Superintendencia Financiera de Colombia

Este sitio web usa cookies propias y de terceros para brindar una mejor experiencia al usuario en su navegación.
Si continúas en el sitio web, estás aceptando nuestras Políticas web.

 

Preguntas y respuestas para el consumidor financiero

 

Consumidor financiero - Finanzas abiertas

 
Finanzas abiertas, es un concepto que hace referencia al ecosistema en el que los consumidores dan su consentimiento para que sus datos transaccionales (banca, inversión, seguros, etc.) sean compartidos por instituciones financieras con terceros, con el fin de que estos últimos les ofrezcan servicios y productos financieros más personalizados y ajustados a sus necesidades. El objetivo principal es facilitar el acceso, el control y el uso de los datos por parte de los consumidores.

Llevar tu información financiera hacia otras empresas permite que conozcan tu perfil transaccional, te ofrezcan productos y servicios financieros más atractivos o te vinculen por primera vez al sistema financiero. 
 
 
Es muy fácil: accede, autoriza, autentícate, confirma la autorización y recibe la confirmación para que un tercero receptor de datos pueda hacer uso de tus datos. 

La clave de todo es que te empoderes frente a tus datos, por lo cual aprende consultando la Guía del Consumidor: paso a paso para dar autorización a terceros y la Guía del Consumidor: cómo consultar, actualizar o revocar autorizaciones
 
Las finanzas abiertas promueven que los consumidores financieros tengan un mayor control sobre sus datos personales, al permitirles decidir qué información quieren compartir, con quién la quieren compartir y en qué condiciones se comparte dicha información.

Así mismo, brindan eficiencia debido a que facilita que el diseño, desarrollo y prestación de servicios financieros, tenga en consideración los hábitos de consumo y los patrones transaccionales de los consumidores.

En línea con lo anterior, las finanzas abiertas generan mayor competencia y promueven la innovación, al facilitar y fomentar la entrada de nuevos actores. Esta mayor competencia tiene el potencial de reducir costos en la prestación de servicios y de facilitar que personas sin historial crediticio y que se encuentran en zonas rurales o remotas, o que pertenezcan a segmentos desatendidos por las instituciones financieras tradicionales, puedan acceder a productos financieros.
 

Las finanzas abiertas promueven que los consumidores financieros tengan un mayor control sobre sus datos personales, al permitirles decidir qué información quieren compartir, con quién la quieren compartir y en qué condiciones se comparte dicha información. 

Así mismo, brindan eficiencia debido a que facilita que el diseño, desarrollo y prestación de servicios financieros, tenga en consideración los hábitos de consumo y los patrones transaccionales de los consumidores.

En línea con lo anterior, las finanzas abiertas generan mayor competencia y promueven la innovación, al facilitar y fomentar la entrada de nuevos actores. Esta mayor competencia tiene el potencial de reducir costos en la prestación de servicios y de facilitar que personas sin historial crediticio y que se encuentran en zonas rurales o remotas, o que pertenezcan a segmentos desatendidos por las instituciones financieras tradicionales, puedan acceder a productos financieros.

 
Los datos abiertos (open data en inglés), constituyen la siguiente etapa en el tratamiento de datos, la cuál va más allá de la banca abierta y las finanzas abiertas.

En un ecosistema de datos abiertos, tanto instituciones financieras como otros tipos de sociedades, transfieren datos de consumidores bajo las condiciones en que ellos hayan autorizado, con el fin de que los datos puedan ser usados por terceros para diseñar y ofrecer servicios, tanto financieros como no financieros, que se ajusten a las necesidades reales de los consumidores.

Lo anterior no sólo implica que se amplía el espectro de datos que pueden ser utilizados para reconocer los patrones transaccionales y los hábitos de consumo de los consumidores, sino que esto facilitará la interconexión de diferentes sectores de la economía y generará una mayor competencia en el mercado.
 
