Circular Externa 004 de 2024 de la SFC

Circular Externa 004 de 2024 de la SFC

El pasado 7 de febrero de 2024, la Superintendencia Financiera de Colombia (SFC) expidió la Circular Externa 004 de 2024, regulando las finanzas abiertas como un importante componente del uso y la comercialización de datos de los consumidores financieros por parte de las entidades vigiladas. Lo anterior, en cumplimiento del plazo establecido por el artículo 12 del Decreto 1297 de 2012 para impartir las instrucciones correspondientes.

Junto a la Circular, también fueron publicadas la Hoja de Ruta de Finanzas Abiertas de la SFC, la guía de autorización de tratamiento de datos (consentimiento), la guía de consulta, actualización o revocatoria de la autorización de tratamiento de datos y la guía para participantes.

Ello, con el fin de promover el uso e intercambio intensivo de los datos, de manera segura y controlada, bajo la autorización informada y el consentimiento de los titulares de aquellos. De tal forma, la SFC busca avanzar hacia una sociedad abierta y participativa.

Así, el ente supervisor emitió sus instrucciones respecto de un sistema de vinculación voluntaria de finanzas abiertas -cuya gobernanza es ejercida por el Grupo de Innovación Financiera y Tecnológica de la SFC (InnovaSFC)- bajo una estructura que principalmente contempla i) la vinculación de terceros receptores de datos (TRD), ii) los estándares tecnológicos y de seguridad, iii) el tratamiento de los datos personales de consumidores financieros y iv) la revelación adecuada de la información.

i) Vinculación de terceros receptores de datos

Las entidades financieras que participen en finanzas abiertas deberán verificar la inscripción de los TRDs en el Registro Nacional de Bases de Datos -o en su defecto la verificación de que cuenten con políticas y procedimientos para tratar datos personales-, así como la idoneidad de sus procedimientos para atender consultas y reclamos.

También tendrán que constatar la existencia de mecanismos con los que los TRDs i) garanticen la seguridad y adecuado tratamiento de la información recolectada bajo estándares específicos, ii) le informen oportunamente a la entidad cuando se presenten situaciones o eventos que puedan comprometer la seguridad de los datos personales de los consumidores financieros y, además, iii) que cuenten con procedimientos para revocar y suprimir los datos personales de los consumidores financieros, bajo el marco normativo aplicable.

En el mismo sentido, las entidades vigiladas tendrán que verificar periódicamente el cumplimiento de los requisitos enunciados por parte de los TRDs durante la relación contractual y dejar constancia de tal verificación. También tendrán que abstenerse i) de restringir la vinculación de los TRDs que cumplan con los requisitos citados y ii) de dar un trato discriminatorio a los TRDs, como podría suceder mediante los requisitos de vinculación, los controles para monitorear el cumplimiento, las tarifas, precios, comisiones, cargos, cobros o cualquier otra retribución aplicable a TRDs.

ii) Estándares tecnológicos y de seguridad

En su numeral 3, la Circular recoge los principios generales aplicables, consistentes en políticas, procedimientos y recursos técnicos y humanos para monitorear el tratamiento seguro de los datos administrados.

Para conseguir este propósito, se parte de una separación lógica entre los sistemas relacionados con finanzas abiertas de los demás sistemas, de tal manera que los datos personales de los consumidores financieros sean almacenados en condiciones seguras. Así mismo, se exige a las entidades financieras monitorear que la información en circulación, compartida con los TRDs, se ajuste a las especificaciones establecidas entre las entidades vigiladas y aquellos.

Así las cosas, las entidades deberán abstenerse de publicar la información de los repositorios utilizados para el desarrollo de las finanzas abiertas y mantener registros de auditoría de información por el término de 5 años con la información mínima establecida por la SFC, respecto de las solicitudes de datos realizadas. En aquellos casos en que la información transmitida sea de carácter crítico, tendrá que ser enmascarada o cifrada.

Todo lo anterior se enmarca en otra obligación de carácter general, cual es la de propender por sistemas de información disponibles y accesibles en todo momento, que cuenten con mecanismos de redundancia, balanceo de carga y tolerancia a fallos.

Este numeral también abarca los estándares de arquitectura, seguridad y tecnología, bajo la clara especificación de los formatos, marcos de referencia, protocolos, mecanismos seguros, algoritmos y métodos de autenticación idóneos exigidos por la SFC.

iii) Tratamiento de los datos personales de consumidores financieros

En armonía con la ley 1266 de 2008 y la ley 1581 de 2012, el numeral 4 de la Circular formuló algunas obligaciones específicas para el tratamiento de los datos referidos por parte de las entidades vigiladas que participen de las finanzas abiertas y la manera en que se le solicite la autorización del tratamiento referido a los consumidores financieros.

