Colombia se ha convertido en el tercer país de Latinoamérica en regular las finanzas abiertas (u open finance), después de Brasil y Chile. Con ayuda del equipo de Belvo en Colombia analizamos los puntos clave del nuevo marco regulatorio así como los próximos pasos.
Tabla de contenidos
La Superintendencia Financiera de Colombia ha emitido la Circular No. 004 de 2024, estableciendo los estándares para las finanzas abiertas, también conocida como open finance. Este paso no solo marca una evolución en la industria financiera colombiana al fomentar que las entidades financieras puedan operar con un marco claro en las finanzas abiertas, sino que también brinda oportunidades para un ecosistema más transparente, competitivo e inclusivo.
Entre los puntos destacables del nuevo marco regulatorio se encuentran los estándares de seguridad exigidos para Terceros Receptores de Datos y la aprobación de tecnologías alternas para el acceso a los datos como método válido para garantizar que se cumple la regulación en el corto plazo.
«Desde Belvo, celebramos estos avances y recibimos con entusiasmo esta nueva fase de transición, en la que seguiremos apoyando a las entidades financieras para que operen con este modelo gracias a nuestra tecnología e infraestructura y puedan llevar sus beneficios de inclusión y digitalización cuanto antes a la población colombiana», ha comentado David Ballesteros, Director General de Belvo en Colombia.
«El nuevo marco regulatorio dará un mayor respaldo legal a lo que agregadores de datos como Belvo ya venían haciendo, dinamizará el mercado de open finance y se convertirá en un propulsor de la inclusión crediticia”
Diana Ahumada, Directora de Políticas Públicas de Belvo en Colombia
¿Qué puntos clave establece el nuevo marco regulatorio?
La regulación colombiana se estructura en cuatro bloques principales:
Requisitos para Terceros Receptores de Datos (TRD)
Los TRD se definen como aquellas “personas jurídicas que tratan los datos personales de los consumidores financieros en esquemas de finanzas abiertas”. Y para ellos se establecen una serie de requisitos de seguridad.
Entre otros, destaca la necesidad de acreditar la certificación ISO 27001, así como cumplir con el estándar PCI DSS (Payment Card Industry Data Security Standard) y evidenciar que se cuenta con una política de riesgos y controles dirigida a proteger los datos personales.
David Ballesteros, Director General de Belvo en Colombia.
«Damos la bienvenida a los estándares de seguridad establecidos en el nuevo marco regulatorio, los cuales promueven la confianza del consumidor en el ecosistema financiero. En Belvo, no solo cumplimos con estos estándares, sino que también hemos estado promoviendo la seguridad del ecosistema desde nuestros inicios. Nos enorgullece ser un referente en seguridad y contar con la infraestructura tecnológica necesaria para ser socios confiables en este proceso de transición y adopción de la política pública», explica .
Estándares tecnológicos y de seguridad
Finalmente, la regulación optó por las APIs como el método ideal para compartir información. Sin embargo, reconoce que aún es necesaria una mayor madurez del ecosistema financiero para la implementación de estas herramientas de manera generalizada. Por ello, se establece un periodo de transición de 18 meses durante el cuál las entidades puedan seguir utilizando métodos alternos para el acceso a los datos con todas las garantías de seguridad.
“Desde Belvo ya contamos con una infraestructura que da cobertura a la mayor parte del mercado y con la que seguiremos atendiendo las necesidades del mercado como venimos haciendo, colaborando con las entidades financieras que apuesten por esta tecnología”, ha explicado David Ballesteros.
Además, en este contexto de transición, Belvo desempeñará un papel crucial. “Durante este periodo, también trabajaremos para conectarnos a todas las APIs disponibles y buscaremos establecer alianzas con aquellas entidades que estén APIficando sus servicios”, ha añadido.
Tratamiento de datos de consumidores financieros
El tercer bloque regulatorio responde al tratamiento de los datos de los consumidores. En el se establecen obligaciones para garantizar la autorización y autenticación del usuario. “La autorización del usuario es el eje central o la base de la política pública de datos abiertos en el sector financiero. Por esta razón, se trata de un consentimiento cualificado que debe ser previo, expreso e informado”, explica Diana Ahumada.