El desarrollo de un ecosistema de finanzas abiertas sólido y robusto, contribuye a mejorar el acceso que tienen las personas y las empresas a productos y servicios financieros, en la medida en que permite crear productos y servicios financieros más ajustados a las necesidades reales de los consumidores.

Así mismo, el reconocimiento y análisis del comportamiento transaccional y de los hábitos de consumo de los consumidores, facilita que segmentos tradicionalmente desatendidos por el sector financiero puedan acceder a productos y servicios financieros.

De igual forma, el desarrollo de un ecosistema de finanzas abiertas aumenta la competencia entre proveedores de servicios financieros, generando un impacto en la reducción de las tarifas, y abriendo la posibilidad a que más consumidores accedan a productos y servicios financieros más eficientes y baratos.
 
Alrededor del mundo, encontramos múltiples jurisdicciones que han implementado diferentes modelos de finanzas abiertas.

El alcance puede variar dependiendo el tipo de datos y funciones que se ponen a disposición del ecosistema, tales como datos públicos, datos del consumidor, datos transaccionales, datos agregados, entre otros.

También puede diferenciarse en atención al tipo de participantes que se encuentran sujetos a la apertura de los datos. En algunos casos, se ha considerado que sólo incluyen a los agentes de cierto tamaño (Reino Unido). En otros casos, inicialmente se obliga a los actores más grandes, para posteriormente vincular a los demás actores (Brasil). En otros casos, sólo los bancos son los destinatarios de las regulaciones sobre la materia (Unión Europea, Hong Kong Japón, entre otros).

Respecto a quien puede solicitar y recibir los datos de los consumidores también se han adoptado diferentes enfoques. En algunos países se han adoptado licencias (Australia, India), en otros se exige además de la licencia un acuerdo bilateral (Japón), mientras que en otros se estableció un registro de API´s abiertas (Singapur).

Otro tópico que genera diferencias entre las diversas jurisdicciones es sobre el responsable de la implementación del modelo. En algunos países se ha establecido un órgano independiente (Reino Unido, Brasil), en otros la responsabilidad recae en el supervisor financiero (Unión Europea, India Singapur), mientras que otros la implementación es tarea de la autoridad de competencia (Australia).

· Terceros receptores de datos – Sociedades que solicitan al consumidor financiero autorización para acceder a los datos de estos, que están siendo tratados por las entidades vigiladas por la SFC, con el fin de brindarle nuevos productos y servicios.
 
Los principales desafíos para el desarrollo e implementación de un ecosistema de finanzas abiertas se relacionan con la privacidad de los datos, la seguridad de la información y la interoperabilidad del sistema. No obstante, lo anterior, y para tranquilidad de los consumidores, Colombia cuenta con un robusto marco regulatorio en materia de protección de datos, lo cual protege los derechos de los consumidores. Así mismo, la SFC expidió la Circular Externa 004 de 2024 a través de la cual se fijaron los estándares tecnológicos y de seguridad, con los cuales se protege la seguridad de los datos y se garantiza la interoperabilidad y estandarización del ecosistema de finanzas abiertas.
 
El objetivo de las regulaciones y estándares en las finanzas abiertas es el establecer un marco legal y técnico para garantizar la seguridad, confiabilidad y privacidad de los datos financieros compartidos entre los participantes del ecosistema. Adicionalmente, buscan promover la transparencia, la competencia y la inclusión financiera.
 
De acuerdo con lo establecido en la Circular Externa 004 de 2024, las entidades vigiladas tendrán un periodo de transición para realizar los desarrollos tecnológicos necesarios que les permitan efectuar, de forma segura y transparente el tratamiento de la información de consumidores financieros a terceros receptores de datos, atendiendo las instrucciones que para el efecto haya dado el consumidor financiero. Una vez las entidades vigiladas ejecuten estos desarrollos sus consumidores podrán solicitar el tratamiento de sus datos bajo el esquema de finanzas abiertas, con el fin de recibir la oferta productos y servicios a su medida.

