La operación de las finanzas abiertas se concreta cada vez más en Colombia. Este esquema permite que entidades vigiladas por la Superintendencia Financiera compartan la información financiera de sus clientes con otras entidades vigiladas o con terceros a solicitud del usuario, para que estos terceros brinden servicios innovadores, personalizados, seguros y eficientes a los consumidores financieros.
El pasado 7 de febrero, y de conformidad con la Hoja de Ruta que planteó la Superintendencia Financiera para la operación de las finanzas abierta en Colombia, esta autoridad expidió la Circular Externa 004 de 2024 mediante la cual se definen los estándares tecnológicos, de seguridad, de protección de datos personales y otros necesarios que deben adoptar las entidades vigiladas, así como los terceros receptores de datos de los consumidores financieros que quieran participar en la arquitectura. Dependiendo del rol del participante en el esquema, entidad vigilada por la Superintendencia Financiera, o tercero receptor, se deberán observar unos requisitos en aras de garantizar la seguridad del sistema.
Específicamente para que los terceros receptores de datos personales puedan ser vinculados al sistema por las entidades vigiladas por la Superintendencia, deberán:
- Estar inscritos en el Registro Nacional de Bases de Datos, o en el caso que no estén inscritos, deben contar con políticas y procedimientos para el tratamiento de datos personales.
- Contar con procedimientos para la atención de consultas y reclamos relacionadas con protección de datos personales.
- Contar con mecanismos que permitan: Gestionar los riesgos asociados al tratamiento de los datos personales del consumidor financiero, en particular, el de seguridad de la información y ciberseguridad, así como fallas en la infraestructura tecnológica y en los sistemas en los que se almacene la información; mantener cifrados los datos personales de los consumidores financieros que estén en almacenamiento o circulación; contar con sistemas de monitoreo de la información para el desarrollo de finanzas abiertas; gestionar las vulnerabilidades de aquellas plataformas que hagan uso de los datos suministrados en el marco de esquemas de finanzas abiertas, entre otros.
- Informar a las entidades vigiladas, en el menor tiempo posible, sobre cualquier evento o situación que pueda comprometer la seguridad de los datos personales de los consumidores financieros.
- Contar con procedimientos para la revocatoria y supresión de los datos personales de los consumidores financieros, de conformidad con las normas aplicables.
Adicionalmente, el tercero receptor debe contar con la autorización previa, expresa e informada del consumidor financiero para el tratamiento de los datos personales para estos fines. Esta autorización es crucial para el correcto funcionamiento del esquema. Los terceros receptores también deberán darle a conocer a las entidades vigiladas sus datos de contacto para la atención de conductas y reclamos. Las vigiladas, deben trasladarle esta información al consumidor.
De cumplir con estos requisitos, las entidades vigiladas por la Superintendencia Financiera no podrán restringir la vinculación de estos terceros receptores. Las entidades vigiladas, adicionalmente, no podrán dar un trato discriminatorio a los terceros receptores en cuanto al cumplimiento de los requisitos antes esbozados, en cuanto a tarifas, comisiones, cargos aplicables, y en cuanto a los controles para monitorear el cumplimiento de los requisitos por parte del tercero receptor.
Aplaudimos este desarrollo normativo en tanto fomenta la inclusión financiera, se apalanca en los beneficios de la tecnología, y promueve la competencia y la operación de nuevos y mejores servicios para los consumidores. Estaremos atentos a la ejecución de las demás fases establecidas en la Hoja de Ruta de la Superintendencia Financiera.
Le podría interesar: Las personas naturales o jurídicas que deciden sobre el tratamiento de datos personales y que tengan activos superiores a 100.000 UVT (COP 4.241.200.000) están obligado a registrar sus bases de datos en el Registro Nacional de Bases de Datos. Este debe actualizarse anualmente, a más tardar el próximo 31 de marzo. Incumplir con esta obligación puede acarrear multas hasta de 2.000 salarios mínimos mensuales legales vigentes.
