Recientemente, el Grupo Parlamentario Perú Libre presentó el Proyecto de Ley N°3251/2022-CR, que tiene por objeto regular la responsabilidad de las empresas del Sistema Financiero, respecto de los fraudes informáticos cometidos contra los usuarios de este sistema ante operaciones activas y pasivas fraudulentas, estableciendo las acciones que deberán asumir y determinar los tiempos para la resolución de los casos.
Dicho proyecto de ley, tiene por finalidad proteger y garantizar las operaciones activas y pasivas que realizan los usuarios del sistema financiero, reduciendo el perjuicio económico y salvaguardar la buena reputación crediticia.
Dentro de las medidas contempladas en la norma propuesta, se prescribe la obligación, para las empresas del sector financiero, de devolver los importes y/o anular las operaciones no autorizadas reportadas por sus usuarios, en cualquier caso y a más tardar al día hábil siguiente de reportado el incidente. En caso la empresa tenga indicios razonables para dudar de la veracidad del reporte, deberá informarlo por escrito, en el mismo plazo, al usuario y a la Superintendencia de Banca, Seguros y AFP, adjuntando los medios probatorios que sustentan su posición, correspondiéndole demostrar que para dicha operación se activaron todos los mecanismos de verificación que demuestren que dicha operación fue correctamente registrada.
La recientemente aprobada Ley Fintec crea el Sistema de Finanzas Abiertas (SFA), cuyo objetivo es promover la competencia, innovación e inclusión en el sistema financiero facilitando el intercambio de información entre distintos prestadores de servicios en este ámbito.
Esto ocurrirá a través de interfaces de acceso remoto y automatizado–conocidas como interfaces de programación de aplicaciones o “APIs”—, que habilitarán la interconexión y comunicación directa entre dichos prestadores sin necesidad de una relación contractual que los vincule.
El SFA funcionará bajo la supervisión y fiscalización de la Comisión para el Mercado Financiero (CMF). A ella le corresponderá dictar la regulación e instrucciones necesarias para su adecuada implementación y funcionamiento, así como fiscalizar el cumplimiento de las obligaciones de sus instituciones participantes.
A continuación, describimos los principales aspectos de la operación del SFA, incluyendo la información que comprenderá, las instituciones que participarán en él y sus roles, y los principales plazos establecidos en la ley.
¿Qué tipo de información se intercambiará?
La Ley Fintec establece un listado no taxativo de información que deberá ser intercambiada mediante el SFA:
Información sobre términos y condiciones generales de productos y servicios financieros, y sobre canales de atención al público.
Información de identificación y registro de clientes de productos y servicios financieros y de sus representantes.
Información sobre las condiciones comerciales contratadas y el historial de transacciones de clientes de productos y servicios financieros, como cuentas corrientes, vista, de provisión de fondos y de ahorro, tarjetas de crédito, pólizas de seguro, instrumentos de ahorro o inversión y servicios de operación de tarjetas y medios de pago similares.
Comunicaciones entre proveedores financieros para efectos de portabilidad financiera.
Datos o información necesaria para la prestación de servicios de iniciación de pagos.
Otros datos o información relativa a productos o servicios financieros o iniciación de otro tipo de transacciones que la CMF pueda definir mediante una norma de carácter general.
Mientras la información de los puntos (i) y (iv) deberá estar dispuesta en formatos de datos abiertos, la de los puntos (ii), (iii), (v) y (vi) sólo podrá ser compartida en la medida que los respectivos clientes lo hayan autorizado previamente.
2. ¿Qué tipo de instituciones participarán?
La Ley Fintec define 4 categorías de instituciones participantes:
Instituciones Proveedoras de Información – son aquellas que generan la información que estará disponible a través del SFA, por lo que su participación es obligatoria. Esta categoría incluye, entre otras instituciones, a bancos, emisores y operadores de tarjetas u otros medios de pago autorizados por la CMF, cooperativas de ahorro y crédito, compañías de seguros, administradoras generales de fondos, corredoras de bolsa y cajas de compensación.
Instituciones Proveedoras de Servicios basados en Información – son aquellas que podrán consultar, acceder y recibir datos de las Instituciones Proveedoras de Información a través del SFA. Si bien su participación es voluntaria, por regla general deberán inscribirse previamente un registro especial a cargo de la CMF. Como excepción, las Instituciones Proveedoras de Información y los Prestadores de Servicios Financieros debidamente autorizados no requerirán nueva inscripción, pero sí estarán sujetos al cumplimiento de los mismos requisitos aplicables a las entidades cuya participación es voluntaria.
