Por: Vicente Vera V., Diario Financiero.
A casi un año de que la Asociación de Bancos y el gremio FinteChile
anunciaron la constitución de una mesa de trabajo para impulsar un esquema de finanzas abiertas en Chile, salió humo blanco a través de la firma de un Acuerdo Marco para la captura de datos, en lo que es el primer avance concreto para el Open Banking en Chile.
De acuerdo a los detalles del acuerdo, -que también adhiere BancoEstado-, se establecen estándares de responsabilidad y mecanismos de captura de datos de clientes de las instituciones que participen del pacto de manera controlada vía web scraping. Esto, como un marco de acción mientras se establecen otros mecanismos de captura, y sin perjuicio de los cambios normativos que se aprueben en el futuro.
De acuerdo a los detalles del escrito al que tuvo acceso DF, podrán adherir los bancos y las entidades que formulen consultas a través de los mecanismos y condiciones pactadas.
El acuerdo “debe ser complementado por contratos bilaterales que deberán acordar las instituciones participantes”.
Una precisión que se estableció, es que en lo no haya mayor profundidad en dichos contratos bilaterales “se entenderá que rigen las condiciones establecidas en el presente acuerdo marco”.
Asimismo, será de responsabilidad de las instituciones que consultan a este acuerdo marco, el contar con la autorización explícita de sus clientes para el acceso, uso, almacenamiento y tratamiento de la información que se obtenga a través de la captura de datos vía web scraping.
Medidas de seguridad
La captura de datos personales se regirán bajo siete principios: finalidad, proporcionalidad, calidad, seguridad, transparencia, responsabilidad y confidencialidad.
Asimismo, se establecieron estándares de seguridad la cuales al menos deben estar alineadas de acuerdo al Capítulo 20-10 de la Recopilación Actualizada de Normas de la Comisión para el Mercado Financiero.
Se mencionó que las entidades tendrán que considerar un modelo de gestión de incidentes de seguridad y ciberseguridad, como también establecer mecanismos y protocolos de intercambio de información con las instituciones que proveen datos sobre los incidentes de ciberseguridad o situaciones que puedan afectar la continuidad operacional.
A ello, tendrán que implementar un modelo de información oportuna a las entidades que proveen sobre cualquier evento anómalo, vulnerabilidades técnicas de categoría crítica o eventos de fraude identificados en la infraestructura de la institución que consulta por los datos, y que afecte la seguridad de la información de los clientes o de la empresa que provee.
Se zanjó que “la verificación del cumplimiento de los estándares definidos en materia de seguridad, así como también la notificación de cualquier evento o vulnerabilidad en ningún caso significará la adopción de algún tipo de responsabilidad por parte de la institución que provee frente a eventos anómalos o vulnerabilidades”.
Prevención de fraudes
Otro aspecto que abordó el acuerdo entre la banca y las compañías tecnológicas fue la prevención de fraudes. Las entidades tendrán que implementar mecanismos ante casos de alertas o incidentes, como también de vulnerabilidades técnicas de categoría crítica o eventos de fraude identificados en la infraestructura de la institución que consulta, y afecte la seguridad de la información de los clientes o de la entidad que provee.
Las empresas que proveen información “podrán bloquear los accesos de las instituciones que consultan, en caso de que éstas presenten vulnerabilidades críticas o estén bajo un ciberataque o amenaza de éste, exista fuga de información, se incumplan los protocolos de seguridad previamente establecidos, u otro evento que pudiese afectar la seguridad de la información o la continuidad operativa”.
En el caso de fraudes se definió un procedimiento simplificado para determinar la responsabilidad de las partes por operaciones desconocidas por clientes de las instituciones que proveen según la ley que limita la responsabilidad de los usuarios ante casos de fraudes.
De concretarse un fraude, la firma que consulta datos -que estén autorizadas por sus clientes para realizar actividades de captura de datos- será responsable y se obliga a reembolsar a la institución que proveyó la información por los montos que estas últimas hayan soportado o en que deban incurrir a favor de sus clientes en conformidad a la ley con ocasión del fraude, cuando exista una causa imputable a la empresa que realiza la consulta.
Se ejemplificó que deberá asumir su responsabilidad en caso de errores en sus plataformas o vulnerabilidades en sus sistemas, que permitan el acceso no autorizado por terceros o produzcan la divulgación de credenciales o información de clientes.
Asimismo, se mencionó que se pueden ejercer las acciones legales “que correspondan en contra de quienes pudieren resultar responsables directos por un fraude”.
Previo a cualquier paso hacia la justicia, “las entidades participantes del acuerdo deberán analizar de buena fe y realizar sus mejores esfuerzos para determinar el origen de un fraude que hayan sufrido clientes de las instituciones que proveen”. Se dispondrán de un plazo de 12 días hábiles corridos desde la notificación entre las partes.
En caso de no alcanzar un acuerdo dentro del plazo, toda diferencia, dificultad, o controversia que surja entre entidades participantes respecto de un evento de fraude sufrido por algún cliente, será sometido a conocimiento y resolución de una comisión arbitral.
Esta instancia será integrada por tres miembros, quienes resolverán en única instancia y como tribunal arbitral mixto. Todos los miembros de la comisión arbitral deberán ser abogados.
Cada entidad tendrá derecho a designar libremente a un miembro, dentro de aquellos que figuren en el listado del cuerpo arbitral del Centro de Arbitrajes y Mediación de la Cámara de Comercio de Santiago. El tercer miembro, quien presidirá la comisión arbitral, será designado por el mismo Centro a petición escrita de cualquiera de las partes.