1. La entrada en vigencia de la Ley N°21.521 (en adelante la LFCH), que promueve la competencia e inclusión financiera a través de la innovación y la tecnología en la prestación de servicios financieros, por entidades no bancarias, ha sido disruptiva económica, tecnológica y jurídicamente. Porque el Derecho es respuesta el ordenamiento jurídico estaba naturalmente llamado a hacerse cargo de la disrupción y debía regular la prestación de los servicios financieros que contempla la LFCH^[i]. Nuevas modalidades de negocios significaron que la banca reaccionó percibiendo la afectación de su mercado propio por el uso de tecnologías como el webscraping. Y la prestación de servicios financieros tales como el otorgamiento de créditos, los servicios de crowfunding o de plataformas de financiamiento colectivo, los servicios de iniciación de pagos^[ii] y el financiamiento de operaciones de factoring, proveídos por empresas per se tecnológicas -que desreguladas- se instalaron en nichos de mercado que antes eran propios de instituciones financieras, necesitaban una normativa de Orden Público Económico que ordenara las conductas de mercado y estableciera un órgano fiscalizador.

2. El concepto anglosajón “Fintech”, que por exigencia expresa de la Ley N°21.521 en Chile se ha latinizado a Fintec, alude a un mercado y a un ecosistema que resulta de la unión entre las finanzas y las tecnologías de la información y las telecomunicaciones o TICs –esencialmente el uso de redes e Internet y sus aplicaciones en teléfonos inteligentes-, y se visualiza posicionado e instalado en la banca, en la industria tecnológica y en la academia como una disrupción entre los servicios financieros y la innovación digital. Busca cambiar la forma en que los consumidores financieros, los innovadores, los inversionistas, los prestadores de servicios y el sector bancario crean, gestionan e intercambian activos financieros digitales.

3. El tema de la seguridad, de un SGSI o Sistema de Gestión de la Seguridad de la Información según estándares ISO 27001 y ss, o de la ciberseguridad, es esencial. Y visualizado en su momento como uno de los reparos de la banca a tener que compartir y abrir sus bases de datos, era una objeción fundada, toda vez que cada apertura implica el riesgo de crear una brecha de seguridad. Es que dentro de sus características esenciales, (i) tienen un modelo de negocios de riesgo alto, pero con un retorno de inversión también alto; (ii) ofrecen productos enfocados en los clientes, que buscan que su experiencia sea lo más intuitiva y fácil posible mientras manejan la API; (iii) de cara a los clientes, proveen transparencia sobre las funcionalidades de sus procesos y productos; (iv) operan en base a plataformas digitales, para que sus clientes puedan ver la información en tiempo real y realizar operaciones; y, (v) cuentan –o “deben contar”- con un alto grado de seguridad para que los datos de sus sistemas no sean accesados indebidamente.La solución pasa por exigir y fiscalizar el cumplimiento de medidas técnicas y organizativas idóneas por los operadores Fintec, determinadas por la CMF, auditables en su cumplimiento y bajo apercibimiento de sanciones en casos de incumplimientos.

4. Las concretas exigencias en materia de seguridad y de ciberseguridad son múltiples, son generales o particulares, cruzan el texto legal y se proyectan a diversos ámbitos. Así por ejemplo, a propósito de las obligaciones de información establecidas en el artículo 8°, que además la CMF deberá definirlas mediante una norma de carácter general, específicamente sobre la información que deberán proveer a sus clientes o difundir al público en general quienes estén inscritos en el Registro y realicen actividades de custodia de instrumentos financieros, cuáles son las condiciones de seguridad, acceso y funcionamiento de sus sistemas o infraestructura y las interrupciones o contingencias que presenten.

En el artículo 12 y a propósito de los gobiernos corporativos y la gestión de riesgos[iii], se mandata a la CMF para establecer, mediante norma de carácter general, los estándares de gobierno corporativo y gestión de riesgos pero “incluyendo aspectos de ciberseguridad y seguridad de la información”, que permitirán presumir que quienes están inscritos en el Registro cumplen con las exigencias legales[iv].

En el artículo 16, a propósito de los objetivos y principios del Sistema de Finanzas Abiertas, cuando se opere a través de a través de interfaces de acceso remoto y automatizado que permitan una interconexión y comunicación directa entre las instituciones participantes del Sistema, debe hacerse “bajo adecuados estándares de seguridad” que se fijarán. En el mismo artículo, pero confundiendo “confidencialidad” con “privacidad”, se dispone que en el cumplimiento de sus deberes y obligaciones, las instituciones que participen en el Sistema de Finanzas Abiertas deberán observar los principios de proporcionalidad, de calidad, de transparencia e información al cliente, “de seguridad” y de privacidad de los datos… entre instituciones participantes[v].

