Boletín Informativo de la Bolsa de Valores Nº 218
| Fecha de publicación | 02 Noviembre 2021 |
| Número de Gaceta | 218 |
BOLETÍN INFORMATIVO
No. 218 Bogotá D.C., noviembre 02 de 2021
011. NORMAS SOBRE EL MERCADO DE VALORES Y DEL SECTOR FINANCIERO
Por considerarlo de interés, les informamos que la Unidad de Regulación Financiera -
URF publicó un proyecto de decreto en relación con la regulación de las finanzas abiertas
en Colombia.
Este proyecto tiene como objetivo regular lo siguiente:
1. El tratamiento de datos personales por parte de las entidades sujetas a la
inspección y vigilancia de la Superintendencia Financiera.
2. El ofrecimiento de servicios de terceros a través de canales de entidades sujetas
a la inspección y vigilancia de la Superintendencia Financiera.
3. El ofrecimiento de servicios de las entidades sujetas a la inspección y vigilancia
de la Superintendencia Financiera en plataformas electrónicas de terceros.
4. La comercialización a terceros de tecnología e infraestructura que utilice la
entidad vigilada para la prestación de sus servicios.
El plazo para remitir comentarios a la URF vence el 24 de noviembre de 2 021.
Se adjunta el proyecto de decreto en mención junto con su documento técnico.
Firmado digitalmente por
Vicepresidencia Juridica
Nombre de reconocimiento (DN):
cn=Vicepresidencia Juridica, o=Bolsa
de Valores de Colombia S.A.,
ou=Vicepresidencia Juridica,
email=secretaria@bvc.com.co, c=
Fecha: 2021.11.02 08:49:35 -05'00'
Ministerio de Hacienda y Crédito
Público
República de Colombia
DECRETO
( )
Por medio del cual se modifica el Decreto 2555 de 2010 en lo relacionado con la
regulación de las finanzas abiertas en Colombia y se dictan otras disposiciones
EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA
En ejercicio de sus facultades constitucionales y legales, en especial las
conferidas en los numerales 11 y 25 del artículo 189 de la Constitución Política y
los literales a) y j) del numeral 1 del artículo 48 del Estatuto Orgánico del Sistema
CONSIDERANDO
Que el sistema financiero atraviesa uno proceso y transformación profundo y se
enfrenta a una dinámica competitiva distinta, con mayor diversidad de actores y de
necesidades digitales por parte del consumidor financiero. Y que en respuesta a
esta realidad, las entidades financieras vienen ajustando sus modelos para
distribuir productos y servicios en ecosistemas propios o de terceros y ampliar el
portafolio con servicios de tecnología e infraestructura que les permite agregar valor
y fortalecer su competitividad.
Que en línea con los estándares internacionales las finanzas abiertas contribuyen
a profundizar la competencia, inclusión y eficiencia en la prestación de servicios en
la medida en que permite a las entidades financieras perfilar mejor a los usuarios y
desarrollar estrategias y alianzas con entidades de otros sectores.
Que en los últimos años varios países han implementado iniciativas regulatorias
que apuntan a la implementación de las finanzas abiertas, mediante la regulación
del acceso a los datos del consumidor financiero y la creación de nuevas
actividades como la de iniciación de pagos y la definición de estándares
tecnológicos que promueven la digitalización financiera.
Que con los anteriores objetivos, se propone precisar las normas aplicables a la
transferencia de datos del consumidor entre entidades financieras y fomentar el
acceso a dicha información en favor del desarrollo de nuevos servicios y
funcionalidades financieras, así como aclarar las reglas bajo las cuales las
entidades pueden comercializar sus servicios financieros a través de plataformas
electrónicas, incluyendo una mayor transparencia en las condiciones de dichas
interfaces y los roles de quienes intervienen en la cadena del servicio
DECRETO DE Página 2 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
Que siguiendo los lineamientos trazados en el decreto 1692 de 2020 de desarrollar
la industria de pagos electronicos y reducir el efectivo, se propone adicionar la
iniciación de pagos como una actividad del sistema de pagos que podrá ser
desarrollada por participantes de esta industria siguiendo reglas especfícias que
protegen al usuario y el adecuado funcionamiento del sistema.
