La revolución del ‘Open Finance’
27 de Octubre de 2023
Carolina Sesana
Supervisor de Servicios Legales KPMG Law
El Decreto 1297 del 2022, expedido por el Ministerio de Hacienda y Crédito Público, “modifica el Decreto 2555 de 2010 en lo relacionado con la regulación de las finanzas abiertas en Colombia”.
Dentro de la parte motiva del decreto, se ponen de presentes diferentes considerandos que son importantes resaltar para entender desde un contexto integral la importancia de la regulación de las finanzas abiertas (u “Open Finance”) en Colombia:
- El sistema financiero de Colombia atraviesa por un proceso de transformación y enfrenta una dinámica competitiva distinta, con mayor diversidad de actores y de necesidades digitales por parte del consumidor financiero, lo que obliga a mantener una regulación dinámica y activa que esté acorde con el momento económico del país, la tecnología y las necesidades del consumidor financiero.
- Para poder ajustarse a esa dinámica competitiva distinta del sector financiero, las entidades financieras vienen ajustando sus modelos para distribuir productos y servicios en ecosistemas propios o de terceros que garanticen una ampliación del portafolio al incluir servicios de tecnología e infraestructura que fortalezcan su valor y competitividad.
- El auge en la implementación de las finanzas abiertas a través de regulación de acceso a los datos del consumidor financiero, la creación de nuevas actividades como la iniciación de pagos y la definición de estándares tecnológicos.
El objetivo del decreto consiste en “precisar las normas aplicables a la transferencia de datos del consumidor entre entidades financieras, fomentar el acceso a dicha información en favor del desarrollo de nuevos servicios y funcionalidades financieras y aclarar las reglas bajo las cuales las entidades pueden comercializar sus servicios financieros a través de plataformas electrónicas, incluyendo una mayor transparencia en las condiciones de dichas interfaces y los roles de quienes intervienen en la cadena del servicio”.
Como innovación regulatoria, y de acuerdo con lo establecido en el libro 27 de la parte 2 del Decreto 2555 de 2010, el decreto adiciona al desarrollo de la industria de pagos electrónicos, la iniciación de pagos como una actividad del sistema de pagos para ser desarrollada por los participantes de la industria, cumpliendo con unos requerimientos específicos en pro de proteger al consumidor financiero y garantizar el adecuado funcionamiento del sistema en Colombia.
La iniciación de pagos, conforme lo establecido en el decreto, consiste en el “envío de una orden de pago o transferencia de fondos por un tercero a las entidades emisoras de los medios de pago, previa autorización del ordenante”.
Para un mejor entendimiento de la actividad de iniciación de pagos, a continuación, se presenta a modo ilustrativo, quiénes son los actores relevantes y el proceso de dicha actividad:
1. Actores:
- Usuario: es la persona natural o persona jurídica que necesita un medio de pago para realizar una compra[1].
- Iniciador: es el responsable de iniciar el pago frente al usuario y al beneficiario. Pueden ser iniciadores: (i) el Banco de la República, en su calidad de entidad administradora de sistemas de pago de bajo valor; (ii) los establecimientos de crédito; (iii) las sociedades especializadas en depósitos y pagos electrónicos; (iv) las entidades administradoras de sistemas de pago de bajo valor; y (v) las sociedades no vigiladas por la Superintendencia Financiera (Superfinanciera).
- Beneficiario: es el comercio, la empresa o la fintech que necesita recibir un pago directo desde el usuario, gestionado por el iniciador.
- EASPBV: son las entidades administradoras de sistemas de pago de bajo valor que habilitan el trámite de las órdenes de pago.
- Banco emisor: es el banco, la billetera o la cooperativa que dispone de los fondos del usuario y autoriza y ejecuta la orden de pago.
- Cámara de compensación y liquidación: son las cámaras de compensación que procesan las transacciones para compensar y liquidar el pago entre entidades financieras.
- Banco receptor: es el banco o la billetera del beneficiario que recibe los fondos del usuario y los acredita en la cuenta del beneficiario.
2. Proceso:
El decreto, además, (i) establece las reglas aplicables a los iniciadores de pagos con el objetivo de garantizar el libre acceso y promoción a la competencia y (ii) establece las reglas de operación de la iniciación de pagos.
Las reglas de operación de la iniciación de pagos son las siguientes:
- El iniciador no pueden iniciar órdenes de pago o de transferencia de fondos sin la autorización previa del usuario.
- Cada orden de pago o transferencia de fondos iniciada debe ser autorizada por el usuario.
- Para que las órdenes de pago sean tramitadas en el sistema de pagos, el banco emisor debe, en todos los casos, autenticar al usuario[2].
- El resultado de la autenticación debe ser informada al iniciador por medio de la EASPBV a través de la cual recibió la orden de pago o transferencia de fondos.
- El iniciador no podrá solicitar al usuario más información de la estrictamente necesaria para iniciar la orden de pago o transferencia de fondos. En ningún caso el iniciador puede tener acceso a las claves, contraseñas o mecanismos de autenticación del usuario con el banco emisor.
Frente a las reglas mencionadas anteriormente, es importante resaltar que la Superfinanciera “puede impartir instrucciones adicionales a sus entidades vigiladas con el fin de que las actividades desarrolladas” por el iniciador “se ejecuten en condiciones de seguridad, transparencia y eficiencia”.
