México es uno de los primeros países en todo el mundo en tener una regulación en el sector fintech y el open banking. Desde marzo de 2018, se emitió la Ley para Regular las Instituciones de Tecnología Financiera, mejor conocida como la Ley Fintech, con lo cual, México toma la delantera en la creación de un ecosistema financiero más eficiente, económico e inclusivo.
El open banking es un modelo en el que las personas, y no sus instituciones financieras, son las dueñas de sus datos. Mediante la tecnología, los usuarios pueden otorgar el permiso para compartir cierta información con otros proveedores autorizados. El beneficio para los usuarios de open banking será obtener mejores productos y servicios. Aquí te compartimos bajo qué condiciones operará este modelo.
El open banking en la Ley Fintech
El artículo 76 de la Ley Fintech regula en específico el open banking. En él se establece que, todas las entidades financieras, desde bancos, fintechs, hasta sociedades de información crediticia; deben habilitar interfaces de programación de aplicaciones (APIs, por sus siglas en inglés) estandarizadas, que permitan la conectividad y el acceso a otras interfaces desarrolladas por terceros especializados en tecnologías de la información, con el fin de compartir información financiera de manera segura.
Las Entidades Financieras y las Instituciones Financieras de Tecnología Financiera (ITF) que no implementen APIs, con el fin de compartir información financiera con entidades autorizadas, tendrán una multa de 15,000 a 75,000 Unidades de Medida y Actualización (UMA), es decir, alrededor de $1,303,200 y $6,516,000 MXN.
Te puede interesar: El valor de las APIs para las instituciones financieras
¿Qué tipo de información se puede compartir según la Ley Fintech?
Los tipos de datos que estarán obligadas a compartir las entidades del sector financiero, según el artículo 76 de la Ley Fintech, son los siguientes:
1) Datos abiertos
Son datos generados por las entidades financieras que no contienen información confidencial. Por ejemplo: información de productos y servicios que ofrecen al público en general, la ubicación de sus oficinas, sucursales, cajeros automáticos, entre otros.
2) Datos agregados
Son relativos a cualquier tipo de información estadística relacionada con operaciones realizadas a través de las entidades financieras. Sin embargo, no se debe identificar los datos personales o transacciones de una persona.
Cabe destacar que, solo tendrán acceso a los datos agregados de las personas, los que cuenten con los mecanismos de autenticación que establezcan las Comisiones Supervisoras, como la CNBV, CONSAR, CNSF y CONDUSEF; respecto a sus ámbitos de competencia, o el Banco de México.
3) Datos transaccionales
Son aquellos relacionados con el uso de un producto o servicio. Se incluyen cuentas de depósito, créditos y medios de disposición contratados a nombre de los clientes de las entidades financieras. Además, se puede abarcar otra información vinculada con las transacciones realizadas en la infraestructura tecnológica del banco, por ejemplo. Estos datos solo se podrán compartir con previa autorización de los clientes.
Te puede interesar: Regulación de la CNBV para datos abiertos
…
¿Qué requisitos existirán para el intercambio de información?
El intercambio de información estará sujeto a las disposiciones de carácter general, que emitan las Comisiones Supervisoras o el Banco de México. Por ello, es importante estar al pendiente de sus comunicados y de las regulaciones secundarias.
En el caso de las sociedades de información crediticia y cámaras de compensación se podrán establecer los estándares necesarios para la interoperabilidad de APIs, desde el diseño y el mantenimiento, hasta aspectos de seguridad. Asimismo, se establecerán los mecanismos para obtener el consentimiento del cliente.
Te puede interesar: Regulación de Banxico para open banking
¿Cualquier institución podrá acceder a información financiera?
De acuerdo con la regulación del open banking en México, para el acceso acceso a las APIs de las entidades financieras se requerirá autorización previa de las Comisiones Supervisoras o del Banco de México, según sea el caso.
Asimismo, se deberán autorizar las contraprestaciones que cobren las entidades financieras por el intercambio de datos e información. Estas deberán ser equitativas y transparentes a todos los individuos involucrados para que no se constituyan barreras de entrada, formales, regulatorias, económicas o prácticas.
Las Comisiones Supervisoras o el Banco de México, previo a derecho de audiencia que se otorgue a las instituciones financieras, podrán ordenar la suspensión parcial o total, temporal o definitiva del intercambio de información y datos que se realice, en protección de los intereses públicos.
Te puede interesar: Lecciones del Reglamento general de protección de datos europeo
¿Cuáles medidas existirán para supervisar el acceso a las APIs?
Las autoridades podrán solicitar a las entidades financieras registros, documentos, datos, informes o cualquier otra información necesaria para verificar el cumplimiento de la ley y las reglamentaciones que se indiquen en ella. Los terceros también deberán brindar esta documentación a través de las entidades financieras con las que colaboren.
Adicionalmente, las Comisiones Supervisoras o el Banco de México emitirán a las entidades financieras, los requerimientos de información. O bien, se harán las observaciones y medidas correctivas que se realicen para asegurar la integridad de la información.
Las Comisiones Supervisoras o el Banco de México están facultados para efectuar actos de supervisión, inspección y vigilancia a entidades financieras y a terceros; estos últimos, incluso, pueden ser sujetos a auditorías. No obstante, siempre se deberá especificar el objeto de las inspecciones o auditorías, las cuales deberán acatarse al servicio contratado y al cumplimiento de la Ley y las disposiciones que de ella emanen.
Por lo tanto, las entidades financieras y los terceros, deberán elaborar contratos. En ellos se formalizará el intercambio de datos e información; la estipulación expresa del tercero contratado, que acepta apegarse a lo establecido en el artículo 76 de la Ley Fintech.
Razones para detener el acceso a la información financiera
La información obtenida a través de las APIs, únicamente, podrá ser utilizada para los fines estrictamente autorizados por los clientes. Por ello, en caso de que se ponga en riesgo la información o incumplimiento de los términos y condiciones para el intercambio de información, se interrumpirá el acceso de información.
La interrupción deberá ser notificada a las Comisiones Supervisoras o al Banco de México, según corresponda, en un período de no mayor a dos horas a partir de su detección. Dichas instituciones podrán ordenar el restablecimiento de acceso a la información, en caso de una suspensión injustificada.
En conclusión, la Ley Fintech marca un gran avance para implementar el open banking en todas las instituciones financieras en México. Es un paso enorme, ya que en Europa, por ejemplo, la regulación marca que solo los bancos están obligados a implementar APIs. De manera que, con la participación de todas las instituciones financieras, será más fácil la integración y el aprovechamiento de la información financiera.
Es una buena noticia que, quienes tengan acceso a la información de las personas, tendrán mecanismos de autorización; supervisión y vigilancia para asegurar el correcto uso de datos. Mientras que las autoridades tendrán la facultad de suspender o cancelar su intercambio.
¡Suscríbete a nuestro Newsletter!
Recibirás acceso gratis a nuestro webinar “Open banking: de la teoría a la práctica”.