Acuerdo marco para la captura de datos y la banca abierta en Chile

La Asociación de Bancos y el sindicato FinteChile informaron que se ha firmado un Acuerdo Marco para la captura de datos, dando así el primer paso en lo que es el primer avance concreto para la Banca Abierta en Chile.

Javier Edwards

Aspectos generales

Este Acuerdo Marco («MA»), que también ha sido firmado por el Banco Estado, establece:

• Estándares de responsabilidad, y
• Mecanismos para capturar los datos de los clientes de las entidades firmantes de MA de forma controlada mediante web scraping.

Lo anterior, para que sirva de marco de acción mientras se establecen otros mecanismos de captura, y sin perjuicio de los cambios normativos que se aprueben en el futuro.

De acuerdo con los términos de esta MA, los bancos y entidades que realicen consultas a través de los mecanismos y condiciones acordados en ella pueden adherirse a ella. Asimismo, esta MA se complementará con contratos bilaterales (BC) que acordarán las entidades participantes. En todo lo que no esté regulado expresamente en el BC, se aplicará lo estipulado en el MA.

Asimismo, se establece que será responsabilidad de las instituciones firmantes de la MA contar con la autorización explícita de sus clientes para el acceso, uso, almacenamiento y tratamiento de la información obtenida mediante la captura de datos mediante web scraping.

Medidas de seguridad

La captura de datos personales se regirá por siete principios:

• Propósito,
• Proporcionalidad,
• Calidad,
• Seguridad,
• Transparencia,
• Responsabilidad, y
• Confidencialidad.

Los estándares de seguridad deben estar alineados de acuerdo con el capítulo 20-10 de la Compilación actualizada de reglamentos de la Comisión para el Mercado Financiero («CMF»).

Por lo tanto, las entidades participantes deberán:

• Considere un modelo de gestión de incidentes de seguridad y ciberseguridad.
• Establezca mecanismos y protocolos para el intercambio de información con las instituciones que proporcionan datos sobre incidentes o situaciones de ciberseguridad que puedan afectar la continuidad operativa.
• Implemente un modelo de información oportuno para las entidades que proporcionan información sobre cualquier evento anómalo, categoría crítica, vulnerabilidades técnicas o eventos de fraude identificados en la infraestructura de la institución que consulta los datos y que afecte la seguridad de la información del cliente o de la empresa que los proporciona.

En cuanto a la responsabilidad de las entidades participantes, se resolvió que»la verificación del cumplimiento de los estándares definidos en términos de seguridad, así como la notificación de cualquier evento o vulnerabilidad en ningún caso significará la adopción de ningún tipo de responsabilidad por parte de la institución que brinde frente a eventos anómalos o vulnerabilidades».

Prevención del fraude

La MA también aborda la prevención del fraude. Para estos fines, las entidades participantes deberán implementar mecanismos en caso de alertas o incidentes, así como de vulnerabilidades técnicas de categoría crítica o eventos de fraude identificados en la infraestructura de la institución consultora que puedan afectar la seguridad de la información del cliente o de la entidad que la proporciona.

Del mismo modo, las empresas que proporcionan información»podrán bloquear los accesos de las instituciones que consulten, en caso de que presenten vulnerabilidades críticas o estén bajo un ciberataque o amenaza del mismo, se produzca una filtración de información, de los protocolos de seguridad previamente establecidos u otro evento que pueda afectar la seguridad de la información o la continuidad operativa».

Para evitar estas situaciones, se definió un procedimiento simplificado para determinar la responsabilidad de las partes por operaciones desconocidas realizadas por clientes de las instituciones.

Si se produce un fraude, las entidades que consulten los datos —autorizadas por sus clientes para realizar actividades de captura de datos— serán responsables y estarán obligadas a reembolsar a la institución que proporcionó la información los montos que esta última haya soportado o en los que deba incurrir a favor de sus clientes de conformidad con la ley en caso de fraude, cuando exista una causa atribuible a la empresa que realiza la consulta.

Asimismo, deben asumir su responsabilidad en caso de errores en sus plataformas o vulnerabilidades en sus sistemas, que permitan el acceso no autorizado de terceros o produzcan la divulgación de credenciales o información de clientes.

Antes de iniciar cualquier acción legal,»las entidades que participan en el acuerdo deben analizar de buena fe y hacer todo lo posible para determinar el origen de un fraude sufrido por los clientes de las instituciones que proporcionan.». El plazo para estos efectos será de doce (12) días calendario a partir de la notificación entre las partes. Si no se llega a un acuerdo dentro del plazo antes mencionado, cualquier diferencia, dificultad o controversia que surja entre las entidades participantes en relación con un caso de fraude sufrido por un cliente, se someterá al conocimiento y resolución de una comisión arbitral.

Tribunal arbitral

Este estará integrado por tres miembros, quienes resolverán en una sola instancia y como tribunal arbitral mixto. Todos los miembros de este Tribunal deben ser abogados.

Cada entidad tendrá el derecho de designar libremente a un miembro, dentro de los que figuran en el Centro de Arbitraje y Mediación de la Cámara de Comercio de Santiago. El tercer miembro, que presidirá el tribunal de arbitraje, será nombrado por el mismo Centro a solicitud por escrito de cualquiera de las partes.

‍