México es pionero en los esfuerzos en materia de innovación financiera con la publicación y entrada en vigor de la Ley para Regular las Instituciones de Tecnología Financiera, o mejor conocida como la Ley Fintech, en marzo de 2018. Dentro del artículo 76 de dicho marco normativo, se incluyó la figura de la Banca Abierta, considerada por muchos, el movimiento que va a revolucionar la forma en la que hoy las personas conocen y manejan sus finanzas en el mundo digital, utilizando como combustible, la data de las personas.

Si bien esta tendencia tiene su primer antecedente en Europa a través de la Directiva de pagos 2015/23662, mejor conocida como PSD2, el modelo de mayor maduración es el de Reino Unido. A través de una resolución de la Autoridad de Mercado y Competencia (CMA); los nueve bancos más grandes de dicho país debieron permitir a terceros el acceso a su información, a través de interfaces de programación de aplicaciones (APIS), a quienes obtuvieran una autorización por parte de la propia CMA (principalmente Startups o Fintechs). Solamente en Julio 2020, Reino Unido alcanzó 475 millones consultas de APIs exitosas.[1]

Cabe señalar que cada país ha o está adoptando diversos modelos con respecto a la Banca Abierta, diferenciándose principalmente en: 

• número de sectores o entidades involucradas
• impulso por la obligatoriedad legal o únicamente regulado de forma opcional; y
• APIs involucradas (tipo de información y/o funciones como la iniciación de pagos)

El modelo mexicano, si bien deja fuera la posibilidad de iniciar pagos digitales a través de terceros, que sí incluyen otros modelos en el mundo, permite a terceros tecnológicos tener acceso ágil, inmediato y estandarizado a la información que las entidades financieras como bancos, casas de bolsa, sofomes, sofipos, etc, custodian, y ahora estarán obligadas a compartir a través de APIs[2]. Los tipos de información que contempla y define el esquema mexicano son:

1. abierta, como ubicación, descripción y condiciones de sus productos, sucursales, cajeros;
2. agregada o estadística; y
3. transaccional incluidos datos financieros de sus clientes, como saldos, movimientos y productos contratados; estos solo pueden compartirse con la condición de que se cuente con el consentimiento de las personas, titulares de los datos.

Con esta información, los actuales y nuevos participantes de la industria financiera o tecnológica estarán en posibilidad de conocer mejor a sus clientes; a su vez tendrán el potencial de mejorar, crear y ofrecer servicios personalizados y modulares.

Si bien, de primera impresión esta figura legal podría interpretarse como riesgosa o en contravención con derechos ya maduros dentro de nuestro marco legal, como son la protección de datos personales y el secreto bancario. Si entramos a fondo en dichos derechos encontramos que estos modelos realmente se convierten en catalizadores positivos del derecho de las personas a decidir sobre sus datos.

Antes de entrar de lleno a este análisis me gustaría tomar del Reporte de Open Banking MX 2019[3],  ciertas precisiones sobre lo que no es la Banca Abierta en México, para clarificar su entendimiento, así como algunos casos de uso:

 ¿Qué no es Banca Abierta?

• No es una obligación para que las personas deban compartir su información financiera si no lo quieren.
• No es una medida que únicamente obligue a bancos, su alcance involucra a más de 20 subsectores y más de 2,300 entidades financieras
• No permite a cualquier tercero obtener información sin la autorización de las personas. Los terceros, en los casos de datos transaccionales, deben estar autorizados por la autoridad determinada y siempre contar con el consentimiento de los titulares de los datos.
• No está involucrada solo una autoridad financiera. Dependiendo del subsector (seguros, bancos, buros de crédito) la Banca Abierta es regulada y supervisada por la Comisión Nacional Bancaria de Valores (CNBV), Banco de México o la Comisión Nacional de Seguros y Fianzas.
• No es una regulación que sólo aplique a bancos o sólo beneficie a la Fintechs. Se permite la interoperabilidad y el intercambio multilateral donde todas financieras reguladas pueden consultarse entre ellas mismas, obteniendo beneficios para todo el ecosistema.

Beneficios y Caso de Uso

 La Banca Abierta tiene el potencial de transformar el ecosistema financiero y la experiencia del consumidor en la industria bancaria, convirtiéndose en el motor de innovación del sector financiero. Permitirá al consumidor mexicano tener una mejor visibilidad y entendimiento de sus finanzas y de los servicios financieros existentes, sumado a que podrá disfrutar de más y mejores productos diseñados para las necesidades y preferencias particulares de los consumidores.

Algunos ejemplos son:

Cajero o sucursal ideal

Ubicación sencilla y al instante del cajero o sucursal que cubra las necesidades específicas de una persona en un momento especifico como: cercanía, menores comisiones, disponibilidad de: efectivo estacionamiento, depósitos, etc. Lo anterior sin importar de qué entidad es cada cajero o sucursal.