Por otro lado, el decreto presenta un marco regulatorio para otros temas, como lo son: (i) el tratamiento de datos personales por parte de las entidades sujetas a la inspección y vigilancia de la Superfinanciera (adiciona el título 4° al libro 17 y el título 8° del libro 35 de la parte 2 del Decreto 2555 del 2010); (ii) introduce el marco regulatorio de los ecosistemas digitales (adiciona el título 9° al libro 35 de la parte 2 del Decreto 2555 de 2010) y (iii) los estándares y seguimiento a la arquitectura financiera abierta (adiciona el título 10 al libro 35 de la parte 2 del Decreto 2555 de 2010).
Respecto del punto (i) relativo al tratamiento da datos personales por parte de las entidades sujetas a la inspección y vigilancia de la Superfinanciera, el decreto consagró los siguientes aspectos:
- Como es de esperarse, es imperante la autorización expresa, previa e informada de los consumidores financieros para el tratamiento de sus datos personales por parte de las entidades vigiladas por la Superfinanciera;
- En todos los casos de tratamiento de datos personales de un consumidor financiero debe darse estricto cumplimiento a lo establecido en las normas relacionadas con protección de datos y habeas data (especial énfasis a la Ley 1266 del 2008);
- Las entidades vigiladas por la Superfinanciera deberán adoptar medidas de responsabilidad demostrada para garantizar el debido tratamiento de los datos personales que recolecten, usen, almacenen o traten[3];
- Las medidas para el cumplimiento de la responsabilidad demostrada por parte de las entidades vigiladas por la Superfinanciera deben ser apropiadas, efectivas, útiles, eficientes, demostrables y garantizar, en todo momento, la seguridad, confidencialidad, veracidad, calidad, uso y la circulación restringida de la información del consumidor financiero;
- Las entidades vigiladas por la Superfinanciera deben mantener la obligación de reserva bancaria de sus consumidores financieros y
- Las entidades vigiladas por la Superfinanciera podrán, en virtud del decreto, comercializar el uso, almacenamiento y circulación de los datos personales objeto de tratamiento, siempre que se dé cumplimiento a los requisitos antes mencionados.
En lo relativo al punto (ii), el decreto, al introducir el marco regulatorio de los ecosistemas digitales adicionando el título 9° al libro 35 de la parte 2 del decreto 2555 de 2010, establece tres aspectos relevantes: - La conexidad, entendiéndose esta como la facultad que tienen las entidades vigiladas por la Superfinanciera para “ofrecer para su comercialización, en sus canales no presenciales, productos o servicios de terceros no vigilados” por la Superfinanciera, siempre que dicho ofrecimiento tenga conexidad con sus operaciones autorizadas al promover el uso de los productos o servicios de la entidad vigilada[4]; - El uso de red, entendiéndose como tal la posibilidad de que un tercero que “ofrezca sus productos o servicios sea otra entidad vigilada” por la Superfinanciera, deberá dar cumplimiento a la regulación de uso de red[5]; y - El deber de información y alcance del ofrecimiento que las entidades vigiladas por la Superfinanciera deben cumplir cuando “ofrezcan para su comercialización, en sus canales no presenciales, servicios de terceros no vigilados” por la Superfinanciera[6].
Así mismo, el decreto establece frente al punto (ii) que en caso de que “el producto o servicio de la entidad vigilada sea ofrecido y prestado a través de la plataforma electrónica de un tercero no vigilado” por la Superfinanciera, este tercero será considerado un corresponsal digital de la entidad vigilada y, por lo tanto, le será aplicable la regulación prevista en el decreto para este canal. O, en caso de que el producto o servicio de la entidad vigilada por la Superfinanciera “sea ofrecido en una plataforma electrónica de un tercero y el consumidor financiero sea redireccionado al canal virtual de la entidad vigilada para allí finalmente adquirir o hacer uso de los productos o servicios financieros, será aplicable el régimen de canales que corresponda”.
Finalmente, frente al punto (iii), el decreto indica que será la Superfinanciera quien deberá establecer los estándares tecnológicos, de seguridad y otros que considere necesarios para el desarrollo de la arquitectura financiera abierta en Colombia. En el marco de las actividades de establecimiento de dichos estándares, la Superfinanciera podrá “crear una instancia con la participación del sector privado y otras autoridades” y tendrá un plazo de 12 meses siguientes a la expedición del decreto para impartir instrucciones a sus vigiladas, respecto de los estándares a los que se hace referencia en el artículo 2.35.10.1.1. del Decreto 2555 de 2010.
[1] Para efectos del presente documento, y con la finalidad de unificar términos, el ordenante al que se hace referencia en el decreto corresponde al usuario.
[2] La autenticación del Usuario debe realizarse en cumplimiento de las reglas que para tal efecto dicte la Superfinanciera.
[3] En desarrollo a lo establecido en el capítulo 25 del Decreto 1074 de 2015 y el artículo 19ª de la Ley 1266 de 2008.
[4] Al respecto, el Decreto establece que “las entidades vigiladas por la Superintendencia Financiera de Colombia podrán cobrar contraprestaciones a los terceros que ofrezcan productos y servicios en sus canales no presenciales”.
[5] Capítulo 2 del título 2 del libro 31 de la parte 2 y el título 1 del libro 34 de la parte 2 del decreto 1297 de 2022.
[6] Ley 1328 de 2009 y Ley 1480 de 2011.
Opina, Comenta
Ver todosKPMG ADVISORY …