En ese marco, el usuario tiene la potestad de revocar y actualizar su autorización cuando considere oportuno y de “consultar de manera accesible y permanente las autorizaciones otorgadas a los Terceros Receptores de Datos”.
Deberes de revelación de la información
Por último, el cuarto bloque especifica cuáles son los deberes de revelación de la información por parte de los actores del sistema. Este bloque busca que tanto las entidades financieras como TRD implementen los canales y procedimientos necesarios para que el usuario pueda ejercer los derechos que se desprenden del otorgamiento de su consentimiento.
Estos procedimientos deben garantizar al usuario, entre otros, “la consulta accesible y permanente de la autorización otorgada, la eventual actualización de la misma y la supresión del dato cuando corresponda”, explica Ahumada.
Finalmente, la Circular señala que “las entidades vigiladas deben adelantar programas de educación financiera para informar a los consumidores financieros sobre los derechos, obligaciones y responsabilidades derivados del tratamiento de sus datos”.
Retos de la regulación y próximos pasos
Si bien la regulación es un gran paso, el nuevo marco regulatorio también plantea algunos desafíos para el mercado:
Por un lado, es crucial que las entidades financieras verifiquen los requisitos establecidos en la regulación para garantizar el acceso de los Terceros Receptores de Datos a la información, fomentando una participación justa en el ecosistema.
“En este sentido, también es importante que las entidades financieras diseñen y ejecuten buenas prácticas de gobierno corporativo que permitan realizar esta revisión de forma ágil y sin exigir niveles de documentación desproporcionados”, explica Ahumada.
En este nuevo contexto, la colaboración estrecha entre las entidades financieras y los Terceros Receptores de Datos como Belvo será crucial para hacer frente a los desafíos tecnológicos de la transición hacia un modelo basado en APIs.
“Como siguiente paso, será clave contar con la colaboración de las entidades financieras para garantizar que se cumple esta regulación en el corto plazo. Ya sea a través de la creación de sus propias APIs, como mediante convenios o medidas que aseguren el acceso seguro y ágil a los datos mediante las tecnologías autorizadas por la regulación. En cualquiera de los casos, desde Belvo estamos preparados para ser el aliado del ecosistema financiero en esta transición”, añade .
David Ballesteros, Director General de Belvo en Colombia.
Si bien la regulación es un gran paso, el nuevo marco regulatorio también plantea algunos desafíos para el mercado:
Por un lado, es crucial que las entidades financieras verifiquen los requisitos establecidos en la regulación para garantizar el acceso de los Terceros Receptores de Datos a la información, fomentando una participación justa en el ecosistema.
“En este sentido, también es importante que las entidades financieras diseñen y ejecuten buenas prácticas de gobierno corporativo que permitan realizar esta revisión de forma ágil y sin exigir niveles de documentación desproporcionados”, explica Ahumada.
En este nuevo contexto, la colaboración estrecha entre las entidades financieras y los Terceros Receptores de Datos como Belvo será crucial para hacer frente a los desafíos tecnológicos de la transición hacia un modelo basado en APIs.
“Como siguiente paso, será clave contar con la colaboración de las entidades financieras para garantizar que se cumple esta regulación en el corto plazo. Puesto que el regulador y el supervisor colombiano reconocen que el sistema financiero aún puede requerir años para la completar la implementación de APIs por parte de las entidades, es clave que éstas faciliten mecanismos alternos para acceder a los datos de los usuarios que den su autorización”
David Ballesteros, Director General de Belvo en Colombia.
Finalmente, respecto a la comercialización de datos, el Decreto 1297 de 2022 permite a las entidades financieras cobrar a los TRD por acceder a la información.
“Aunque la Circular establece que no puede haber discriminación de precios y que solo podrán cobrarse los costos asociados a la implementación de la infraestructura, será importante garantizar que el valor de las conexiones no impida el acceso a la información del titular”, concluye David Ballesteros.