente la emisión del resto de la regulación secundaria.
El secreto bancario
El open finance y el secreto bancario guardan estrecha relación, específicamente en lo que refiere a los datos transaccionales de los usuarios de servicios financieros y que puede verse como una contravención al denominado “secreto bancario”.
El secreto bancario encuentra su fundamento en el artículo 142 de la Ley de Instituciones de Crédito y, como es usual en el sector financiero, se replica para las demás entidades financieras en sus respectivos ordenamientos, con las particularidades que les corresponden de acuerdo con el tipo de productos y servicios que ofrecen, y consiste en la clasificación confidencial de la información y los datos que se generan a través de entidades financieras en relación con las operaciones y los servicios de los usuarios de servicios financieros, quedando prohibido para las entidades financieras dar noticia o información a persona distinta del titular o su representante.
Tal protección no es absoluta y admite las excepciones que la ley establece y que de manera general abarcan los requerimientos de información que las autoridades formulen a las entidades financieras, de manera fundada y motivada, en consideración a que se trata de una vulneración al derecho a la privacidad de los usuarios de servicios financieros.
Sin embargo, la transmisión de datos transaccionales no debe considerarse como una violación al secreto bancario en virtud de que esa transmisión de datos transaccionales de clientes no proviene de una disposición sobre los datos que libremente ejerza la entidad financiera, sino que del cumplimiento de una obligación legal que, en adición, cuenta con la autorización del usuario de servicios financieros de conformidad con el artículo 76 de la LRITF.
Finalmente, la propia LRITF, en su artículo 77, pone fin al debate que se pudiera suscitar señalando de manera directa que el intercambio de información derivado del open finance no se entenderá como violación a las obligaciones de confidencialidad impuestas a las entidades financieras, ya sea por la LRITF o por las demás leyes aplicables.
Por qué el open finance puede implicar la recuperación del poder de los usuarios sobre los datos financieros
Como se ha expuesto, los datos financieros, así sean generados a través de entidades financieras, son propiedad de los usuarios, y, en consecuencia, su uso, transmisión y disposición en general queda sujeta a la voluntad del usuario y no de la entidad financiera. En esta medida, es derecho del usuario decidir a quién quiere transmitir los datos y la información financiera que ha generado mediante el uso de servicios financieros y que, en su caso, puede permitirle acceder a mejores servicios financieros cuando su información es compartida con una entidad que no cuenta con datos sobre sus antecedentes transaccionales.
Actualmente, a pesar de los avances tecnológicos, los usuarios financieros únicamente podemos ejercer nuestros derechos de acceso, rectificación, cancelación y oposición sobre los datos personales que proporcionamos a las entidades financieras, sin que eso implique que podamos instruir a las entidades financieras, y que ellas así lo acaten, para que transfieran la información y los datos que han recabado sobre nuestro comportamiento a otras entidades financieras que, en estricto sentido, son su competencia.
La existencia de una norma legal que obligue a las entidades financieras a transmitir los datos transaccionales de los clientes que así lo autoricen, sin duda dota de poder a los usuarios financieros respecto de su propia información, a la vez que permite que las entidades financieras conozcan mejor a sus clientes y presten productos y servicios a la medida, poniendo al usuario por encima de los intereses comerciales de las entidades financieras.
A pesar de que las disposiciones transitorias del decreto de la publicación de la LRITF otorgaron un plazo de 24 meses a las comisiones supervisoras y al Banco de México para emitir la regulación secundaria del artículo 76 de la citada ley, plazo que venció en marzo de 2020, al día de hoy únicamente se ha emitido la regulación relativa a datos financieros.
Sin duda hay muchos aspectos relacionados con el open finance que son dignos de análisis; por ejemplo, la participación que tendrán los solicitantes de información y datos, la exigibilidad de las obligaciones que derivan de su implementación o los mecanismos que tendrán que observarse para garantizar un tratamiento y una transmisión seguros de la información, por dar unos ejemplos, cura complejidad requiere de un espacio más amplio de discusión.
Qué sigue para el open finance
Como se ha establecido, los datos personales que generamos al utilizar cualquier servicio financiero son propiedad de los usuarios financieros y, como tales, es nuestro derecho acceder y disponer de ellos.
En un mundo digital y globalizado, la data que generamos día con día no es poca cosa, pues su análisis arroja información sobre quiénes somos, cómo nos comportamos, y más importante, predice nuestro actuar, ofreciendo posibilidades a quien los analiza de anticiparse a nuestras acciones, y, en el mejor de los casos, presentar la mejor alternativa. Sin embargo, esta predictibilidad puede resultar en la manipulación de nuestro comportamiento con miras a adecuarse a los intereses de quienes poseen la data.
Aún queda un largo camino por recorrer y una importante labor por parte de las autoridades financieras para emitir la regulación que establecerá los términos en que funcionará el open finance y que, en todo caso, consolidará las herramientas que la LRITF busca proporcionar a los usuarios de servicios financieros para poder acceder a un sistema financiero mejor y más competitivo.
Por lo pronto, debemos estar vigilantes y exigir el cumplimiento, por parte de las autoridades, para emitir la regulación secundaria. El funcionamiento del open finance en todos sus aspectos depende en gran medida de los términos que se establezcan en la regulación secundaria, de la exigibilidad a las entidades financieras y de los medios que se proporcionen a los usuarios de servicios financieros para hacer valer sus derechos.
La emisión de regulación secundaria que haga inexigible o inaplicable lo previsto por la LRITF (como fue el caso de la circular 4/2019 del Banco de México en relación con los activos virtuales) hace nugatorios los nuevos alcances que se dan a los derechos de los usuarios para decidir sobre la transmisión de sus datos personales, por lo que es deseable que el regulador evite recaer en los mismas técnicas regulatorias y, en su lugar, opte por un enfoque basado en los principios de inclusión e innovación financiera y promoción de la competencia, ambos principios fundamentados en el artículo 2 de la LRITF y que como autoridades financieras deben ser respetados y observados en el ejercicio de sus facultades.
Notas:- Artículo 76 de la Ley para Regular las Instituciones de Tecnología Financiera.[↩]
