7 de marzo de 2024

La SFC expide regulación sobre las finanzas abiertas en Colombia

Holland & Knight Alert
Camilo Gantiva Hidalgo | Juan Felipe Fontecha Mejía | Simon Escobar

La Superintendencia Financiera de Colombia (SFC) expidió recientemente la Circular Externa 004 de 2024, mediante la cual se establecen los estándares necesarios para el despliegue de las finanzas abiertas en el país. La expedición de esta norma marca un hito importante en el desarrollo de un sistema financiero más inclusivo, transparente y competitivo.

Vale la pena recordar que el Decreto 1297 de 2022, el cual modificó el Decreto 2555 de 2010 en lo relacionado con la regulación de las finanzas abiertas, estableció en cabeza de la SFC la definición de los estándares tecnológicos, de seguridad y otros necesarios para el desarrollo de la arquitectura financiera abierta en Colombia.

La expedición de la Circular Externa 004 de 2014 habilita legalmente la expansión del modelo de finanzas abiertas en el país, brindando lineamientos claros para que las entidades vigiladas y demás actores del sector puedan participar de forma segura y transparente en el ecosistema de open finance.

De acuerdo con la norma, las finanzas abiertas deben entenderse como "la práctica en la cual las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) abren sus sistemas para que la información de los consumidores financieros pueda ser compartida de forma estandarizada con otras entidades vigiladas o con terceros, con la autorización del consumidor financiero y con el objetivo de que dichas entidades provean servicios a dichos clientes".

Este innovador modelo ha demostrado una gran capacidad de disrupción en el sistema financiero, pues representa una herramienta poderosa para profundizar la inclusión financiera en el país. El modelo permite que los consumidores financieros tengan control sobre su información financiera, abriendo la posibilidad para que estos puedan compartir dicha información con terceros a través de plataformas tecnológicas conocidas como API (Application Programming Interface). A raíz de lo anterior, surge la posibilidad de que las entidades financieras y otros actores no tradicionales del sector accedan a esta información con el objetivo de conocer en mayor detalle el perfil financiero de cada consumidor y ofrecer productos hechos a la medida de las necesidades de la población, lo que a su vez promueve la libre competencia, la entrada de jugadores innovadores al mercado y la innovación tecnológica y financiera.

La Circular Externa regula una variedad de aspectos relacionados con las finanzas abiertas, dentro de los cuales se destacan los siguientes:

  • define los estándares tecnológicos, de seguridad y demás necesarios para el desarrollo de las finanzas abiertas en condiciones de interoperabilidad
  • establece las obligaciones que deben cumplir las entidades vigiladas para que el tratamiento de los datos de los consumidores financieros se realice en condiciones de seguridad, transparencia y eficiencia
  • determina los lineamientos que deben cumplir las entidades vigiladas al comercializar con terceros la tecnología e infraestructura que utilicen para la prestación de sus servicios

En primer lugar, la norma define los estándares que deberán ser cumplidos por los terceros receptores de datos, entendidos como aquellas personas jurídicas que tratan los datos personales de los consumidores financieros en el marco de las finanzas abiertas, incluyendo requisitos en materia de tratamiento de datos personales, protección al consumidor y gestión de riesgos de seguridad de la información y ciberseguridad. Asimismo, se establece en cabeza de las entidades vigiladas la obligación de verificar que los terceros receptores de datos cumplan con todos los requisitos incorporados en la norma.

A su vez, la SFC establece que las entidades vigiladas que participen en el modelo de finanzas abiertas deberán contar con políticas, procedimientos y recursos técnicos y humanos necesarios para monitorear que los datos personales de los consumidores financieros se traten en condiciones de seguridad. Para el efecto, la norma contempla una serie de estándares de arquitectura, seguridad y tecnología que deben ser observados por las entidades vigiladas.

En materia de tratamiento de datos personales y protección al consumidor financiero, la norma establece obligaciones específicas que deben ser cumplidas por las entidades vigiladas, incluyendo la obligación de contar con la autorización previa, expresa e informada del consumidor financiero para el tratamiento de sus datos personales en el marco de las finanzas abiertas y verificar que el tercero receptor de datos que solicita la información del consumidor también cuente con dicha autorización, dando estricto cumplimiento a la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas sobre la materia.