Proveedores de Servicios de Iniciación de Pagos – son aquellos que proveen servicios a clientes titulares de cuentas corrientes, vista o con provisión de fondos, consistentes en la instrucción (a nombre esos clientes y ante Instituciones Proveedoras de Cuentas) de ejecutar órdenes de pago o transferencias electrónicas de fondos con cargo a sus respectivas cuentas y medios de pago. Para operar lícitamente, estas entidades deberán estar inscritas en un registro especial a cargo de la CMF.
Instituciones Proveedoras de Cuentas – son los bancos e instituciones financieras proveedoras de cuentas corrientes, vista o con provisión de fondos. Si bien ellas califican ya como Instituciones Proveedoras de Información, la Ley Fintec las ha definido particularmente para regular su relación con los Proveedores de Servicios de Iniciación de Pagos en el marco del SFA. Su participación en este último es, en consecuencia, obligatoria.
Diagrama N°1. Roles de las instituciones participantes en el SFA.
3. ¿Habrá cobros asociados a su funcionamiento?
Las Instituciones Proveedoras de Información no podrán efectuar cobros a los Proveedores de Servicios basados en Información por la comunicación de la información de datos de clientes solicitada a través de las APIs del SFA. Esto, con excepción del reembolso de los costos incrementales directos en que deban incurrir para atender el número de solicitudes sobre los umbrales que deberá definir la CMF en base a condiciones públicas, objetivas, equitativas y no discriminatorias entre las instituciones participantes.
Las referidas solicitudes de información no podrán dar lugar a cobro de comisiones o cobros adicionales a los clientes.
4. ¿Cuándo comenzará a operar?
La CMF deberá dictar la normativa necesaria para la implementación gradual del SFA en un plazo de 18 meses contados desde la publicación de la Ley Fintec en el Diario Oficial. Esta normativa estará sujeta a trámites previos de consulta pública, evaluación de impacto regulatorio e informes de la Fiscalía Nacional Económica.
No obstante el proceso será gradual, la Ley Fintec también ha establecido ciertos plazos máximos para completar la implementación. Contados desde la entrada en vigor de la normativa dictada por la CMF, serán 12 meses para la inscripción de las entidades que a la fecha de entrada en vigencia de la Ley Fintec se encuentren prestando Servicios de Iniciación de Pagos; 18 meses para la plena operación del SFA en bancos, emisores de tarjetas y Proveedores de Servicios de Iniciación de pagos; y 36 meses para la plena operación en las demás instituciones participantes.
Diagrama N°2. Principales plazos del SFA.
El SFA significa un paso relevante del país en el camino del open finance, por lo que es previsible que su operación supondrá importantes desafíos para las instituciones participantes. No dudes en contactarnos si quieres saber más sobre la Ley Fintec o sus temas relacionados.
El próximo 1 de diciembre se realizará en Paraná, la Asamblea N° 102 del Consejo Federal del Consumo (Cofedec), organizada por la Dirección General de Defensa del Consumidor y Lealtad Comercial de Entre Ríos.
Funcionarios de la Secretaría de Comercio de la Nación, de la Subsecretaría de acciones para la Defensa de las y los Consumidores y de la Dirección Nacional de Defensa del Consumidor y Arbitraje de Consumo, como así también directores de Defensa del Consumidor de todo el país, participarán de la asamblea para ahondar y coordinar políticas y acciones vinculadas a los derechos de los consumidores y el comercio.
El Consejo Federal de Consumo es una instancia de coordinación de políticas vinculadas a temas ligados a los consumidores. Está integrado por representantes del Gobierno de la Nación, de la Ciudad Autónoma de Buenos Aires y de todas las provincias. En cada una de las Asamblea se debate proyectos y coordinan políticas vinculadas a temas de consumo, donde la autoridad nacional y las autoridades provinciales comparten experiencias y desarrollan políticas en conjunto a fin de defender y fortalecer los derechos de las y los consumidores.
La provincia de Entre Ríos además de integrar Cofedec, forma parte del cuerpo de Asesores del Organismo sobre temas vinculados a Educación al Consumidor, por elección democrática de todas las provincias integrantes.
En las dos últimas asambleas que se desarrollaron en Rosario, Santa Fe y Resistencia, Chaco se abordarán temas claves como: competencia del Banco Central de la República Argentina en materia de relaciones de consumos financieros; daño directo y planes de ahorro: Superintendencia de Seguros de la Nación; fijación de procedimientos administrativos generales; ventas a través de redes sociales; medicina prepaga: preexistencia, casos de discapacidad; competencias en temas aeronáuticos: derivación a Administración Nacional de Aviación Civil; problemática bancaria: bloqueo de cuenta bancaria y refinanciación abusiva de deuda; tarjeta de crédito: impugnación de resumen por cargos revocados en tiempo y forma; entre otros.