En Colombia, la SFC expedirá las reglas que definirán los estándares tecnológicos y de seguridad para los casos de uso de iniciación de pagos, agregación de productos bancarios, agregación de otros productos financieros, y portabilidad de productos bancarios y de otros productos financieros.
 
Por virtud de lo dispuesto en el Decreto 1297 de 2022, la Superintendencia Financiera de Colombia es la autoridad encargada de desarrollar los estándares tecnológicos y de seguridad necesarios para el desarrollo de la arquitectura financiera abierta en Colombia.

Así mismo, esta Superintendencia es la responsable de evaluar los avances en la implementación de la arquitectura financiera abierta por parte de las instituciones financieras.
 
La Circular Externa 004 de 2024, da un periodo de transición a las entidades vigiladas, para que implementen los desarrollos tecnológicos necesarios con el fin de dar cumplimiento a los estándares tecnológicos y de seguridad allí definidos.

Por lo anterior, una vez finalice dicho periodo de transición, y si la entidad vigilada ha decidido vincularse al esquema de finanzas abiertas, los consumidores financieros podrán autorizar el tratamiento de sus datos a terceros receptores de datos.
 
El ecosistema de finanzas abiertas se compone de diversos actores:
  • Superintendencia Financiera – Organismo encargado de fijar los estándares tecnológicos y de seguridad.
  • Entidades financieras que son las instituciones que ofrecen productos o servicios financieros y que pueden compartir los datos de sus clientes con otras entidades, siempre que cuenten con su autorización.
  • Los usuarios que corresponden a las personas o empresas que utilizan los servicios o productos financieros, y quienes tienen el derecho y el poder de autorizar el acceso y uso de sus datos por parte de terceros.
  • Terceros receptores de datos que corresponde a las empresas que facilitan el tratamiento de datos entre las entidades financieras y empresas que usan tecnologías, mediante el uso de interfaces de programación de aplicaciones (APIs). Estos proveedores deben garantizar la seguridad, calidad y estandarización de los datos que se comparten entre las partes.
 
Mediante Circular Externa 004 de 2024 la SFC definió los estándares tecnológicos y de seguridad, que deben cumplir las entidades vigiladas que participen en los ecosistemas de finanzas abiertas. Estos estándares garantizan que el tratamiento de datos de los consumidores financieros atienda expresamente las condiciones que este haya decidido en el consentimiento, y brinda las herramientas para que la circulación de los datos sea efectuada bajo las más robustas normas tecnológicas de tal forma que se minimiza el riesgo de ciberseguridad y operativo.
 
El tratamiento de datos puede dar lugar a riesgos operacionales, amenazas de ciberseguridad y violaciones de datos, comprometiendo la privacidad y la seguridad de información sensible.

Por lo anterior, para el desarrollo e implementación de nuestro esquema de finanzas abiertas, se fijó un marco regulatorio sólido, el cual establece los estándares tecnológicos y de seguridad que deben aplicar las entidades vigiladas por la SFC para trasferir los datos de los consumidores financieros de forma segura y transparente, garantizando la protección de la información y de los derechos de los consumidores financieros.
 
Los consumidores financieros pueden dar acceso a terceros, a sus datos personales que hoy son objeto de tratamiento por parte de las instituciones financieras, mediante una autorización que contenga como mínimo, la siguiente información:

a. La identificación del tercero receptor de datos, su razón social y su domicilio.

b. Los datos específicos que autoriza trasferir al tercero receptor de datos

c. El tratamiento al cual serán sometidos los datos personales por parte del tercero receptor de datos.

d. La finalidad específica para la cual el consumidor financiero autoriza el tratamiento de sus datos personales.

e. El tiempo de la finalidad para la cual el consumidor financiero autoriza el tratamiento de sus datos personales.

El propósito de dar acceso a sus datos personales es que el tercero receptor de datos haga uso de estos con el fin de ofrecerle productos y servicios más personalizados y ajustados a sus necesidades y a su realidad económica.
 
