Luego de poco más de un año desde el inicio de su tramitación, el 04 de enero recién pasado fue publicada la Ley N°21.521 que promueve la competencia e inclusión financiera a través de la innovación y tecnología en la prestación de servicios financieros, también conocida como “Ley Fintech”.

Según se desprende del mismo texto, el objeto principal de esta ley es establecer un marco general para incentivar la prestación de servicios financieros a través de medios tecnológicos y que estará sometida a la fiscalización de la Comisión para el Mercado Financiero (en lo sucesivo, “Comisión” o “CMF”). Enseguida, la ley regulará la comercialización de los servicios de plataformas de financiamiento colectivo, sistemas alternativos de transacción, asesoría crediticia y de inversión, custodia de instrumentos financieros y enrutamiento de órdenes e intermediación de instrumentos financieros.

No obstante que el objeto principal de esta nueva normativa es establecer un marco regulatorio en los términos señalados, dentro de su articulado igualmente se establecen normas relevantes referidas al tratamiento y resguardo de datos personales en el ámbito financiero y también medidas de ciberseguridad relevantes, disposiciones que se contemplan a propósito del Título dedicado al Sistema de Finanzas Abiertas (en adelante, el “Sistema”) creado por esta ley.

Como se indicará en los próximos párrafos, el Sistema pretende establecer un mecanismo para facilitar el traspaso ágil y expedito de información de clientes financieros entre distintas instituciones llamadas a participar. En ese sentido, se establecen reglas que buscan regular el tratamiento de esta información, exigiendo el consentimiento del titular (cliente financiero), la adopción de medidas de seguridad para preservar la información, estableciendo responsabilidad para las instituciones participantes en el tratamiento de esta información y otorgando facultades fiscalizadoras para la CMF.

No obstante lo anterior, la implementación del Sistema y especificaciones de su funcionamiento se entregan a la CMF, quien deberá dictar normas de carácter general sobre distintas materias que determinarán su aplicación en la práctica (v.gr., modo en que se considera otorgado el consentimiento del titular y de qué forma puede éste ser revocado). De esta forma, la ley sólo establece lineamientos generales y para comprender a cabalidad el Sistema será necesario conocer esta nueva normativa cuya dictación queda a cargo de la Comisión.

I. Sobre el Sistema, principios que lo rigen e instituciones participantes

El Sistema de Finanzas Abiertas (el “Sistema”) tiene por objeto promover la competencia, innovación e inclusión en el sistema financiero a través del intercambio entre distintos prestadores de información de clientes financieros que hubieren consentido expresamente en ello a través de interfaces de acceso remoto y automatizado que permitan una interconexión y comunicación directa entre los participantes, bajo adecuados estándares de seguridad. En términos simples, el Sistema busca facilitar el intercambio expedito y seguro de cierta información y datos de clientes financieros entre las distintas instituciones que participan en el mismo.

Según se describe en la ley, las instituciones participantes serán aquellas que califiquen como: (i) instituciones proveedoras de información, (ii) instituciones proveedoras de servicios basados en información, (iii) instituciones proveedoras de cuentas y (iv) instituciones proveedoras de servicios de iniciación de pagos. Éstas deberán adoptar las medidas necesarias para permitir la consulta, acceso, entrega e intercambio de información, según corresponda, respecto de los tipos de datos, productos y servicios financieros relativos a clientes financieros, sean personas naturales o jurídicas, que hayan contratado productos o servicios financieros o realizado operaciones financieras con ellos.

Finalmente, el legislador exige a las instituciones partícipes observar los principios de proporcionalidad, calidad, transparencia e información al cliente, seguridad y privacidad de los datos, trato no discriminatorio e interoperabilidad.

II. Información y datos que contemplará el Sistema

Atendido que el propósito del Sistema es facilitar el intercambio de información entre distintas instituciones dentro del sistema financiero, el legislador ha enlistado de un modo no taxativo qué tipo de información y datos quedan comprendidos en aquel.  

