En agosto de 2021 la Asociación de Bancos, BancoEstado y la Asociación de Empresas Fintech de Chile conformaron una mesa de trabajo de cara a implementar el sistema de finanzas abierta, la cual alcanzó un acuerdo marco que establece estándares mínimos de seguridad, responsabilidad y mecanismos de lectura de datos de clientes, de cara a implementar la Ley Fintech.
zEn agosto de 2021 la Asociación de Bancos, BancoEstado y la Asociación de Empresas Fintech de Chile conformaron una mesa de trabajo de cara a implementar el sistema de finanzas abierta, la cual alcanzó un acuerdo marco que establece estándares mínimos de seguridad, responsabilidad y mecanismos de lectura de datos de clientes, de cara a implementar la Ley Fintech.
Mientras en el Congreso la Ley Fintech avanza a toda máquina, las instituciones que participarán en particular del sistema de finanzas abiertas, que busca mejorar el acceso a productos financieros mediante la entrega de información de clientes a entidades competidoras, lograron un acuerdo que facilitará la implementación de la ley.
En agosto de 2021 la Asociación de Bancos e Instituciones Financieras (ABIF), BancoEstado y la Asociación de Empresas Fintech de Chile (FinteChile) conformaron una mesa de trabajo de cara a implementar el sistema de finanzas abierta, la cual alcanzó un acuerdo que establece estándares de seguridad, responsabilidad y mecanismos de lectura de datos de clientes de manera controlada.
El acuerdo marco firmado por las partes establece primero que “es responsabilidad de las instituciones que consultan contar con la autorización explícita de sus clientes para el acceso, uso, almacenamiento y tratamiento de la información que se obtenga a través de la captura de dato”, y que “dicha autorización deberá señalar de manera explícita la finalidad del tratamiento de los datos, acotando el acceso, uso, almacenamiento y tratamiento sólo a aquellos datos estrictamente necesarios para cumplir el fin declarado”.
A la vez, se establece que “las instituciones que consultan deberán contar con procesos y mecanismos de protección de la información confidencial de los clientes, tales como credenciales, datos personales y financieros almacenados o procesados, asegurando que se cumplan con las mejores prácticas internacionales en términos de encriptación y administración segura de llaves criptográficas para datos en tránsito y reposo”.
En esa línea, se precisa que el consentimiento del cliente deberá manifestarse en forma libre, informada, expresa, y específica en cuanto al tipo de información financiera a la que pueden acceder las instituciones que consultan; la finalidad de la información; y el período máximo de validez de la autorización.
Con todo, fue respecto de la seguridad de los datos y la responsabilidad de quienes los almacenen uno de los puntos que había generado polémica a principios de año y que llevó a que la mesa entre la ABIF y Fintechile se estancara Sin embargo, en el acuerdo marco lograron cerrar las diferencias y se establecieron una serie de mecanismos al respecto.
Así, el texto establece que “las instituciones que consultan deberán implementar y gestionar una Política de Seguridad de la Información, que les permita gestionar su operación y toma de decisiones basadas en la administración de sus riesgos tecnológicos y de ciberseguridad, debiendo cumplir, al menos, con las disposiciones indicadas en el Capítulo 20-10 de la Recopilación Actualizada de Normas de la CMF”.
Al respecto, detalla que se “se establece una “línea base” de esta norma que deben cumplir todas las instituciones así como también los controles que deberá evaluar cada institución que consulta de acuerdo con su “Gestión basada en Riesgo”, dependiendo del tamaño y naturaleza de la misma”.
“Adicionalmente, las instituciones que consultan deberán implementar un modelo de información oportuna a las Instituciones que Proveen sobre cualquier evento anómalo (alerta o incidente), vulnerabilidades técnicas de categoría crítica o eventos de fraude identificados en la infraestructura de la institución que consulta, y que afecte la seguridad de la información de los clientes o de la Institución que Provee”, dice el acuerdo marco.
Sobre las responsabilidades de los datos, el texto establece que las instituciones que consultan “serán responsables ante sus clientes por las vulneraciones a sus datos personales, en conformidad con la Ley 19.628 y sus modificaciones”, y que los firmantes del acuerdo establecen “un procedimiento simplificado para determinar la responsabilidad de las partes por operaciones desconocidas por clientes de las Instituciones que Proveen según la Ley 20.009, conforme se indica en la presente sección”.
Con todo, el acuerdo marco es sólo una base para que las entidades individuales firmen contratos bilaterales entre sí de cara a la implementación del sistema una vez que se apruebe la Ley Fintech.