Bajo el esquema de finanzas abiertas podrán autorizar el tratamiento de sus datos personales, que reposen o que estén siendo objeto de tratamiento por las entidades vigiladas por la Superintendencia Financiera de Colombia. Lo anterior en cumplimiento de la regulación sobre protección de datos personales.
 
No. Los consumidores financieros tienen derecho a decidir con quién comparten sus datos, por cuánto tiempo será dicha autorización y con qué finalidad específica quiere que sus datos sean utilizados.

Por lo anterior, las autorizaciones que se den en el marco de las finanzas abiertas deben contener como mínimo, la siguiente información:

a. La identificación del tercero receptor de datos, su razón social y su domicilio.

b. Los datos específicos que autoriza trasferir al tercero receptor de datos

c. El tratamiento al cual serán sometidos los datos personales por parte del tercero receptor de datos.

d. La finalidad específica para la cual el consumidor financiero autoriza el tratamiento de sus datos personales.

e. El tiempo de la finalidad para la cual el consumidor financiero autoriza el tratamiento de sus datos personales.
 
Si tiene alguna queja por una presunta vulneración de sus datos personales, puede interponer una queja ante cualquiera de las siguientes autoridades:

Superintendencia Financiera de Colombia: Cuando fue una institución financiera vigilada por dicho organismo quien presuntamente vulneró sus derechos.

Superintendencia de Industria y Comercio: Cuando fue cualquier otro tipo de persona o sociedad quien presuntamente vulneró sus derechos.
 
No. La autorización que se da en el marco de las finanzas abiertas es para transferir los datos que hoy son objeto de tratamiento por parte de las instituciones financieras donde el consumidor tiene sus productos.
 
El consumidor financiero es el único que puede autorizar el tratamiento de datos, debido a que es el titular de estos. Lo anterior, de acuerdo con la regulación de protección de datos personales.
 
Usted podrá compartir sus datos bajo el modelo de finanzas abiertas, con los terceros receptores de datos que acrediten ante la institución financiera donde usted tiene sus productos, el cumplimiento de los requisitos fijados en el numeral 2.1 de la Circular Externa 004 de 2024. Estos requisitos son:

a. Estén inscritos en el Registro Nacional de Bases de Datos cuando se cumplan los presupuestos previstos en la Ley 1581 de 2012 y el Decreto 886 de 2014 compilado por el Decreto 1074 de 2015, y demás normas que las modifiquen o sustituyan. En el evento en que los terceros receptores de datos no deban inscribirse en el mencionado registro de conformidad con lo previsto en el Decreto 886 de 2014, y normas que las modifiquen o sustituyan o reglamenten, y en la Circular Única de la Superintendencia de Industria y Comercio, las entidades vigiladas deben verificar que los mismos cuenten con políticas y procedimientos para el tratamiento de datos personales.

b. Cuenten con procedimientos para la atención de consultas y reclamos relacionados con las normas señaladas en el literal anterior.

c. Cuenten con mecanismos que les permitan:
i. Gestionar los riesgos asociados al tratamiento de los datos personales del consumidor financiero, en particular, el de seguridad de la información y ciberseguridad, así como fallas en la infraestructura tecnológica y en los sistemas en los que se almacene la información. Para el efecto, las entidades vigiladas pueden tener en cuenta marcos de referencia, tales como: ISO 27001, NIST Cybersecurity Framework, OWASP ASVS, última versión o cualquiera que los modifique, sustituya o adicione.

ii. Mantener cifrados los datos personales de los consumidores financieros que estén en tránsito o en reposo usando para el efecto estándares y algoritmos reconocidos internacionalmente que briden al menos la seguridad ofrecida por AES o RSA.

iii. Contar con sistemas de monitoreo de la información para el desarrollo de esquemas de finanzas abiertas.

iv. Gestionar las vulnerabilidades de aquellas plataformas que hagan uso de los datos suministrados en el marco de esquemas de finanzas abiertas.

