March 8, 2024

La SFC expide regulación sobre las finanzas abiertas en Colombia

Simon Escobar, Camilo Gantiva, Juan Felipe Fontecha Mejía

+ Follow Contact

Send

Embed

Holland & Knight LLP

La Superintendencia Financiera de Colombia (SFC) expidió recientemente la Circular Externa 004 de 2024, mediante la cual se establecen los estándares necesarios para el despliegue de las finanzas abiertas en el país. La expedición de esta norma marca un hito importante en el desarrollo de un sistema financiero más inclusivo, transparente y competitivo.

Vale la pena recordar que el Decreto 1297 de 2022, el cual modificó el Decreto 2555 de 2010 en lo relacionado con la regulación de las finanzas abiertas, estableció en cabeza de la SFC la definición de los estándares tecnológicos, de seguridad y otros necesarios para el desarrollo de la arquitectura financiera abierta en Colombia.

La expedición de la Circular Externa 004 de 2014 habilita legalmente la expansión del modelo de finanzas abiertas en el país, brindando lineamientos claros para que las entidades vigiladas y demás actores del sector puedan participar de forma segura y transparente en el ecosistema de open finance.

De acuerdo con la norma, las finanzas abiertas deben entenderse como "la práctica en la cual las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) abren sus sistemas para que la información de los consumidores financieros pueda ser compartida de forma estandarizada con otras entidades vigiladas o con terceros, con la autorización del consumidor financiero y con el objetivo de que dichas entidades provean servicios a dichos clientes".

Este innovador modelo ha demostrado una gran capacidad de disrupción en el sistema financiero, pues representa una herramienta poderosa para profundizar la inclusión financiera en el país. El modelo permite que los consumidores financieros tengan control sobre su información financiera, abriendo la posibilidad para que estos puedan compartir dicha información con terceros a través de plataformas tecnológicas conocidas como API (Application Programming Interface). A raíz de lo anterior, surge la posibilidad de que las entidades financieras y otros actores no tradicionales del sector accedan a esta información con el objetivo de conocer en mayor detalle el perfil financiero de cada consumidor y ofrecer productos hechos a la medida de las necesidades de la población, lo que a su vez promueve la libre competencia, la entrada de jugadores innovadores al mercado y la innovación tecnológica y financiera.

La Circular Externa regula una variedad de aspectos relacionados con las finanzas abiertas, dentro de los cuales se destacan los siguientes:

define los estándares tecnológicos, de seguridad y demás necesarios para el desarrollo de las finanzas abiertas en condiciones de interoperabilidad
establece las obligaciones que deben cumplir las entidades vigiladas para que el tratamiento de los datos de los consumidores financieros se realice en condiciones de seguridad, transparencia y eficiencia
determina los lineamientos que deben cumplir las entidades vigiladas al comercializar con terceros la tecnología e infraestructura que utilicen para la prestación de sus servicios

En primer lugar, la norma define los estándares que deberán ser cumplidos por los terceros receptores de datos, entendidos como aquellas personas jurídicas que tratan los datos personales de los consumidores financieros en el marco de las finanzas abiertas, incluyendo requisitos en materia de tratamiento de datos personales, protección al consumidor y gestión de riesgos de seguridad de la información y ciberseguridad. Asimismo, se establece en cabeza de las entidades vigiladas la obligación de verificar que los terceros receptores de datos cumplan con todos los requisitos incorporados en la norma.

A su vez, la SFC establece que las entidades vigiladas que participen en el modelo de finanzas abiertas deberán contar con políticas, procedimientos y recursos técnicos y humanos necesarios para monitorear que los datos personales de los consumidores financieros se traten en condiciones de seguridad. Para el efecto, la norma contempla una serie de estándares de arquitectura, seguridad y tecnología que deben ser observados por las entidades vigiladas.

En materia de tratamiento de datos personales y protección al consumidor financiero, la norma establece obligaciones específicas que deben ser cumplidas por las entidades vigiladas, incluyendo la obligación de contar con la autorización previa, expresa e informada del consumidor financiero para el tratamiento de sus datos personales en el marco de las finanzas abiertas y verificar que el tercero receptor de datos que solicita la información del consumidor también cuente con dicha autorización, dando estricto cumplimiento a la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas sobre la materia.

Adicionalmente, la Circular Externa establece de manera expresa el contenido mínimo que deberá incluir la solicitud de autorización requerida al consumidor financiero, indicando además que dicha autorización debe estar expresada de forma sencilla, clara y precisa, de forma que permita su fácil comprensión.

En adición a lo anterior, la norma estableció obligaciones relacionadas con la revelación de información por parte de las entidades vigiladas que vinculen terceros receptores de datos en el marco de las finanzas abiertas. Específicamente, dichas entidades deberán publicar información actualizada sobre las condiciones de implementación de las finanzas abiertas en su página web, incluyendo los procedimientos para consultar, actualizar o revocar las autorizaciones otorgadas para el tratamiento de los datos personales del consumidor financiero, los procedimientos para suprimir los datos de los consumidores financieros y los canales de atención de la entidad vigilada y la información de contacto de los terceros receptores de datos para la atención de consultas y reclamos presentados por los consumidores financieros.

Por otro lado, la SFC impartió instrucciones para la comercialización de tecnología e infraestructura por parte de las entidades vigiladas. En ese sentido, el regulador financiero permitió que las entidades vigiladas comercialicen a terceros cualquier tecnología o infraestructura que hayan utilizado o utilicen para el ofrecimiento o prestación de servicios financieros y el desarrollo de actividades conexas. Para tal efecto, las entidades vigiladas deberán definir políticas robustas para el desarrollo de dicha actividad, así como para evaluar y gestionar todos los riesgos asociados a la comercialización de su tecnología e infraestructura.

Es importante resaltar que la norma dispone expresamente que las entidades vigiladas deberán utilizar recursos propios para cubrir las contingencias derivadas de cualquier incumplimiento de las obligaciones bajo los contratos mediante los cuales se instrumentalice la comercialización.

Por último, la norma permite que la información actualizada de los productos, canales, puntos de atención, servicios y tarifas de las entidades financieras sea puesta a disposición de terceros desarrolladores de API, o de cualquier otro mecanismo que permita el intercambio automático de información, siempre que las entidades vigiladas gestionen de forma adecuada los riesgos asociados al intercambio de la información mencionada.

Las entidades vigiladas que deseen participar en el modelo de finanzas abiertas tendrán un plazo de 18 meses contados a partir de la fecha de expedición de la Circular Externa para cumplir con los estándares de arquitectura, seguridad y tecnología establecidos en la norma y de seis meses para cumplir con las demás instrucciones sobre finanzas abiertas. Asimismo, las entidades vigiladas que se encuentren comercializando su tecnología e infraestructura deberán dar cumplimiento a las instrucciones contenidas en la norma en un plazo no mayor a 12 meses.

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.