Dos nuevas circulares han sido emitidas en México bajo la Ley para Regular a las Instituciones de Tecnología Financiera publicada el 10 de marzo de 2018 (la “Ley Fintech” o la “Ley”). Las nuevas disposiciones resultan aplicables a un importante grupo de entidades financieras y las obligan a establecer interfaces de programación de aplicaciones informáticas estandarizadas (application programming interfaces o “APIs”) que posibiliten la conectividad y acceso de otras interfaces desarrolladas o administradas por esas mismas entidades o por terceros, con el fin de compartir ciertos datos.
Las entidades a las que la Ley obliga (los “Sujetos Obligados”) son las Entidades Financieras explícitamente mencionadas en la misma,1 los transmisores de dinero, las sociedades de información crediticia, las cámaras de compensación reguladas por la Ley para la Transparencia y Ordenamiento de los Servicios Financieros y las Instituciones de Tecnología Financiera (esto es, las instituciones de financiamiento colectivo y las instituciones de fondos de pago electrónico reguladas por la propia Ley Fintech), así como las sociedades autorizadas para operar con modelos novedosos (régimen sandbox) según establece la Ley. Las nuevas disposiciones son reflejo de la tendencia global en la regulación de entidades bancarias y empresas de fondos electrónicos para asegurar compatibilidad y estándares abiertos frente a facilitadores de pagos y otros proveedores de tecnología, tal como puede verse, por ejemplo, en los artículos 35 y 36 de la Segunda Directiva de Servicios de Pago de la Unión Europea (conocida como PSD2). Esto deja de manifiesto una adaptación del entorno regulatorio en diversas jurisdicciones como la Unión Europea y ahora México a fin de impulsar los modelos fintech.
Los datos que deben compartirse de acuerdo a la Ley son:
- Financieros abiertos: Aquellos generados por los propios Sujetos Obligados y que no contienen información confidencial, tales como información general de los productos y servicios que ofrecen y la ubicación de sus oficinas, sucursales, cajeros automáticos y otros puntos de acceso a sus productos y servicios;
- Agregados: Información estadística de operaciones realizadas por o a través de los Sujetos Obligados de manera que no sean identificables los datos personales o transacciones realizadas por personas en lo individual; y
- Transaccionales: Aquellos relacionados con el uso de un producto o servicio, incluyendo cuentas de depósito, créditos y medios de disposición contratados a nombre de los clientes de los Sujetos Obligados y que, al constituir datos personales de los mencionados clientes, solo pueden compartirse con el consentimiento previo de éstos (mismo que deberá especificar el fin para el cual podrán compartirse).
Las APIs constituyen el pilar del principio de “banca abierta” (open banking) adoptado en múltiples jurisdicciones para fomentar la competencia en los mercados financieros. Bajo la Ley, el Banco de México (“BANXICO”) debe emitir la regulación secundaria para la compartición de estos datos por las sociedades de información crediticia y las cámaras de compensación, y cada Comisión que regula y supervisa a una industria financiera2 (cada una, una “Comisión Supervisora”) debe emitir la regulación para las Entidades Financieras de esa industria. Es así como en los últimos meses fueron publicadas las siguientes disposiciones:
— Circular 2/2020 que contiene las Disposiciones de Carácter General a que se refiere el Artículo 76 de la Ley para regular las Instituciones de Tecnología Financiera, aplicables a las Sociedades de Información Crediticia y Cámaras de Compensación en materia de Interfaces de Programación de Aplicaciones Informáticas Estandarizadas (la “Circular 2/2020”), emitida por BANXICO el 10 de marzo de 2020; y
— Las Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera, emitidas por la CNBV y en vigor a partir del 5 de junio de 2020 (la “Circular CNBV” y, conjuntamente con la Circular 2/2020, las “Circulares”), y que resultan aplicables a las demás Entidades Financieras, ITFs y sociedades autorizadas por la CNBV para operar con modelos novedosos y transmisores de dinero, así como a terceros especializados en tecnologías de información (en este último caso únicamente como Solicitantes de Datos).
Conforme a la Ley Fintech, los Sujetos Obligados requerirán de autorización por parte de la Comisión Supervisora competente o de BANXICO, en el caso de las sociedades de información crediticia y de las cámaras de compensación, para acceder a las APIs de otros Sujetos Obligados, lo cual a su vez implica la obligación de registrar las contraprestaciones aplicables y de adoptar procesos adecuados para el intercambio de información. El objetivo de las Circulares es definir el marco normativo para ello.
Circular 2/2020
Esta circular establece los estándares de interoperabilidad que deben cumplir las APIs que utilicen las Entidades Financieras a quienes les resulta aplicable (i.e., sociedades de información crediticia y cámaras de compensación), así como determinar la información técnica para la interoperabilidad de las APIs, pero únicamente se ocupa del intercambio de datos financieros abiertos y agregados. Los principales rubros que regula son:
(a) Los requisitos para obtener la autorización de APIs para la compartición de datos financieros abiertos, agregados y transaccionales (que incluyen la necesidad de presentar un plan de trabajo y un modelo de contrato de interconexión, así como de contar con un certificado digital autorizado por BANXICO para el envío de información a dicha autoridad);
(b) Los requisitos aplicables a otros Sujetos Obligados para tener acceso a la información de las entidades sujetas a la misma mediante sus respectivas APIs;
(c) Los elementos mínimos que deberán contener los contratos de interconexión;
(d) La obligación de registro de las contraprestaciones a ser cobradas a terceros por el acceso a su información mediante APIs (las cuales deberán ser equitativas y transparentes), así como la facultad de BANXICO de realizar observaciones a dichas contraprestaciones cuando sean nuevas o impliquen un incremento a las existentes (e inclusive de vetar su aplicación cuando no se hayan atendido sus observaciones); y
(e) Las facultades de supervisión y, en su caso, de suspensión de intercambio de información con los que cuenta BANXICO, y los elementos mínimos del programa de regularización que la entidad correspondiente haya de implementar en respuesta a la suspensión.