Son funciones del Consejo Federal del Consumo:
a) Promover la educación del consumidor o usuario con los objetivos de:
I) Fortalecer la libertad de elección y optimizar la racionalidad en el consumo de bienes y servicios,
II) facilitar la comprensión y utilización de la información que se brinda a los usuarios y consumidores por parte de los proveedores,
III) difundir el conocimiento de los deberes y derechos de los consumidores y usuarios y la forma más adecuada para ejercerlos y,
IV) fomentar la prevención de riesgos que puedan derivarse del consumo de productos o de la utilización de servicios.
b) Propender a la homogeneización de criterios en cuanto a la aplicación de políticas públicas relacionadas con el consumo, incluyendo propuestas de modificación y/o armonización de la normativa vigente en materia de protección al consumidor.
c) Intercambiar información con los sectores productivos a fin de favorecer la mayor eficiencia en la producción y comercialización de los bienes destinados al consumo.
d) Promover la instalación de oficinas públicas de información al consumidor o usuario que cumplan como mínimo las siguientes funciones:
I) difundir los resultados de estudios, análisis comparativos, ensayos y controles de calidad sobre productos y servicios y,
II) gestionar la recepción, registro y acuse de recibo de quejas y reclamos de los consumidores o usuarios y su remisión a las entidades u organismos que corresponden.
e) Estimular la creación de asociaciones de consumidores, manteniendo con ellas un intercambio y colaboración permanentes y llevar registros nacionales y provinciales actualizados de las existentes.
f) Recabar información de entidades públicas y privadas relacionadas con la protección del consumidor.
g) Solicitar la colaboración de los entes y organismos de control con competencia en la materia para una mejor atención de los problemas de los consumidores y usuarios.
h) Solicitar la colaboración de instituciones públicas y privadas, departamentos especializados de las universidades y cualquier otro organismo técnico para la realización de estudios, análisis comparativos, ensayos y controles de calidad sobre productos o servicios y difundir sus resultados.
i) Proponer a las autoridades competentes el otorgamiento de becas para el personal afectado a las reparticiones, a efectos de su capacitación permanente en la materia de protección al consumidor.
j) Promover el intercambio de información y la colaboración para la realización de acciones destinadas a la protección de los consumidores con organismos internacionales públicos y privados de defensa del consumidor.
k) Brindar asesoramiento al Congreso de la Nación y a las Legislaturas Provinciales en lo referente a la problemática legislación de consumo.
l) Fortalecer las relaciones institucionales con otros organismos oficiales con competencia en consumo o entes reguladores de servicios públicos.
A fines de octubre de 2022, en la Sala del Senado, se aprobó en general -y por unanimidad- el proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (Boletín N°14847-06). Asimismo, se fijó como plazo para presentar indicaciones el día 11 de noviembre.
El objetivo principal de la iniciativa es establecer la institucionalidad necesaria para robustecer la ciberseguridad, el trabajo preventivo, la formación de la cultura pública en materia de ciberseguridad digital, y enfrentar contingencias tanto en el sector público como en el privado.
A continuación, encontrarán 3 elementos significativos del proyecto:
¿A quiénes aplicaría la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información?
Órganos de la Administración del Estado.
Órganos del Estado, como por ejemplo municipalidades, entidades fiscales autónomas; empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.
Instituciones privadas que posean Infraestructura Crítica de la Información, donde encontramos compañías del sector energético, bancario o del rubro de las telecomunicaciones.
¿Cuáles serán los factores a considerar a efectos de determinar si un sector o institución posee infraestructura crítica?
La infraestructura crítica de la Información es definida como las instalaciones, redes, sistemas plataformas, servicios y equipos físicos de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado, y en general, de los servicios que este debe proveer o garantizar. Sobre la base de lo anterior, cada dos años, la infraestructura de sectores o instituciones podrá ser calificada como crítica considerando los siguientes factores:
Impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información. El que deberá ser evaluados bajo ciertos criterios.
Capacidad del sistema informático, red o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.
Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).
Afectación relevante del funcionamiento del Estado y sus órganos.
¿Cuáles serán las obligaciones de las instituciones que posean infraestructura de la información calificada como crítica?
Aplicar permanentemente medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad, gestionar riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado.
Implementar un sistema de gestión de riesgo permanente.
Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos.
Elaborar e implementar planes de continuidad operacional y ciberseguridad. Los que deberán ser actualizados periódicamente, a lo menos una vez al año.
Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas.
Adoptar las medidas necesarias para reducir el impacto y propagación de un incidente de ciberseguridad.
Contar con las certificaciones de los sistemas de gestión y procesos que se determinen.
El proyecto ahora comenzará su discusión en particular, y representantes del Gobierno han hecho patente su objetivo de introducir mejoras y aligerar el modelo de gobernanza, el que considera la creación de la Agencia Nacional de Ciberseguridad. El objeto principal de la Agencia sería asesorar al Presidente de la República en estas materias, como también la colaboración activa en el resguardo de los intereses nacionales en el ciberespacio.