Por consiguiente, tal solicitud deberá ser precedida por la autorización expresa e informada del cliente para el tratamiento de sus datos personales, en cumplimiento de las leyes aplicables. Su contenido mínimo, que debe ser presentado bajo términos fácilmente comprensibles, incluirá i) la identificación del TRD especificando como mínimo su razón social y domicilio, ii) los datos específicos cuyo tratamiento autoriza el consumidor financiero, iii) el tratamiento al cual someterá los datos personales el TRD, iv) su finalidad específica y v) el tiempo de la finalidad para la cual se solicita la autorización del uso de datos.

Si la finalidad específica consiste en la comercialización de los datos personales, ello deberá constar de forma expresa en la información dada al cliente, especificando los costos y/o remuneraciones por ello causados.

Entonces, en consonancia con la opcionalidad de las finanzas abiertas y el derecho fundamental al hábeas data, la entidad deberá abstenerse de formular solicitudes de autorizaciones generales o abiertas, en contravía de lo dispuesto por la Circular, y tampoco podrá condicionar la prestación de productos o servicios financieros al otorgamiento de las autorizaciones de tratamiento de datos personales.

Así, se ha establecido un procedimiento mediante el cual serán los TRDs los encargados de redirigir al consumidor financiero al portal de la entidad financiera donde reposan sus datos, para que allí se autentique y se verifique la autorización dada. Una vez verificada, el consumidor financiero será redirigido al portal del TRD, donde le será confirmado el proceso de autorización.

Finalmente, como protección al ejercicio íntegro de los derechos del consumidor financiero, las entidades vigiladas tendrán que permitirle i) la consulta accesible y permanente de las autorizaciones vigentes, ii) la revocatoria de cualquier autorización, iii) la actualización de las autorizaciones dadas y iv) la abstención de autorización de tratamiento de información en el marco de las finanzas abiertas.

iv) Deberes de revelación de información

Como parte de las obligaciones asumidas por las entidades financieras que participen de las finanzas abiertas, la SFC les exige a estas publicar en una sección de fácil acceso de su página web las condiciones actualizadas de implementación de finanzas abiertas, para su consulta por parte de los consumidores financieros.

Tal información deberá incluir, como mínimo, los procedimientos de consulta de autorizaciones otorgadas, de actualización de autorizaciones de revocatoria de autorizaciones y de supresión de datos personales de los consumidores financieros cuando aplique. Además, en aras de facilitar la presentación de consultas y reclamos, deberán ser publicados los datos actualizados de contacto de los TRDs y los canales de la entidad vigilada dispuestos para aquel fin.

Finalmente, las entidades vigiladas deberán adelantar programas de educación financiera donde informen a los consumidores financieros de los derechos, obligaciones y responsabilidades que surgen del tratamiento de sus datos en el marco de las finanzas abiertas.

v) Alcance del modelo de finanzas abiertas propuesto por la SFC en la Hoja de Ruta de Finanzas Abiertas

En la página 17 de la Hoja de Ruta publicada, la SFC estableció las cuatro fases de implementación del modelo de finanzas abiertas, que en principio deben concluir en junio de 2026. Sin embargo, este plan está sujeto a modificaciones o ajustes por parte de la SFC.

Así, la primera fase se considera cumplida con la expedición de la Circular Externa 004 de 2024 y los demás documentos relacionados, como lo son la propia Hoja de Ruta y las guías. Mediante esta, se perseguía la finalidad de promover la competencia, seguridad e interoperabilidad en relación con datos personales financieros, a través de estándares y herramientas, además de reglas sobre la administración y revelación de la información.

La segunda fase, que deberá ejecutarse entre marzo y diciembre de 2024, tiene como fin la promoción de alternativas de pago seguras e interoperables, relacionados con datos personales de pago o transferencia y su instrumentación será a través de la iniciación de pagos.

La tercera y la cuarta fase coinciden en sus objetivos, pues buscan mejorar el acceso a la información y su transparencia, empoderar a los consumidores y empresas para la gestión de sus datos personales y que se promueva la comparación, uso y desarrollo de nuevos productos financieros. También se persigue, mediante el último trecho de la ruta trazada, la promoción de la inclusión financiera en la economía popular y en cualquier población excluida o sub-atendida.

Lo anterior se conseguirá a través de datos personales relacionados con productos financieros y datos no personales relacionados con productos, pagos, intermediarios financieros, intermediarios de valores y seguros. Como resultado de las fases 3 y 4 se busca conseguir la agregación de productos y la portabilidad financiera.

vi) Régimen de transición

Las instrucciones contenidas en el numeral 3.2. deberán ser cumplidas por las entidades vigiladas obligadas, a más tardar, 18 meses contados a partir del 7 de febrero de 2024. Esto es, que su cumplimiento será requerido desde el 7 de agosto de 2025.

Las demás instrucciones deberán ser cumplidas por las entidades obligadas, a más tardar, 6 meses contados a partir del 7 de febrero de 2024. Esto es, que su cumplimiento será requerido desde el 7 de agosto de 2024.

Leave A Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *