Colombia ha avanzado de forma acelerada en la configuración de un marco regulatorio de datos abiertos, pasando de un modelo de intercambio de información voluntario entre entidades financieras a un modelo en el que es posible compartir datos provenientes de distintas fuentes y sectores, como el de telecomunicaciones o el de servicios públicos, según la Asociación Bancaria.
Desde que en Colombia se comenzó a hablar del Open Banking a través de documentos técnicos productiva del país. De hecho, para 2024 algunos sectores publicados por la Unidad de Proyección Normativa y Estudios de Regulación Financiera (URF) hacia finales del 2020, y que sentaron las primeras bases para la regulación y funcionamiento de este esquema, el país ha avanzado de forma acelerada en la configuración de un marco regulatorio definido, pasando de un modelo de intercambio de información voluntario entre entidades financieras a un modelo de datos abiertos en el que es posible compartir datos provenientes de distintas fuentes y sectores, como el de telecomunicaciones o el de servicios públicos.
Según documento publicado en la revista Banca y Economía de la ASOBANCARIA, estos avances dan cuenta de que el propósito del ente regulador en Colombia no solo ha sido limitarse a un esquema de Open Banking o de Open Finance, sino también abrir el camino para introducir uno más amplio, como viene a ser el adoptado con el Plan Nacional de Desarrollo (PND) 2022-2026, que conlleva un tránsito de las finanzas abiertas a un modelo de datos abiertos y que se traducirá en oportunidades para la profundización financiera y crediticia.
Sin duda los datos abiertos son un instrumento de desarrollo económico para los países. Una investigación de McKinsey sugirió en el 2013 que siete sectores podrían generar más de 3 billones de dólares al año en valor agregado como resultado de los datos abiertos, dando lugar a nuevas iniciativas empresariales y ayudando a las empresas establecidas a segmentar mercados, definir nuevos productos y servicios y mejorar la eficiencia de las operaciones . De hecho, en otra investigación más reciente, el mismo autor señaló que las economías que adopten el intercambio de datos para las finanzas podrían ver ganancias del PIB de entre 1 y 5 por ciento para 2030, y los beneficios fluirían hacia los consumidores y las instituciones financieras .
Sin embargo, para que la implementación de un esquema de datos abiertos produzca los efectos esperados en términos de crecimiento económico e inclusión financiera, requiere de la coordinación entre las distintas autoridades que lleven a cabo su reglamentación, ya prevista dentro de la agenda de la URF como uno de sus objetivos estratégicos para el 2024.
Propuestas de la industria financiera
La experticia de la industria financiera en el campo de la innovación tecnológica y en el manejo y protección de los datos le dan herramientas para el desarrollo de propuestas que debieran estructurar una regulación de datos abiertos en el país, basada en una gobernanza eficaz que garantice el buen funcionamiento del esquema. Es por ello que se han identificado tres elementos fundamentales con los que debería contar esta regulación y que se pueden resumir así: i) complementariedad con el esquema de finanzas abiertas, ii) registro de terceros receptores y iii) régimen de responsabilidad.
Complementariedad con el esquema de finanzas abiertas
En primer lugar, cabe resaltar que el marco regulatorio actual provee un escenario favorable para la implementación del esquema de datos abiertos en el país, partiendo del régimen de protección de datos personales consagrado en la Ley 1581 de 2012 y de normas especiales sobre el manejo de información financiera, crediticia y comercial que establece la Ley 1266 de 2008. Igualmente, destacan normas que ya habilitan el intercambio de datos entre entidades financieras como viene a ser el Decreto 1297 de 2022 y las instrucciones dadas por la Superintendencia Financiera de Colombia (SFC) a través de la Circular Externa 004 de 2023.
