Open banking en México hasta mediados del 2022
Hoy colabora, Rodrigo Mora, licenciado en Derecho por el ITAM. Una de sus más recientes experiencias profesionales fue la gestión de varias autorizaciones en el marco de la Ley Fintech.
Estamos en una era en la cual el petróleo ya no es el activo más valioso. Las nuevas tecnologías y la forma en cómo las usamos han hecho que los datos sean una fuente de conocimiento importante para determinar el comportamiento y preferencias de los individuos.
Si es cierto, como varios intelectuales han dicho a través del tiempo, que “el conocimiento es poder”, hoy, las empresas que cuenten con mayor información en cuanto a los hábitos de consumo de sus clientes, tendrán mayores posibilidades para llevar a cabo nuevas formas de comunicación con los consumidores en beneficio de mayores ventas.
El 9 de marzo del 2018, se publicó en el Diario Oficial de la Federación la Ley para Regular las Instituciones de Tecnología Financiera (la Ley Fintech). Esta ley es un parteaguas al ser una de las primeras legislaciones en América Latina que regula las empresas de tecnología financiera y sus actividades.
Aunque no es materia de esta colaboración el exponer si la Ley Fintech ha sido benéfica o perjudicial para estas empresas, no se puede negar que su contenido es innovador al regular el financiamiento colectivo (crowdfunding), los fondos de pago electrónicos (e-wallets), la banca abierta (open banking) y los modelos novedosos (sandbox).
Aunque en México se habla regularmente de las actividades de financiamiento colectivo y de los fondos de pago electrónico, así como de sus operaciones y crecimiento que han tenido en el mundo, son pocos los que se han centrado en estudiar y analizar las operaciones que se pueden llevar a cabo con la banca abierta y los beneficios e implicaciones que se pueden derivar en un futuro cercano.
Este avance normativo se afianza ahora en un país que ya es el mercado fintech líder en América Latina, al sumar más de 394 empresas que ofrecen servicios financieros con ayuda de la tecnología, de acuerdo con el Fintech Radars, elaborado por Finnovista. Le siguen Brasil, con 380; y Colombia, con más de 180.
El primer Informe de Banca Digital de Finnovista, desarrollado en colaboración con Fintech Expert, identifica 182 herramientas digitales en México desarrolladas por 39 instituciones financieras en el país.
Con base en la Ley Fintech, la banca abierta está regulada como la obligación, por parte de las entidades financieras y otras entidades supervisadas, de establecer interfaces de programación de aplicaciones informáticas estandarizadas (por su acrónimo en inglés, APIs) con otras entidades financieras, entidades supervisadas y terceros especializados en tecnologías de la información con el fin de compartir datos financieros abiertos, datos agregados o datos transaccionales.
Aunque La Ley Fintech no señala mecanismos, requisitos o particularidades de la operación de banca abierta, dejando esta labor a la regulación secundaria la cual es emitida por el Banco de México y la Comisión Nacional Bancaria y de Valores, es importante hacer notar que ya existe la obligación para dichas entidades de proporcionar datos de operaciones bancarias y de sus clientes a terceros.
Para la operación de la banca abierta, la Ley Fintech distingue tres tipos de datos: los datos financieros abiertos, los datos agregados, y los datos transaccionales.
Los primeros son los generados por las entidades y que no contienen información confidencial tales como características de productos y servicios que ofrecen al público general, la ubicación de sus oficinas y sucursales, etcétera; los segundos son los relativos a cualquier tipo de información estadística relacionada con operaciones realizadas por o a través de las entidades sin contener datos personales o transacciones de una persona, y, los terceros, son aquellos relacionados con el uso de un producto o servicio contratados a nombre de los clientes de las entidades así como información relacionada con las transacciones que sus clientes hayan realizado o intentado realizar en su infraestructura tecnológica.
Como nos podemos dar cuenta, estos tipos de datos representan información muy diferente entre sí, por lo que su tratamiento por parte de la regulación secundaria que emiten las autoridades competentes, debe ser diferente y adecuarse a los casos de uso de los diversos tipos de datos.
La primera parte de la regulación secundaria de la banca abierta fue publicada en marzo y junio de este año por parte de Banco de México y la Comisión Nacional Bancaria y de Valores, respectivamente; el primero publicó la Circular 2/2020 dirigida a las Sociedades de Información Crediticia y Cámaras de Compensación (la “Circular”), y la segunda publicó las Disposiciones de Carácter General relativas a las Interfaces de Programación de Aplicaciones Informáticas Estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera (las “Disposiciones”).