Administración Personal o Empresarial de sus Finanzas

Visibilidad integrada (incluyendo todas las entidades donde se tenga una cuenta o crédito), detallada y personalizada de sus cuentas, créditos, movimientos, pagos realizados o pendientes y hábitos de consumo.

Comparativa de productos personalizada

Recomendación del producto o productos que más cubra las necesidades y expectativas de un usuario particular, en un momento particular, acorde a sus hábitos y comportamiento financiero.

Protección de datos personales

Ya que tenemos un mejor entendimiento sobre qué es y cómo puede funcionar la Banca Abierta, surgen cuestionamientos y preocupaciones sobre la privacidad de la información y el alcance o responsabilidad que se le otorga a las entidades, tanto obligadas como solicitantes.

Si bien, la información a la que se puede tener acceso a través de la Banca Abierta puede ser diferente de los datos financieros de los clientes, el enfoque relevante de este artículo se centra en ellos. En México, la regulación de protección de datos personales en el ámbito privado está fundamentada en los artículos 16 y 73 constitucionales, de la cual se desprende la Ley Federal de Protección de Datos Personales en Posesión de Particulares LFPDPPP, y a su vez su normativa secundaria. Este conjunto de normas tiene como objetivo la protección de las personas a través del adecuado manejo de sus datos personales, regulando su tratamiento.[4]

Atendiendo las figuras consideradas en la LFPDPPP que intervienen en la Banca Abierta podemos observar lo siguiente:

Ahora bien, otra consideración a analizar es: ¿Qué tipo de dato son los datos transaccionales que deberán compartir las entidades obligadas a través de la Banca Abierta? Inicialmente podrían encuadrarse como datos personales patrimoniales, a los cuales la LFPDPPP establece la necesidad de solicitar el consentimiento expreso del titular para su tratamiento y que será requisito para su obtención por parte de las entidades solicitantes.

Sin embargo, dada la definición abierta[5] que nuestra norma tiene de los datos personales sensibles, es posible que llegue a interpretarse que los datos transaccionales se encuadran en ella, donde la LFPDPPP prohíbe la creación de bases de datos de este tipo sin que se justifique la creación de estas para finalidades lícitas que persiga el responsable. También se exige consentimiento expreso y por escrito del titular y se debe limitar el periodo de tratamiento de los datos a efecto de que sea el mínimo indispensable, requisitos que podrían hacer compleja la implementación de la Banca Abierta en México bajo esta interpretación.

Así mismo, la LFPDPPP incluye dentro de las obligaciones por parte los responsables, el cumplimiento de 8 principios[6] y la atención a 4 derechos[7], los cuales deberán ser considerados por las entidades obligadas previo a la transferencia de datos y por las entidades solicitantes a partir del momento de la misma.

Uno de los principios que más dudas puede generar, es el consentimiento, el cual es un requisito para el tratamiento de los datos personales, y no debe interpretarse que puede dejar de cumplirse a por la obligación de la Banca Abierta

Si bien la LFPDPPP permite hacer una transferencia de datos sin consentimiento del titular cuando se realice para dar cumplimiento a alguno otra ley, en el caso de la Banca Abierta se hace especial énfasis en que el intercambio de la información transaccional sea únicamente cuando el titular (cliente) lo autorice de forma transparente y consciente, y pueda revocar dicha autorización de forma sencilla y en cualquier momento.

Un derecho no contemplado en la norma mexicana pero que puede considerarse relacionado a la Banca Abierta es el de portabilidad de datos. Este derecho incorporado en el Reglamento General de Protección de Datos Europeo, implica que, siendo técnicamente posible, los datos personales pueden, por instrucción de su titular, transmitirse directamente de una entidad a otra.

La Agencia Española de Protección[8] de datos explica que este nuevo derecho de portabilidad es una extensión del derecho de acceso a los datos personales. Siguiendo dicho criterio podríamos, interpretar que la Banca Abierta considerada en la Ley Fintech mexicana,  respecto a los datos trasnacionales de las personas, es una extensión del derecho de acceso contemplado en al LFPDPPPP al habilitar a los usuarios el control y autodeterminación sobre su información financiera. 

Secreto Bancario

La Ley de Instituciones de Crédito (LIC), brinda especial protección a la información de los movimientos financieros de las personas a través del secreto bancario[9], entendido éste como aquel deber jurídico que tienen los bancos, sus directores, personal, empleados y personas que tienen relación directa con ellos, de mantener con carácter de confidencial la información sobre cualquier tipo de operación que se celebre con sus cuentahabientes. En caso de revelación indebida de dicha información, obligará a reparar los daños y perjuicios que se causen.

Por su parte, la circular única de bancos de la CNBV (CUB), establece la definición de “Información Sensible del Usuario”[10],  y obliga a las instituciones bancarias a implementar medidas para asegurar la transmisión de este tipo de información en forma segura y/o cifrada.