El análisis señala más adelante que estas medidas, que son aspectos esenciales para el funcionamiento del esquema de finanzas abiertas, resultan igual de importantes en el de datos abiertos, por lo que deberían ser adoptados sin desconocer que el sector público, e incluso parte del sector privado, puede no contar con los desarrollos necesarios para incorporarlos. Es por esto que se propone un período de transición razonable que permita que las entidades que no cuentan con los desarrollos tecnológicos, de arquitectura y de seguridad suficientes, se adapten progresivamente a los requerimientos del sistema, todo en aras de brindar mayor protección a los consumidores y garantizar el correcto funcionamiento del esquema.
De esta manera, una regulación de datos abiertos debe contar con una extensión coherente al marco normativo actual en materia de datos personales y complementarse con el régimen de finanzas abiertas.
Registro de terceros receptores
En segundo lugar y partiendo de lo ya establecido en la Circular 004 de 2023, se ha venido planteando la creación de un registro en el que se inscriban los receptores de datos. Esta propuesta se fundamenta en el hecho de que la mencionada Circular estableció un esquema de supervisión indirecta en el que las entidades vigiladas por la SFC deben verificar que los terceros receptores de datos cumplan con requisitos en materia de atención de consultas y reclamos, tratamiento de datos, estándares de seguridad, entre otros.
Así, un registro de acceso público y en el que deban inscribirse aquellos que actúen como receptores de datos (aplicaría tanto para finanzas abiertas como para datos abiertos), brindaría mayor seguridad al esquema. Con este registro se busca que la SFC sea la entidad encargada de verificar que quienes se registren cumplan con todos los requisitos en materia de seguridad y tratamiento de datos.
Régimen de responsabilidad
Por último, otro de los elementos fundamentales de la regulación del esquema de datos abiertos es la responsabilidad que asumirían los distintos sujetos en el intercambio de datos. Una reglamentación sobre el funcionamiento del esquema de datos abiertos tiene que incluir un régimen claro de responsabilidad en el tratamiento de la información, que es el principal incentivo para participar en el esquema.
En ese sentido, la regulación debe permitir determinar el sujeto responsable, el nivel de responsabilidad y la sanción a la que habrá lugar en caso de presentarse alguna violación al régimen de los datos objeto de tratamiento, señalando hasta qué momento el sujeto que entrega la información deja de ser responsable por su tratamiento y a partir de qué momento el sujeto que recibe la información comienza a ser responsable por su manejo.
La determinación de estas responsabilidades resulta un aspecto de gran relevancia en la medida en que brindará mayor seguridad jurídica al esquema y garantizará mayores niveles de protección a los consumidores y a los sujetos que participarán en este.
Banca y Economía expuso ampliamente las experiencias que en este campo han desarrollado países como Australia, Singapur y la Unión Europea para concluir que «la experiencia internacional provee elementos que pueden servir como aprendizaje para el caso colombiano y, aunque son contextos regulatorios y de mercado distintos, los aciertos y desaciertos de estas jurisdicciones pueden inspirar desarrollos y mejoras en el funcionamiento del esquema que se busca implementar a nivel local.
En relación con el registro, el mejor ejemplo lo tiene Australia, ya que allí se creó un registro de receptores de datos que garantiza que aquellos que han sido acreditados por la ACCC son los que están habilitados para ofrecer servicios en el marco del intercambio de datos, brindando mayor seguridad al esquema. Este registro en Colombia, que se plantea lo lleve la SFC, garantizará que quienes estén inscritos reúnan las calidades para llevar a cabo un adecuado tratamiento de los datos, y se constituirá en un estímulo a la innovación y minimizará eventuales amenazas que pongan en riesgo los datos de los titulares.
Aunque hay varios elementos por definir en la construcción de la regulación de datos abiertos, lo cierto es que en el análisis se deben tomar en cuenta los lineamientos que soportan el marco regulatorio actual, así como también los aciertos y desaciertos de la experiencia internacional en sus diversos frentes: en materia de gobernanza, de estándares de seguridad, régimen de responsabilidad, entre otros.