El artículo 19, inciso segundo, dispone que los requisitos y antecedentes que se deberán acompañar para inscribirse en el Registro de Proveedores de Servicios basados en Información, la necesidad de acreditar “el cumplimiento de los requisitos técnicos y de seguridad de información establecidos en los artículos 21 y 22”, los cuales podrán establecer exigencias diferenciadas en atención al tipo de datos a los que los Proveedores de Servicios basados en Información podrán acceder.

En cuanto a los referidos, el artículo 21 sobre medios de entrega e intercambio de información establece que deberá efectuarse por medio de una o más interfaces, de acceso remoto y automatizado que deberán mantener disponible los participantes del Sistema de Finanzas Abiertas, cuyos estándares mínimos determinará la Comisión mediante norma de carácter general; en concreto, ella (i) establecerá los “requisitos y condiciones necesarios para el diseño, desarrollo y mecanismos de seguridad de estas interfaces”, para el acceso, envío u obtención de datos e información en forma estandarizada, y (ii) asegurará la interoperabilidad entre instituciones participantes y la continuidad operacional a través de un mecanismo alternativo de intercambio de información en caso que la o las interfaces respectivas se encuentren inhabilitadas, así como como cualquier otro requisito que la Comisión determine como necesario para el seguro y óptimo funcionamiento del sistema.

El artículo 22 alude expresamente al tema de los Estándares de seguridad de información. Señala que los actores u operadores del mercado participantes en el Sistema de Finanzas Abiertas (o SFA)[vi], deberán (i) adoptar las medidas necesarias para cumplir con los estándares mínimos de seguridad de información, ciberseguridad y políticas de gestión de riesgos y control interno que la Comisión establezca por norma de carácter general, con el objeto de resguardar la confidencialidad, integridad y disponibilidad de los datos y de la información, y prevenir riesgos a los sistemas de información que los procesan, con el propósito de prevenir la divulgación y/o modificación no autorizada de la información, y las interrupciones no autorizadas de los sistemas tecnológicos.

Agrega que (ii) deberán tener en consideración para tales efectos, el riesgo inherente a cada tipo de información, como, asimismo, la calidad de dato sensible conforme a las disposiciones de la ley N° 19.628[vii]. Agrega que ante vulneraciones de las medidas de seguridad señaladas las instituciones participantes en el Sistema de Finanzas Abiertas (iii) deberán reportar los incidentes de seguridad a la Comisión sin dilaciones, por los medios y en los términos y condiciones que la Comisión determine por norma de carácter general, y (iv) adoptarán las medidas de mitigación de riesgos correspondientes. (Santiago, 11 de enero de 2024)

[i] Sus actores relevantes u operadores del mercado o las instituciones participantes del Sistema de Finanzas Abiertas se han categorizado en la Ley N°21.521, distinguiéndose entre aquellas que califiquen como (i) instituciones proveedoras de información, (ii) instituciones proveedoras de servicios basados en información, (iii) instituciones proveedoras de cuentas y (iv) proveedores de servicios de iniciación de pago.

[ii] A este, que en el mercado Paytech es propio de los PSP o prestadores de servicios de pagos, alude el artículo 20 de la Ley N°21.521.

[iii] Acá, la exigencia legal consiste en que (para resguardar la información e intereses de sus clientes, y asegurar su continuidad financiera y operacional) quienes estén inscritos en el Registro deben diseñar, aprobar e implementar políticas, procedimientos y controles que compatibilicen su viabilidad económica-financiera con su capacidad de contar con respuestas estratégicas idóneas para los riesgos inherentes a sus líneas de negocios.

[iv] Sin perjuicio que corresponderá a cada entidad adoptar o adaptar tales estándares conforme a su tamaño, volumen y naturaleza de sus negocios, y riesgos, agrega la ley.

[v] La confusión terminológica de la ley (sobre todo en lo que hace a la relación privacidad/confidencialidad) se torna patente con la lectura del artículo 24, cuando señala que las instituciones participantes en el Sistema de Finanzas Abiertas, serán responsables de resguardar la integridad, disponibilidad, seguridad y confidencialidad de los datos involucrados en cada transacción y de la adecuada privacidad de la información de los clientes. La confidencialidad es una obligación genérica y transversal de la Ley N°19.628, que sólo puede afectar además a la privacidad de la data cuando por su naturaleza ella sean datos sensibles o personalísimos.

[vi] A saber, las Instituciones Proveedoras de Información, los Proveedores de Servicios basados en Información, las Instituciones Proveedoras de Cuentas y los Proveedores de Servicios de Iniciación de Pagos.

[vii] Es excesiva esta referencia, porque la calidad de datos sensibles en principio no es atribuible a ninguno de los datos personales patrimoniales positivos que tratan los actores del SFA.