Como regla general, las entidades sujetas a esta circular cuentan con 360 días a partir de la entrada en vigor de la misma (que a su vez ocurrirá 360 días después de su publicación) para obtener la autorización de BANXICO relativa al establecimiento de sus respectivas APIs.
Como excepción a lo anterior, las entidades sujetas a dicha circular que pretendan obtener autorización para el intercambio de datos transaccionales deberán (i) primero obtener autorización para el intercambio de datos agregados y abiertos, en su caso; y (ii) presentar ante BANXICO, en un plazo de 360 días a partir de la publicación de la circular (es decir, antes de su entrada en vigor), sus propuestas del tipo de información que deberá quedar comprendida en la categoría de datos transaccionales, así como de los mecanismos por medio de los cuales dichas entidades podrían autenticar, identificar y recabar, en su caso, el consentimiento expreso de los clientes respectivos para tales efectos. Lo anterior para que, con base en la información recabada, BANXICO emita disposiciones de carácter general adicionales respecto de los datos transaccionales que las entidades sujetas a la Circular 2/2020 deberán compartir por medio de sus respectivas APIs, así como de los requisitos que deberán cumplirse para recabar el consentimiento de los usuarios respecto del uso de los mismos.
Circular CNBV
Esta circular únicamente regula el intercambio de datos financieros abiertos, que por definición no contienen información confidencial y cuya libre compartición no constituye por ende un riesgo para quienes la generan. Por lo tanto, la Circular CNBV tiene por objeto establecer formas de cumplimiento más sencillas que las previstas en la Ley Fintech y evitar la creación de trámites innecesarios que representen costos adicionales para los sujetos de la misma para la obtención de la autorización para acceder a dichos datos.
Esta circular regula aspectos como la necesidad de registro de contraprestaciones ante la CNBV y la obligación de los Proveedores de Datos de reportar a dicha comisión cualquier incidente de seguridad en la compartición de información y la interrupción de acceso derivada de incumplimientos de los Solicitantes de Datos, así como los requisitos que deberán contener los programas de regularización a ser implementados por los sujetos de la misma ante cualquier incumplimiento de sus disposiciones.
Es importante señalar que, con respecto a los Solicitantes de Datos, conforme a la Circular CNBV bastará que éstos cumplan con ciertos requisitos para considerarse autorizados por la CNBV sin necesidad de declaración alguna y, en consecuencia, estar habilitados para acceder a los datos de los Proveedores de Datos a los que soliciten acceso. Dichos requisitos se establecen en los tres anexos de la Circular CNBV y consisten básicamente en la utilización del protocolo Hypertext Transfer Protocol Secure, la utilización de certificados digitales emitidos por determinadas autoridades certificadoras, la implementación de la directiva de seguridad web HSTS (HTTP Strict Transport Security), la identificación de los Solicitantes de Datos, la mitigación de ataques o intrusiones y el establecimiento de la estructura y construcción de los mensajes de datos transmitidos vía APIs.
Por su parte, los Proveedores de Datos, además de cumplir con estos requisitos, deberán (i) publicar de forma clara, precisa y en español, en su página de Internet o en cualquier medio de comunicación electrónica, el proceso a ser seguido por los Solicitantes de Datos para acceder a sus datos a través de APIs y las contraprestaciones que deberán pagar por el intercambio de datos, mismas que deberán haber sido previamente autorizadas por la CNBV; y (ii) establecer las políticas de seguridad de la información para protección de la infraestructura y confidencialidad e integridad de los datos. Las políticas deben incluir entre otros temas los mecanismos de identificación y autenticación del personal responsable del manejo de las APIs, el cifrado de la información almacenada, un programa de pruebas de escaneo de vulnerabilidades y de penetración, los mecanismos de respaldo y recuperación de la información que mitiguen riesgos de interrupción y la conservación de registros de auditoría íntegros.
Esta Alerta GT no aplica para asuntos o leyes en Estados Unidos, ni para otras jurisdicciones fuera de México.
1Sociedades controladoras y subcontroladoras de grupos financieros, instituciones de crédito, casas de bolsa, bolsas de valores, sociedades operadoras de fondos de inversión, sociedades distribuidoras de acciones de fondos de inversión, uniones de crédito, organizaciones auxiliares del crédito, casas de cambio, sociedades financieras de objeto múltiple, sociedades financieras populares, sociedades financieras comunitarias con niveles de operaciones I a IV, organismos de integración financiera rural, sociedades cooperativas de ahorro y préstamo con niveles de operación I a IV, instituciones para el depósito de valores, contrapartes centrales de valores, instituciones calificadoras de valores, instituciones de seguros, instituciones de fianzas, sociedades mutualistas de seguros, administradoras de fondos para el retiro, así como otras instituciones y fideicomisos públicos que realicen actividades respecto de las cuales la CNBV, la CNSF o la CONSAR ejerzan facultades de supervisión.
2La Comisión Nacional Bancaria y de Valores (“CNBV”), la Comisión Nacional del Sistema de Ahorro para el Retiro (“CONSAR”), la Comisión Nacional de Seguros y Fianzas (“CNSF”) y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (“CONDUSEF”) en el ámbito de sus respectivas competencias.