A modo de síntesis, el Sistema deberá comprender los siguientes datos e información: (i) términos y condiciones generales de productos y servicios financieros que las instituciones ofrezcan; (ii) información de identificación y registro de los clientes y sus representantes y que recaben las instituciones proveedoras de información; (iii) información sobre las condiciones comerciales contratadas y el uso o historial de transacciones de Clientes; (iv) comunicaciones entre proveedores de servicios financieros para un proceso de portabilidad financiera; (v) datos o información necesaria para la prestación de servicios de iniciación de pagos y; (vi) cualquier otro dato o información relativo a productos o servicios financieros o iniciación de otro tipo de transacciones que pueda disponer la CMF.

En armonía con los principios que rigen el tratamiento de datos personales, la Ley Fintech exige el consentimiento de los clientes financieros para habilitar a las distintas instituciones a intercambiar su información, siendo ésta la única base de licitud reconocida por la ley que los habilita para el tratamiento de aquellos datos personales.

Serán las instituciones señaladas por la ley las que deberán obtener el consentimiento previo y explícito del cliente para realizar consultas de información, el que deberá manifestarse en forma libre, informada, expresa y específica en cuanto al tipo de información financiera, finalidad y el periodo máximo de validez de la autorización, identificando, además, a la institución requirente. Enseguida, el cliente financiero podrá revocar el consentimiento otorgado en cualquier momento, quedando vedada la institución respectiva para continuar utilizando dicho consentimiento para nuevas consultas de información.

Sin perjuicio de lo anterior, será la normativa dictada por la CMF la que determinará cuándo se reputará otorgado el consentimiento expreso por parte de los clientes financieros para todos los efectos legales y la forma en que éstos podrán revocarlo.

III. Obligación de seguridad

La ley establece que las instituciones participantes en el Sistema deberán adoptar las medidas necesarias para cumplir con estándares mínimos de seguridad de la información y ciberseguridad y políticas de gestión de riesgos y control interno que establezca la CMF.

Dichas medidas tendrán por objeto el resguardo de la confidencialidad, integridad y disponibilidad de los datos y de la información, y prevenir riesgos a los sistemas de información que los procesan, con el propósito de prevenir la divulgación y/o modificación no autorizada de la información, y las interrupciones no autorizadas de los sistemas tecnológicos. Asimismo, las instituciones deberán considerar el riesgo inherente a cada tipo de información y la calidad de dato sensible contenido en la Ley N° 19.628, sobre Protección de la Vida Privada (Ley de Protección de Datos Personales o “LPD”).

Finalmente, frente a cualquier vulneración de las medidas de seguridad indicadas, las instituciones participantes deberán reportar los incidentes de seguridad a la CMF sin dilaciones, por los medios y en los términos y condiciones que ésta establezca en una norma de carácter general y adoptar las medidas de mitigación de riesgos correspondientes.

Sin perjuicio de que resta aún dotar de contenido concreto a estos estándares de seguridad exigidos, resulta relevante destacar que estas reglas vienen en complementar la normativa dispersa que contempla la LPD referida a la obligación de seguridad en el tratamiento de datos personales (i.e., normas contenidas en la Ley N° 20.584, Ley N° 20.120, Capítulos de la Recopilación Actualizada de Normas de la CMF, entre otras).

IV. Responsabilidad de los participantes

La Ley Fintech establece una regla general de responsabilidad de los participantes del Sistema, quienes deben resguardar la integridad, disponibilidad, seguridad y confidencialidad de los datos involucrados en cada transacción y la adecuada privacidad de la información de los clientes financieros, sin perjuicio de exigencias legales adicionales en relación con el tratamiento de datos que cada participante realice y las disposiciones de la LPD.