Si bien ni la LIC ni la CUB contienen una excepción clara para que las entidades obligadas puedan compartir datos transaccionales de sus clientas a terceras entidades solicitantes vía el modelo de Banca Abierta, la propia Ley Fintech sí hace esa mención de esto en su artículo 77:

“El intercambio de información a que se refiere el artículo anterior no se entenderá como violación a las obligaciones de confidencialidad impuestas a las entidades mencionadas en dicho artículo, en esta y demás leyes aplicables”

La regulación secundaria de la Ley Fintech en materia de intercambio de datos transaccionales vía APIs, tendrá el reto de definir los elementos mínimos para asegurar la identidad y la autorización del cliente que consiente la transferencia de su información. De igual forma se deberán definir los requisitos que las entidades solicitantes deberán cumplir para la transmisión, almacenamiento y custodia de los datos financieros de las personas, la cual no deberá ser menor a la establecida por la LFPDPPPP.

Conclusiones

La información y los datos son el motor de la economía digital. Su manejo, segmentación y explotación son de alto valor si se utilizan de manera adecuada. Debemos tener claro que si queremos que las industrias desarrollen más y mejores servicios enfocados en nuestras necesidades y hábitos; y que, a su vez, esto facilite nuestra vida, es necesario que las entidades nos conozcan mejor y para ello deben tener acceso a nuestros datos.

La Banca Abierta permite lo anterior en el sector financiero, sustentándose en la facultad de las personas de compartir su información con quien, y para lo que consideremos conveniente, refrendando la regla de que las personas son las únicas dueñas de la información y solo ellas pueden decidir sobre la misma, con el entendimiento que las entidades financieras son sus custodios.

Por lo tanto, la regulación de Banca Abierta no atenta contra la privacidad de las personas y no se contrapone con lo establecido por la LFPDPPP, la LIC y/o la CUB, sino por el contrario, la Banca Abierta viene a complementar y fortalecer la privacidad de las personas al garantizar mayor control de su información.

Concluyo haciendo dos reflexiones finales:

• • La banca abierta no juega sola, requiere de tecnología que permita ordenar y analizar grandes cantidades de datos para conocer realmente a los clientes. Por lo que el uso de estas herramientas de inteligencia o aprendizaje automatizado deberán, a su vez, proteger la privacidad de las personas.
  • La Banca Abierta necesita mentes abiertas que logren convertir los datos del cliente en beneficios y funciones que faciliten la vida financiera de las personas.

Jonathan G. Garzon, Head of Digital Business and Innovation at Cecoban.

[1] http://www.openbanking.org.uk/about-us/latest-news/open-banking-highlights-july-2020/

[2] Las APIs son el factor tecnológico clave en el esquema de banca abierta, ya que son el set de mecanismos y protocolos técnico seguro y abierto de comunicación entre las entidades obligadas y solicitantes, de forma estandarizada, y cuyo objetivo es simplificar su implementación y el mantenimiento. A través de las APIs se permite que cada entidad controle de forma independiente sus accesos, sistemas e información, únicamente exponiendo rutinas o acciones específicas que la entidad solictante necesita, en este caso a la obtención de información específica.

[3] http://www.cecoban.com/Reporte_Open_Banking_MX_2019_Cecoban.pdf

[4] Por tratamiento la LFPDPPP define: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio (fisco y/o electrónico). El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

[5] LFPDPPP establece una definición abierta para el concepto de datos sensibles, siendo estos aquellos que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. Es este último elemento es donde podría interpretarse que un mal uso del detalle de los movimientos, saldos y productos contratados de una persona puede generar un riesgo grave para ella.

[6] Licitud, consentimiento, información, proporcionalidad, calidad, responsabilidad, lealtad, información.

[7] Acceso, rectificación, cancelación y oposición.

[8] http://www.aepd.es/es/prensa-y-comunicacion/blog/que-es-el-derecho-la-portabilidad

[9] Artículo 142.- La información y documentación relativa a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrán dar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio. (…)

Los empleados y funcionarios de las instituciones de crédito serán responsables, en los términos de las disposiciones aplicables, por violación del secreto que se establece y las instituciones estarán obligadas en caso de revelación indebida del secreto, a reparar los daños y perjuicios que se causen. (…)

[10] La información del Público Usuario, que contenga nombres, domicilios, teléfonos o direcciones de correo electrónico, o cualquier otro dato que identifique a dichas personas en conjunto con números de tarjetas bancarias, números de cuenta, límites de crédito, saldos, montos y demás datos de naturaleza financiera, así como Identificadores de Usuarios o información de Autenticación.

Ebook completo: DE LA CRISIS A LA TRANSFORMACIÓN: La industria legal en el 2020 – Una visión de Iberoamérica