v. Contar con la certificación PCI-DSS emitida por una entidad que ostente la categoría QSA (Qualified Security Assessor) y soportada por el documento AoC (Attestation of Compliance) correspondiente, en el evento en que el tercero receptor de datos pretenda almacenar, procesar y/o transmitir datos contenidos en tarjetas débito y crédito.

vi. Informar a las entidades vigiladas, en el menor tiempo posible, sobre cualquier evento o situación que pueda comprometer la seguridad de los datos personales de los consumidores financieros.

d. Cuenten con procedimientos para la revocatoria y supresión de los datos personales de los consumidores financieros, de conformidad con las normas aplicables.
 
Si. El consumidor financiero en su calidad de titular de sus datos es el único que puede decidir si comparte o no sus datos personales con terceros.
 
Si. Mediante la Circular Externa 004 de 2024 la SFC definió los estándares tecnológicos y de seguridad que deben aplicarse en el tratamiento de los datos de los consumidores bajo el modelo de finanzas abiertas. Dichos estándares acogen las mejores prácticas internacionales y por lo mismo, garantizan la seguridad de los datos y la protección de los derechos de los consumidores.
 
En primer lugar, debo autorizar al tercero receptor de datos para que acceda a mis datos personales que hoy son objeto de tratamiento por parte de una institución financiera.

Posteriormente, debo autorizar a dicha institución financiera, para que trasfiera mis datos al tercero receptor de datos.

Para lo anterior, debo tener en cuenta las reglas fijadas en la Circular Externa 004 de 2024.
 
De acuerdo con la hoja de ruta para la implementación de las finanzas abiertas en Colombia, la SFC expedirá las reglas que definirán los estándares tecnológicos y de seguridad para los siguientes casos de uso:
•    Iniciación de pagos
•    Agregación de productos bancarios
•    Agregación de otros productos financieros
•    Portabilidad de productos bancarios
•    Portabilidad de otros productos financieros
Una vez sean expedidas dichas reglas, los diferentes actores del ecosistema de finanzas abiertas podrán ofrecer a sus clientes dichos productos y servicios.
Puede consultar la hoja de ruta para la implementación de las finanzas abiertas en Colombia en el siguiente enlace: Hoja de Ruta de finanzas abiertas SFC
 
Es un servicio que permite a los usuarios realizar pagos por internet conectándose a su banco y autorizando la transferencia desde su cuenta a la del beneficiario, a través de un proveedor externo que actúa como intermediario. Se entiende como realización de pagos o transferencias electrónicas a nombre del consumidor financiero utilizando los servicios de un tercero.
 
Es un servicio que permite unificar en una sola aplicación los productos financieros que un cliente tiene contratados en diferentes entidades financieras, como por ejemplo las cuentas, los fondos, los depósitos. Esto brinda una visión global de las finanzas del consumidor, permitiendo verificar la solvencia económica del cliente de forma automática. 
 
La Organización Internacional de Normalización (ISO, por sus siglas en inglés) define la portabilidad como la capacidad de transferir fácilmente datos de un sistema a otro sin que sea necesario volver a introducirlos.  En el contexto de finanzas abiertas la portabilidad hace referencia a la posibilidad de trasladar los datos transaccionales asociados a una cuenta de una institución financiera a otro intermediario sin tener que volver a entregarlos a la institución receptora.
 
La Organización Internacional de Normalización (ISO, por sus siglas en inglés) define la interoperabilidad como capacidad de dos o más sistemas o aplicaciones para intercambiar información y utilizar mutuamente la información intercambiada. En el contexto de finanzas abiertas es la interoperabilidad de los datos la que permite que exista un flujo de transacciones entre las diferentes instituciones financieras. 
 
Es una plataforma tecnológica que recopila información de múltiples fuentes y la presenta de manera centralizada para facilitar su acceso y uso por parte de los consumidores, con el fin de que estos puedan gestionar sus productos financieros de forma más eficiente.


Última modificación 09/02/2024