Enseguida, las instituciones indicadas en la ley deberán implementar las medidas necesarias para garantizar la seguridad en el tratamiento de datos que realicen en el contexto de las consultas de acceso a información financiera, con especial resguardo respecto de los fines para los cuales fue autorizado por el cliente financiero, sin que puedan utilizar, almacenar o acceder a datos del cliente no comprendidos dentro de la autorización o consentimiento antes referida o en caso que dicho consentimiento haya sido revocado por el cliente o haya expirado su periodo de validez. Asimismo, deberán adoptar las medidas necesarias y responder ante los clientes en caso de alteración, destrucción, pérdida, tratamiento o comunicación o acceso no autorizado a datos de los clientes.

V. Facultades fiscalizadoras de la CMF

La ley confiere a la CMF facultades de fiscalización y supervisión del Sistema y de las instituciones participantes en el cumplimiento de sus obligaciones. Para estos efectos, la CMF deberá observar los principios de proporcionalidad basada en riesgos, neutralidad tecnológica e interoperabilidad entre instituciones participantes.

Las facultades de la CMF se establecen sin perjuicio de los deberes y obligaciones cuyo cumplimiento corresponda a las instituciones participantes de conformidad con el ordenamiento general, incluyendo la Ley sobre Protección a los Derechos de los Consumidores y LPD.

La calificación de la Comisión como ente fiscalizador del cumplimiento de esta normativa por parte de las distintas instituciones, en adición a las materias que quedarán entregadas a su arbitrio a través de la dictación de normativa de carácter general, son antecedentes que permiten identificar a la Comisión como una verdadera autoridad de protección de datos personales de carácter financiero dentro de nuestro sistema.

Esta nueva concepción de la Comisión debe tenerse presente a la hora de definir las facultades y cómo pueden conversar plenamente entre sí con la nueva autoridad de protección de datos que propone el texto del Proyecto de Ley para modificar la actual Ley N°19.628 de protección de la vida privada (el “Proyecto”, que se encuentra actualmente en tramitación en el Congreso.), que es el texto legal que regula el tratamiento de datos personales en Chile y, eventualmente, con la Agencia Nacional de Ciberseguridad que propone el Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

VI. Incorporación de infracciones en materia de datos personales

Una novedad que incorpora la Ley Fintech se refiere a un catálogo de infracciones gravísimas de obligaciones en materia de datos personales contenido en las normas transitorias, las que serán aplicables en la medida en que no exista un catálogo dentro de la LPD

La finalidad de incorporar este catálogo es conferir sentido y contenido a los artículos 19 y 20 de la ley que establece impedimentos para ciertas instituciones de registrarse, cuando procediere, no pudiendo, a falta de dicho registro, participar en el Sistema. De este modo, es importante clarificar que no se trata de un listado de infracciones de aplicación general.

Dentro de estas infracciones encontramos: efectuar tratamiento de datos personales en forma fraudulenta, destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza el tratamiento, comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de los datos, entre otras listada en la ley.

Esta nueva ley que, como se puede apreciar, establece lineamientos generales a propósito del Sistema sobre tratamiento de información y datos personales en el ámbito financiero contribuye a generar un nuevo ecosistema en la materia, el que en cualquier caso resta aún por definir en mayor detalle a partir de la normativa de carácter general que dicte la Comisión. A su turno, este ecosistema debe igualmente mirarse bajo la nueva mirada que busca instaurar el Proyecto, siendo necesario determinar la forma en que ambas normativas coexistirán eventualmente.  

La Ley Fintech entrará en vigor luego de transcurridos treinta días desde su publicación en el Diario Oficial (es decir, desde el 03 de febrero), exceptuando las disposiciones contenidas en el Título II (Servicios financieros basados en tecnología) y III (Sistema de Finanzas Abiertas) y otras adicionales referidas en la Ley.

El Sistema de Finanzas Abiertas entrará en vigor desde la dictación de la normativa por parte de la CMF, la que, a su vez, deberá dictarse dentro del plazo de dieciocho meses contados desde la publicación de la Ley en el Diario Oficial.