En az estamos siempre monitoreando los avances legislativos con el objetivo de informar y concientizar respecto de la importancia de prevenir contingencias y mitigar riesgos asociados a este tipo de amenazas. Consideramos que la aprobación de una Ley Marco en Ciberseguridad supone un gran avance para nuestro país ya que brindaría certeza jurídica ante amenazas que son cada vez más cotidianas para todos.
Para obtener más información sobre estos temas, pueden contactar a nuestro equipo az Tech:
Eugenio Gormáz | Socio | egormaz@az.cl
Gonzalo Navarro | Director az Tech | gnavarro@az.cl
Antonia Nudman | Asociada IP, Tech and Data | anudman@az.cl
Natalia González | Asociada IP, Tech and Data | ngonzalez@az.cl
Constanza Pasarin | Asociada IP, Tech and Data | cpasarin@az.cl
Uno de los temas que ha cobrado más relevancia en materia de ESG es la privacidad y protección de datos personales que deben implementar las empresas como una métrica fundamental respecto a los procesos y prácticas de gobierno y ética corporativa.
Dentro de las transacciones en las que las medidas de privacidad y protección de datos con las que cuenta una empresa o la falta de estas toman particular importancia es a través de los procesos de auditoria en operaciones de fusiones y adquisiciones (M&A).
A este respecto, los puntos relativos a privacidad y protección de datos a considerarse dentro de este tipo de transacciones son:
Auditoria legal
Uno de los pasos más relevantes en los procesos de M&A es la auditoria legal a la empresa o empresas que serán adquiridas o que participarán en el proceso de fusión.
Durante este proceso la empresa que será vendida o fusionada pone a disposición del posible adquirente cierta información, relacionada con sus clientes, proveedores y empleados, entre otros; dicha información puede incluir datos personales sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
En virtud de lo anterior, algunas de las consideraciones más relevantes a tomar en cuenta son las siguientes:
Verificar que la sociedad vendedora determine e identifique la información y datos personales que potencialmente serán divulgados como parte de la auditoría. Respecto de ellos, se debe solicitar los avisos de privacidad con los que cuente la parte vendedora, a fin de revisar que cumplan con los requisitos que establece la regulación de protección de datos en México. Por su parte, el potencial adquirente debe también determinar a quién se les dará acceso a los datos protegidos, incluyendo asesores externos que participarán en la auditoría.
Previo a que se lleve a cabo la divulgación de datos personales, es indispensable confirmar con la vendedora que esta cuenta con los consentimientos necesarios para llevar a cabo la divulgación.
Asumiendo que se cuenta con las autorizaciones correspondientes, una vez se determine y delimite la existencia y alcance de la divulgación tanto la parte vendedora como la parte compradora y los demás involucrados como la empresa objeto de la operación, o sus accionistas (dependiendo el alcance de la operación), deberán celebrar un convenio de transferencia de datos en el que establecerán las disposiciones relativas al alcance y contenido de la transferencia. Además, se debe proporcionar al tercero una copia del aviso de privacidad que se proporcionó a los titulares para que dicho responsable receptor procese los datos de la misma manera que el responsable cedente.
Todo el tratamiento de datos por parte del responsable receptor debe estar de acuerdo con el aviso de privacidad, y asumirá las mismas obligaciones que bajo la LFPDPPP, tiene el responsable que transfirió los datos.
Lo anterior, supone un proceso que debe revisarse detenidamente ya que de igual forma entra en juego el tema de confidencialidad de la operación y el manejo de comunicaciones con asesores externos, stakeholders, como empleados o clientes. Así como el resto de las obligaciones que, en materia de protección de datos, dependiendo del alcance de la operación, será relevante garantizar al interior de la empresa vendedora, por ejemplo, contar con medidas de seguridad necesarias y proporcionales.
Posterior la firma del convenio antes establecido, la empresa vendedora podrá proporcionar al potencial comprador los datos personales para su análisis en los términos y parámetros establecidos en el convenio.
Finalmente, para el cierre de la auditoria legal desde el punto de vista de protección de datos, existen dos posibles escenarios ya sea que la operación se concrete y por tanto se confirme la transferencia del “control” sobre los datos o bien que esta no se lleve a cabo y por tanto el potencial comprador no asuma dicho “control”. A este respecto, si la transacción se concreta, entonces la información será controlada por el adquirente quien deberá respetar los términos del aviso de privacidad bajo los cuales se obtuvo la información o bien obtener nuevamente el consentimiento de los titulares bajo su propio aviso o bien, de no concretarse el potencial adquirente deberá devolver, destruir o borrar la información que se utilizó en la auditoria de acuerdo a los términos del convenio de transferencia de datos que se hubiere firmado.
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
Registro Nacional de Denuncias;
Registro Nacional de Inspecciones; y,
Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
