Llegó el "Open Banking" a México
La Comisión Nacional Bancaria y de Valores (CNBV) publicó el pasado 4 de junio de 2020 en el Diario Oficial de la Federación (DOF), las disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas (APIs) a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera (Ley FinTech) (las Disposiciones) en relación con el artículo 76 de dicha Ley FinTech, que establece la obligación para las Entidades (según se define más adelante) de ofrecer programación de APIs con el fin de compartir información entre sí.
Las Disposiciones son aplicables para las entidades financieras, instituciones de tecnología financiera, transmisores de dinero, las sociedades de información crediticia, las cámaras de compensación y a las sociedades autorizadas para operar con Modelos Novedosos (según se define en la Ley FinTech) (las Entidades), con el fin de regular el intercambio de los datos que se mencionan a continuación (conjuntamente los Datos Abiertos), mediante el uso de APIs:
- Datos Financieros Abiertos incluyen, sin limitar, productos y servicios, ubicación de oficinas y sucursales, cajeros automáticos y otros puntos de accesos de productos y servicios.
- Datos Agregados se refieren a la información estadística relacionada con las operaciones de las Entidades.
- Datos Transaccionales se refieren la información operativa de un cliente, relacionados con su actividad dentro de los productos contratados, contando con el consentimiento previo y por escrito para su intercambio.
En virtud de dichas Disposiciones la CNBV busca procurar que el intercambio de dicha información, entre los Solicitantes de Datos y Proveedores de Datos, (según se definen más adelante) sea de forma adecuada, transparente y equitativa.
Participantes en el intercambio de Datos Abiertos
- Proveedores de Datos son aquellas entidades financieras, instituciones de tecnología financiera, sociedades autorizadas para operar con Modelos Novedosos (según se define en la Ley FinTech) y transmisores de dinero, que están obligados a establecer APIs con el fin de compartir Datos Abiertos (los Proveedores de Datos).
- Solicitantes de Datos son aquellas entidades financieras, instituciones de tecnología financiera, sociedades autorizadas para operar con Modelos Novedosos (según se define en la Ley FinTech), transmisores de dinero y terceros especializados en tecnologías de información (los Solicitantes de Datos).
Obligaciones para los Proveedores De Datos
Los Proveedores de Datos deberán:
- cumplir con los requisitos de los anexos 1, 2 y 3 de las Disposiciones
- publicar de forma clara, precisa y en idioma español, en su página de internet o cualquier otro medio de comunicación electrónica, aplicaciones informáticas o digitales, el proceso que deberán seguir los Solicitantes de Datos para acceder a los Datos Abiertos a través de las APIs y las contraprestaciones que, en su caso, deberán pagar por el intercambio de Datos Abiertos
- solicitar la autorización y registro a la CNBV de sus contraprestaciones1
- establecer las medidas y mecanismos seguridad de la información que protejan la confidencialidad e integridad de los Datos Abiertos, así como la infraestructura de la operación de la API
- contar con una configuración que garantice que el acceso sea solamente de lectura, soporte cualquier operación, disponibilidad del servicio y que lleve registros de auditoria íntegros
- en caso de que se presente un incidente de seguridad con respecto a la información, reportarlo a la CNBV de manera inmediata
Obligaciones para los Solicitantes de Datos
Los Solicitantes de Datos deberán:
- estar autorizados por la CNBV
- estar habilitados para acceder a los datos de los Proveedores de Datos a los que soliciten acceso
- cumplir con los lineamientos de seguridad para Datos Abiertos y de arquitectura de datos, así como con los anexos 1, 2 y 3 de las Disposiciones
Holland & Knight cuenta con una amplia experiencia en temas de derecho bancario y financiero. Para obtener más información, comuníquese con los autores de esta nota o a la oficina de la Ciudad de México de Holland & Knight.
Notas
1Para la autorización, registro y modificación, según corresponda, de las contraprestaciones, los proveedores de datos deberán de presentar ante la CNBV, por cada tipo de API, el método, la información y las variables empleadas para determinar las contraprestaciones, así como cualquier otra consideración utilizada en tal determinación.
La información establecida en esta alerta es para el conocimiento y la formación general de nuestros lectores. Cabe señalar que no está diseñada para ser la única fuente de información al examinar y resolver un problema legal. Además, las leyes de cada jurisdicción son diferentes y cambian constantemente. Si tuvieran preguntas específicas sobre una situación de hecho en particular, le instamos a que consulte a un asesor legal competente.