Las Disposiciones regulan solamente a los datos financieros abiertos por lo que solo prevén requisitos mínimos que deben cumplir las entidades y los solicitantes de datos para poder compartir los datos financieros abiertos mientras que la Circular, al regular datos financieros abiertos y datos agregados proporcionados por las Sociedades de Información Crediticia y Cámaras de Compensación, prevé requisitos adicionales para llevar a cabo la transmisión de datos.
La última edición del Fintech Radar de Finnovista para México identifica 441 startups Fintech en el país, lo que representa un incremento anual del 14%.
Como se indica en la exposición de motivos de las Disposiciones, los datos financieros abiertos no contienen información considerada como confidencial por lo que la Comisión Nacional Bancaria y de Valores tomó esto en consideración para publicar, a través de las Disposiciones, un marco normativo de requisitos mínimos para poder llevar a cabo la transmisión de los datos financieros abiertos a través de las APIs.
Las Disposiciones prevén que las entidades y los terceros especializados en tecnologías de la información, cuyas APIs cumplan con las características de seguridad de las sesiones, de acceso, de desarrollo e infraestructura, y la estructura de los mensajes de datos conforme a lo indicado en la misma, no requerirán autorización por parte de la Comisión Nacional Bancaria y de Valores para acceder a los datos financieros abiertos de las entidades. Lo anterior permite que las entidades y los terceros especializados en tecnologías de la información puedan acceder a los datos financieros abiertos sin necesidad de llevar a cabo algún trámite ante la autoridad generando rapidez y eficiencia al momento de compartir los mismos.
Es necesario señalar que, aunque es una obligación el proveer de APIs para compartir estos datos, las entidades que los compartan podrán cobrar una comisión por dicha actividad, en cuyo caso la misma deberá ser autorizada por la Comisión Nacional Bancaria y de Valores debiendo dicha entidad proporcionarle el método, información y variables empleadas para su cálculo.
Un solicitante de datos deberá tener esto en mente para analizar el costo-beneficio de obtener los datos financieros abiertos de una entidad y determinar si dichos datos representarán un valor agregado considerable para sus operaciones.
A diferencia de las Disposiciones, la Circular además de regular los datos financieros abiertos, también regula los datos agregados. Esta circular señala que para poder acceder a estos tipos de datos, los solicitantes deberán solicitar autorización al Banco de México una vez que esta autoridad haya publicado en su página de internet los tipos de datos e información que las Cámaras de Compensación y las Sociedades de Información Crediticia estén autorizadas para compartir. Esta solicitud deberá contener las medidas que implementará el solicitante de datos para cumplir con los estándares establecidos en la Circular y en cada API respectiva, así como los tipos de datos a los que pretenda acceder.
Asimismo, para poder acceder a los datos que compartan las Cámaras de Compensación o las Sociedades de Información Crediticia, es necesario que los solicitantes de los datos y estas entidades celebren un contrato de interconexión, el cual deberá contener al menos (i) la aceptación del solicitante de los datos de someterse a lo señalado en el artículo 76 de la Ley Fintech, (ii) copia de la autorización otorgada por Banco de México del solicitante de datos para acceder a la API, (iii) la obligación por parte del solicitante de datos de notificar a la Cámara de Compensación o la Sociedad de Información Crediticia sobre la revocación de la autorización, (iv) las obligaciones de confidencialidad, seguridad e integridad de la información en congruencia con la Ley Fintech, la Circular y el plan de trabajo autorizado por el Banco de México, (v) permitirse recíprocamente la remisión al Banco de México de la información y documentación que intercambien entre sí, (vi) los mecanismos y esquemas de soporte para solucionar problemas de carácter técnico, (vii) las causas de suspensión o terminación del acceso a los datos por acciones u omisiones del solicitante de datos, (viii) la prohibición de subcontratar o ceder los derecho u obligaciones del contrato, (ix) la vigencia sujeta a la revocación de las autorizaciones de Banco de México, (x) una cláusula de rescisión en caso de que el solicitante de datos incumpla con la Ley, la Circular o el plan de trabajo autorizado por el Banco de México, (xi) el procedimiento que se llevará a cabo para rescindir o terminar el contrato, (xii) el sometimiento a los tribunales federales mexicanos y la renuncia expresa a otra jurisdicción competente.
Además, las Cámaras de Compensación y las Sociedades de Información Crediticia también podrán cobrar contraprestaciones a los solicitantes de datos por la información que les compartan, las cuales deberán ser autorizadas por el Banco de México para lo cual deberán proporcionarle entre otras cosas, la periodicidad de la contraprestación así como el importe o método de cálculo.
Finalmente, es necesario señalar que, a diferencia de las Disposiciones (las cuales ya entraron en vigor), la Circular entrará en vigor a los 360 días siguientes al de su publicación en el Diario Oficial de la Federación, es decir que, conforme a los artículos transitorios de la misma, las obligaciones para las Cámaras de Compensación y de las Sociedades de Información Crediticia de habilitar las APIs no comenzarán hasta mediados del próximo año (2021), además que estas entidades contarán con un plazo de 360 días a partir de la entrada en vigor de la Circular (es decir a mediados de 2022) para obtener la autorización por parte del Banco de México para implementar las APIs y poder comenzar a compartir los datos.
Aunque me he centrado en el análisis de la regulación secundaria existente en materia de banca abierta, es necesario dedicar un apartado al análisis de los datos transaccionales ya que estos datos son los que, a consideración de muchos, representan la mayor fuente de información que se puede proporcionar.
Los datos transaccionales han sido objeto de controversia durante muchos años. El denominado “Secreto Bancario” establecido primeramente en el artículo 117 de la Ley de Instituciones de Crédito y posteriormente en el artículo 142 de la misma señala que las instituciones de crédito no podrán compartir información o documentación acerca de las transacciones que lleven a cabo sus clientes salvo por las excepciones mencionadas en el mismo (solicitud por parte de la Secretaría de Hacienda y Crédito Público, el Procurador General de la República, la Auditoría Superior de la Federación, etc.). A pesar de dichas excepciones, durante varios años la Suprema Corte de Justicia de la Nación se ha visto envuelta en discusiones sobre si dichas excepciones son o no constitucionales. La última gran controversia fue el año pasado cuando se declaró que para efectos de investigación de posibles delitos era inconstitucional que las instituciones de crédito dieran los datos transaccionales de sus clientes a la autoridad investigadora por lo que solo se podían compartir estos datos con una previa orden judicial, posteriormente la misma Suprema Corte de Justicia de la Nación desechó su criterio sin dar certeza jurídica sobre si el artículo 142 era o no constitucional.
https://www.gob.mx/cnbv/acciones-y-programas/boletines-de-inclusion-financiera
La Ley Fintech retoma esta controversia llevándola a otro nivel de discusión. Si bien es cierto que las entidades no son autoridades, con base en el artículo 76 de la Ley Fintech pueden compartir los datos transaccionales de sus clientes a otras instituciones financieras y terceros especializados en tecnologías de la información siempre y cuando cuenten con la autorización expresa de estos; además, el artículo 77 de dicha ley señala que “el intercambio de información a que se refiere el artículo anterior no se entenderá como violación a las obligaciones de confidencialidad impuestas a las entidades mencionadas en dicho artículo, en esta y demás leyes aplicables.”
A pesar de que no es materia de este artículo determinar la constitucionalidad o inconstitucionalidad de los artículos 76 y 77, es importante hacer notar que estos artículos otorgan una excepción fundamental al secreto bancario porque ya no solo son las autoridades las que pueden solicitar estos datos, como lo señala el artículo 142 de la Ley de Instituciones de Crédito, sino que ahora se pueden compartir datos transaccionales a entidades financieras o a particulares, reiterándolo, con el consentimiento expreso del usuario.
Aunque aún falta que se emita la regulación secundaria aplicable a los datos transaccionales y aunque aún sea muy pronto para determinar si las Disposiciones y la Circular son una buena base normativa que regule y de certeza jurídica para llevar a cabo la transmisión de los datos financieros abiertos y los datos agregados, las empresas deben ver que la Ley Fintech les ha abierto una nueva posibilidad de acercarse e interactuar con sus clientes dado que al poder obtener información sobre las preferencias y hábitos de estos (formas de pago, lugar de compra, etc.), la experiencia que le pueden brindar al usuario tendrá un impacto significativo si se atienden las necesidades de estos.
¿Quién es Rodrigo Mora?
Rodrigo Mora cuenta con el título de Licenciado en Derecho por el ITAM y con un L.L.M. por Northwestern Pritzker School of Law. En 2018 ingresó al despacho White & Case en donde se desempeñó en cuestiones relacionadas con el área bursátil así como con la legislación fintech, participando en el proceso para obtener la autorización para operar como una institución de fondos de pago electrónico y una institución de financiamiento colectivo. Actualmente es gerente jurídico de una empresa transnacional de retail.