Columnas

Sistema de Finanzas Abiertas y el rol del consentimiento

El sistema de Finanzas Abiertas plantea desafíos regulatorios y técnicos significativos en el contexto de la Ley Fintech chilena. Uno de los aspectos clave es la gestión del consentimiento del usuario, que debe abordarse de manera integral para garantizar la protección de datos personales y el correcto funcionamiento del sistema.

Por Cristián Oppliger* y Juan Pablo González**

Sin lugar a dudas, el sistema de finanzas abiertas (“SFA”) representa el mayor desafío de la Ley Fintech chilena, ya que involucra la implementación de todo un sistema, con la participación de industrias completas -industria financiera principalmente- con actores tradicionales que operan bajo lógicas tradicionales. Se pensaba que la discusión se centraría principalmente en criptoactivos y el universo de monedas digitales, pero no fue así, dado que esta regulación, tanto en su ley marco fintech como en su normativa de carácter general, reguló de forma previsible, considerando la interacción e interpretación que hace la Comisión para el Mercado Financiero (CMF) del nuevo texto legal para los nuevos prestadores de servicios financieros. Sin duda que van a haber desafíos en su implementación, sobre todo con el principio de gradualidad, pero lo vislumbrado con el tenor literal de la ley no fue un cambio estratosférico.

Cristián Oppliger
Cristián Oppliger

El SFA representa sin duda un desafío mayor, dado que los datos de los Usuarios Finales, con su consentimiento y autenticación, estarán disponibles a través de APIs (formato de conexión de dos fases con actores proveedores de información, “IPIs”, y prestadores de servicios, “PSBIs”). Así, surgirá todo un nuevo mercado de productos financieros, con la incorporación de nuevos actores fintech que aportan “capas” de servicios tecnológicos, e incluso los mismos bancos que participarán activamente en este nuevo entorno de libre disposición de información (tanto como IPIs y PSBIs).

En cuanto a los desafíos regulatorios, se espera la normativa de carácter general que regule la operación de este sistema, dado que la CMF se encuentra en pleno proceso de desarrollo de mesas consultivas con los distintos actores interesados en esta regulación.

Este ha sido un proceso bastante novedoso en la historia regulatoria de la normativa financiera en Chile, dado que ha implicado un proceso participativo abierto al público general, en el cual se han discutido lineamientos generales respecto a preocupaciones, tanto en la relación regulador-regulado, como en definiciones concretas que se han podido anticipar.

Es de suma importancia destacar que este nuevo entorno Finanzas Abiertas generará un contexto telemático de libre disposición para los usuarios finales y algunas empresas, que traerá nuevos y complejos desafíos regulatorios que requerirán nuevas respuestas en la gestación de su normativa; siempre se debería propender a una buena programación -legal- desde un inicio.

Dentro de los aspectos relevantes que contiene el SFA y sin lugar a duda, un habilitador del sistema en sí, es la efectiva gestión del consentimiento del usuario. En ese sentido, la CMF ha constituido algunas mesas de discusión, en que se ha centrado sobre el modelo de consentimiento que se adoptará a nivel local, puesto que la normativa Fintec no lo desarrolló de manera extensa, debiendo quedar regulado en la norma técnica respectiva.

Juan Pablo González Gutiérrez
Juan Pablo González Gutiérrez

Las interrogantes asociadas al consentimiento, se centran en la integración entre la normativa sobre protección de datos personales -a propósito del Proyecto de Ley que se encuentra en su última etapa de tramitación en el Congreso- y la necesidad que el SFA funcione, logrando por una parte resguardar los datos personales de los clientes o usuarios, sin que ello afecte el performance del sistema en sí. Por lo mismo, interrogantes asociadas a la validez del consentimiento y de la autenticación, son aspectos críticos a resolver.

Entre otros de los temas que deberá abordar la norma técnica, son:

  • Separación del consentimiento de cualquier otra manifestación de voluntad; lo que cobra relevancia a propósito de otros acuerdos que se puedan realizar por parte del cliente y la institución financiera u otro actor del SFA.
  • Los términos y condiciones de uso como cualquier otro texto asociado que permita la obtención del consentimiento, debe estar en un lenguaje claro y sencillo; por lo que será un desafío pasar complejos textos jurídicos en un lenguaje que sea de fácil comprensión por parte del usuario o cliente.
  • Existencia de medios simples y expeditos tanto para la captura del consentimiento como la revocación, por lo que, contar con una buena gestión de los mismos, permite dar trazabilidad de lo que se autorizó y aquello que no. 
  • Claridad en cuanto a la duración del consentimiento, tomando como referencia algunos modelos internacionales que han considerado un plazo de 180 días y en casos excepcionales, que pueda extenderse hasta 12 meses. Lo importante será determinar cuál es el consentimiento que se requiere mantener. 
  • Distinción  entre consentimiento B2B y B2C. Esto para distinguir entre consentimiento de empresas y consentimiento de usuarios finales, lo que no es baladí, considerando las diversas regulaciones que pueden aplicarse en una u otra hipótesis. 
  • El rol de los paneles de control de gestión del consentimiento, para facilitar la efectiva gestión por parte de los usuario o clientes, como también por parte de la organización que debe acreditar la obtención de los mismos. Además, estos paneles ayudarán a ciertas obligaciones como publicidad y transparencia sobre los usos de la información capturada. 
  • Reporte anual de consentimiento a la CMF, existiendo la interrogante si la institución debe reportar anualmente los consentimientos vigentes y revocados o caducados, así como el uso de la información obtenida en el contexto del SFA.

Para concluir, sin lugar a duda, el apoyo de terceros que cuenten con experticia en cuanto a la gestión de consentimiento, será importante para el despliegue de este tipo de proyectos, especialmente, si analizamos en detalle los requisitos que establece la propia normativa sobre protección de datos personales, en que el consentimiento debe ser libre, expreso, específico, inequívoco e informado; se entenderá que las instituciones no deberán limitarse con la mera publicación de los términos y condiciones de uso, sino que realizar una estrategia para una comprensión respecto de lo que el usuario o cliente consentirá. Sin perjuicio, de entender que el asunto es más allá de lo que le corresponde a un área jurídica, sino que es necesaria la integración desde un visión de infraestructura y arquitectura TI, como de Gobernanza de Datos y Ciberseguridad, entre otros.

Cristián Oppliger es profesor de los diplomados de Derecho e Inteligencia Artificial y de Protección de Datos Personales y coordinador del diplomado de Regulación y Contratación Fintech todos de la Pontificia Universidad Católica de Chile. 

***Juan Pablo González Gutiérrez. Abogado regulación tecnológica y ciberseguridad

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close
Close