El pasado 6 de abril de 2022 se presentó la primera iniciativa legislativa en el Perú vinculada al “Open Banking” o “Banca Abierta” a través del Proyecto de Ley N° 1584/2021-CR. Este proyecto declara de interés nacional y necesidad pública la implementación de una política pública que fomente la masificación de la “Banca Abierta”. Adicionalmente, encarga al Poder Ejecutivo y a la Superintendencia de Banca, Seguros y AFP del Perú diseñar las estrategias de implementación de la referida política pública.
El Open Banking puede definirse como un modelo que, mediante la utilización de interfaces de programación de aplicaciones (esto es, las conocidas APIs), permite el intercambio de datos e información entre todos los tipos de instituciones financieras y tecnológicas siempre que el titular de esos datos consienta su cesión.
Los modelos de Banca Abierta que se están implementando en el mundo buscan mejorar las opciones de servicio para el consumidor final, viabilizando la conexión entre las entidades financieras y terceros proveedores.
La Banca Abierta tiene un gran potencial, no solo porque le crea un mundo de nuevas posibilidades a los usuarios de servicios financieros, sino además porque fomenta la libre competencia, al abrir el acceso a los datos de los consumidores a otros players del mercado.
El Open Banking busca otorgar al cliente, mayor libertad para escoger a sus proveedores financieros y la posibilidad real de tener diferentes productos con diferentes empresas, a su conveniencia. Esto permite que se reduzcan las barreras de entrada, se aumente el poder del consumidor final y se potencializce el ingreso de nuevos agentes con productos innovadores.
Uno de los principales retos del Open Banking es de naturaleza regulatoria, especialmente, en lo que respecta la protección de los datos personales de los clientes. Por un lado, tenemos al movimiento Open Banking que se basa en un principio: hacer más accesibles los datos y las tecnologías bancarias para fomentar la innovación y la generación de servicios financieros de mejor calidad.
Por otro lado, tenemos a la Ley de Protección de Datos Personales cuya finalidad es proteger los datos y la privacidad de los usuarios. Entonces, si la primera defiende la apertura de la información bancaria, y la normativa de protección de datos personales restringe dichas libertades para compartirla, parece que el objetivo de ambas regulaciones podría contradecirse, generando preocupación entre las empresas que deben cumplir ambas regulaciones.
Evidentemente, el Open Banking “estresa” a la normativa de protección de datos personales debido a que, si bien sus fines son distintos, estas regulaciones se cruzan en un punto central: la obtención, el tratamiento y el uso de los datos bancarios de las personas.
Adicionalmente, el mayor dinamismo transaccional trae consigo un aumento en el número de acciones de tratamiento de información y en el número de agentes que intervienen en actividades de procesamiento de datos. Esto incrementa ciertos riesgos naturales relacionados con: eventos de fugas de información, acceso no autorizado a información personal, uso de los datos para finalidades distintas señaladas al momento de su recopilación, o el hecho de que más empresas atormenten a los consumidores con llamadas telefónicas para ofrecerles sus productos o servicios.
Sin embargo, la Ley de Protección de Datos Personales no debe ser un freno de la innovación y ambas regulaciones podrían coexistir en el Perú otorgándole seguridad jurídica a las partes que participan en la Banca Abierta. Para ello es importante que sólo participen del Open Banking aquellos consumidores que hayan brindado un consentimiento libre, previo, expreso e informado autorizando a que su información personal pueda ser compartida.
Asimismo, para mitigar los riesgos asociados a un uso indebido en los datos personales es importante que se cumpla con lo siguiente: 1. Que las plataformas cumplan con el principio de privacy by design y los usuarios puedan consultar en todo momento y de forma gratuita quiénes consultaron y recopilaron sus datos personales. 2. Las empresas que participen deben realizar una evaluación de impacto de protección de datos personales y probar que proactivamente evaluaron y mitigaron todos los riesgos asociados a la utilización de datos personales. 3. Procurar la estandarización de ciertos criterios técnicos mínimos de seguridad de la información. 4. Crear reglas y protocolos para la gestión del consentimiento del titular por parte de terceros que pretendan utilizar los datos personales de los consumidores.
Finalmente, para la correcta implementación del Open Banking en el Perú, es importante que las empresas del sector financiero cambien el “chip”. Deben comprender que no son los dueños de los datos personales de sus clientes y que, por lo tanto, deben tratar esa información de forma ética y siguiendo la normativa de protección de datos personales. Quienes participen en este ecosistema deben internalizar que la forma de utilizar los datos personales es siguiendo las instrucciones de cada cliente.
Lea la nota completa aquí.
Alejandro Morales Cáceres – Abogado Asociado Senior y Líder del Área de Derecho y Nuevas Tecnologías de TYTL Abogados.