Adicionalmente, la Circular Externa establece de manera expresa el contenido mínimo que deberá incluir la solicitud de autorización requerida al consumidor financiero, indicando además que dicha autorización debe estar expresada de forma sencilla, clara y precisa, de forma que permita su fácil comprensión.

En adición a lo anterior, la norma estableció obligaciones relacionadas con la revelación de información por parte de las entidades vigiladas que vinculen terceros receptores de datos en el marco de las finanzas abiertas. Específicamente, dichas entidades deberán publicar información actualizada sobre las condiciones de implementación de las finanzas abiertas en su página web, incluyendo los procedimientos para consultar, actualizar o revocar las autorizaciones otorgadas para el tratamiento de los datos personales del consumidor financiero, los procedimientos para suprimir los datos de los consumidores financieros y los canales de atención de la entidad vigilada y la información de contacto de los terceros receptores de datos para la atención de consultas y reclamos presentados por los consumidores financieros.

Por otro lado, la SFC impartió instrucciones para la comercialización de tecnología e infraestructura por parte de las entidades vigiladas. En ese sentido, el regulador financiero permitió que las entidades vigiladas comercialicen a terceros cualquier tecnología o infraestructura que hayan utilizado o utilicen para el ofrecimiento o prestación de servicios financieros y el desarrollo de actividades conexas. Para tal efecto, las entidades vigiladas deberán definir políticas robustas para el desarrollo de dicha actividad, así como para evaluar y gestionar todos los riesgos asociados a la comercialización de su tecnología e infraestructura.

Es importante resaltar que la norma dispone expresamente que las entidades vigiladas deberán utilizar recursos propios para cubrir las contingencias derivadas de cualquier incumplimiento de las obligaciones bajo los contratos mediante los cuales se instrumentalice la comercialización.

Por último, la norma permite que la información actualizada de los productos, canales, puntos de atención, servicios y tarifas de las entidades financieras sea puesta a disposición de terceros desarrolladores de API, o de cualquier otro mecanismo que permita el intercambio automático de información, siempre que las entidades vigiladas gestionen de forma adecuada los riesgos asociados al intercambio de la información mencionada.

Las entidades vigiladas que deseen participar en el modelo de finanzas abiertas tendrán un plazo de 18 meses contados a partir de la fecha de expedición de la Circular Externa para cumplir con los estándares de arquitectura, seguridad y tecnología establecidos en la norma y de seis meses para cumplir con las demás instrucciones sobre finanzas abiertas. Asimismo, las entidades vigiladas que se encuentren comercializando su tecnología e infraestructura deberán dar cumplimiento a las instrucciones contenidas en la norma en un plazo no mayor a 12 meses.

En Holland & Knight asesoramos activamente a entidades financieras y otras empresas del sector financiero en la adopción de estrategias y políticas internas que permitan cumplir con las nuevas regulaciones en materia de finanzas abiertas. Monitoreamos de forma permanente la implementación de normas que puedan tener un efecto directo sobre el funcionamiento del sistema financiero y los diferentes actores que la componen.

Para más información sobre este asunto, puede ponerse en contacto con los autores.

La información contenida en esta alerta es para la educación y el conocimiento general de nuestros lectores. No está diseñada para ser, y no debe ser usada como, la única fuente de información cuando se analiza y resuelve un problema legal, y no debe sustituir la asesoría legal, que se basa en un análisis específico de los hechos. Además, las leyes de cada jurisdicción son diferentes y cambian constantemente. Esta información no tiene por objeto crear, y su recepción no constituye, una relación abogado-cliente. Si tiene preguntas específicas sobre una situación de hecho concreta, le instamos a que consulte a los autores de esta publicación, a su representante de Holland & Knight o a otro asesor legal competente.

 

Related Practices

Latin America Practice Colombia Practice International Practices Banking Law Financial Services Financial Services Regulations International Financial Regulations Corporate Services Data Strategy, Security & Privacy Technology Compliance Services

Related Industries

Financial Services Technology & Telecommunications
Subscribe to Updates and Events
Click to Sign Up

Related Insights