Por Irving Peña, Sandra Romero, Susana Bravo y Javier Contreras
La Ley para Regular las Instituciones de Tecnología Financiera, conocida como Ley Fintech, es un marco regulatorio en México que busca fomentar la innovación financiera y proteger a los usuarios, manteniendo la estabilidad y la integridad del sistema financiero.
Los servicios fiduciarios involucran la gestión y administración de activos por parte de una institución financiera (fiduciaria) en beneficio de una tercera parte. La naturaleza de estos servicios implica un alto grado de confidencialidad conocido como secreto fiduciario.
La Ley Fintech mexicana contempla la posibilidad de que las instituciones financieras utilicen tecnologías innovadoras para ofrecer sus servicios, lo que incluye el uso de APIs. Estas APIs permitirían la interconexión con otras plataformas y sistemas, facilitando la creación de servicios financieros más accesibles y personalizados.
Según el artículo 76 de la Ley, todas las entidades financieras están obligadas a compartir información mediante Interfaces de Programación de Aplicaciones (APIs). Esto incluye datos transaccionales y de productos de los usuarios que pueden ser compartidos con terceros autorizados, siempre que exista consentimiento explícito del cliente.
La información compartible bajo open banking podría incluir:
- Detalles sobre la naturaleza y características de los productos fiduciarios.
- Información sobre las transacciones realizadas dentro del marco de un fideicomiso.
- Datos sobre el rendimiento de los activos dentro del fideicomiso.
Restricciones y Protecciones
Es fundamental considerar que la información sensible o personal, especialmente aquella protegida por el secreto fiduciario, no puede ser compartida libremente. Esto incluye:
- Identidades de los fideicomitentes y beneficiarios.
- Detalles específicos sobre los activos que no están directamente relacionados con transacciones o productos financieros.
- Cualquier otra información que pueda comprometer la privacidad o la seguridad del fideicomiso o sus participantes.
Consentimiento del Cliente
La clave para compartir cualquier información a través de open banking es el consentimiento del cliente. Este debe ser informado, explícito y revocable. Los clientes deben tener control total sobre qué datos se comparten y con quién.
Comparación Internacional
Al observar las prácticas de open banking en otros países, se puede encontrar que la tendencia global es hacia una mayor transparencia y acceso a datos financieros. Sin embargo, siempre se mantiene un equilibrio cuidadoso con la privacidad y la protección de datos personales. En la Unión Europea, por ejemplo, el Reglamento General de Protección de Datos (GDPR) y la Directiva de Servicios de Pago (PSD2) establecen límites estrictos sobre cómo y cuándo se pueden compartir los datos financieros.
Open Banking y Secreto Fiduciario
El concepto de open banking se basa en la idea de que los bancos proporcionen acceso a sistemas y datos financieros a través de APIs. Esto permite que terceros desarrollen nuevos servicios y aplicaciones que pueden interactuar con las cuentas bancarias de los usuarios, con su consentimiento explícito.
Sin embargo, el secreto fiduciario representa un desafío para la plena integración de los servicios fiduciarios en open banking. La confidencialidad es fundamental en los servicios fiduciarios, ya que se manejan activos e información sensible del fideicomitente (quien aporta los activos) y del beneficiario.
Análisis con Base en la Ley Fintech de México
Según la Ley Fintech, las instituciones financieras deben garantizar la seguridad de la información y proteger la privacidad de los usuarios . Esto sugiere que cualquier integración de servicios fiduciarios con APIs deberá diseñarse para cumplir con estos requisitos estrictos.
Conclusión
La integración de servicios fiduciarios con APIs es viable bajo la Ley Fintech de México, pensando en los productos estandarizados que propicien un mejor comportamiento el sistema financiero, sin embargo la autoridad debe comenzar con aquellos servicios financieros de mayor volumen y con mayor impacto como son cuentas de débito, crédito e inversión siempre y cuando se respete la confidencialidad intrínseca de estos servicios.
Por ello, es importante que en paralelo a la integración de las APIs, se adopte una política de seguridad de la información que proteja en todo momento la confidencialidad, la integridad y la disponibilidad de los datos, lo cual se puede lograr de la mano de un aliado idóneo en Ciberseguridad e Identidad Digital que provea a las instituciones financieras de:
- Mecanismos de identificación y autenticación del personal responsable del manejo de APIs, bajo el principio de mínimo privilegio.
- Cifrado de la información almacenada y de los canales por los que se envían los datos.
- Procesos de gestión para la atención de incidentes de seguridad de la información que se presenten en la operación de las APIs, entre otros.
Es necesario el desarrollo de protocolos claros que permitan el intercambio de información útil pero que no vulneren la privacidad ni el secreto fiduciario. Para esto, la colaboración entre reguladores, instituciones financieras y proveedores tecnológicos será crucial para garantizar que se atiendan tanto las necesidades de innovación como las obligaciones legales y éticas hacia los clientes.
Irving Peña, Sandra Romero, Susana Bravo y Javier Contreras
Especialistas TMSourcing