Que el literal a) del numeral 1 del artículo 48 del Estatuto Orgánico del Sistema
Financiero permite al Gobierno Nacional autorizar las operaciones que pueden
realizar las entidades objeto de intervención en desarrollo de su objeto principal
permitido en la ley, previa información al Banco de la República, sin perjucio de que
este organismo pueda ponunciarse sobre su incidencia en las políticas a su cargo.
Estatuto Orgánico del Sistema Financiero, le corresponde al Gobierno Nacional
regular los sistemas de pago y las actividades vinculadas con este servicio que no
sean competencia del Banco de la República.
Que se cumpli con las formalidades del numeral 8 del artculo 8 de la Ley 1437 de
Que el Banco de la República rindió concepto favorable a la nueva operación acá
autorizada a las entidadades vigiladas mediante comunicación de fecha xxx de xx.
Que el Consejo Directivo de la Unidad Administrativa Especial Unidad de
Proyección Normativa y Estudios de Regulacin Financiera –URF– aprob el
contenido del presente Decreto, mediante Acta No. XXX del XX de XXX de 202X.
DECRETA
Artículo 1. Adiciónese el Título 8 al Libro 35 de la Parte 2 del Decreto 2555 de
2010, el cual quedará así:
“TÍTULO 8
TRATAMIENTO DE DATOS PERSONALES POR PARTE DE LAS ENTIDADES
SUJETAS A LA INSPECCIÓN Y VIGILANCIA DE LA SUPERINTENDENCIA
FINANCIERA DE COLOMBIA
Artículo 2.35.8.1.1. Tratamiento de la información. Las entidades vigiladas por la
la Superintendencia Financiera de Colombia podrán tratar la información que los
consumidores financieros autoricen expresamente. En todos los casos debe darse
estricto cumplimiento a las normas relacionadas con protección de datos y habeas
Artículo 2.35.8.1.2. Comercialización de la información. Salvo lo exceptuado
expresamente en la ley, las entidades vigiladas por la Superintendencia Financiera
de Colombia podrán comercializar el uso, almacenamiento y circulación de los datos
DECRETO DE Página 3 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
personales objeto de tratamiento, siempre que cuenten con la autorización expresa
del titular de los datos y se dé estricto cumplimiento a las normas relacionadas con
de 2012.
Artículo 2.35.8.1.3. Seguridad de la información. En virtud de lo establecido en el
literal a) numeral 3 del artículo 326 del Decreto 663 de 1993, la Superintendencia
Financiera de Colombia podrá impartir instrucciones a sus vigiladas con el fin de
velar por la seguridad de los datos personales de los usuarios.
Artículo 2.35.8.1.4. Reserva bancaria. Lo establecido en el presente Título no
modifica la obligación de las entidades vigiladas por la Superintendencia Financiera
de Colombia de mantener la reserva bancaria de sus usuarios ”
Artículo 2. Adiciónese el Título 9 al Libro 35 de la Parte 2 del Decreto 2555 de 2010,
el cual quedará así:
“TÍTULO 9
ECOSISTEMAS DIGITALES
CAPÍTULO 1.
SERVICIOS OFRECIDOS POR TERCEROS EN CANALES DE ENTIDADES
SUJETAS A LA INSPECCIÓN Y VIGILANCIA DE LA SUPERINTENDENCIA
FINANCIERA DE COLOMBIA
Artículo 2.35.9.1.1. Conexidad. Las entidades vigiladas por la Superintendencia
Financiera de Colombia podrán ofrecer en sus canales virtuales y presenciales
productos y servicios de terceros, siempre que dicho ofrecimiento tenga conexidad
con sus operaciones autorizadas.
Se entenderá como conexo a las operaciones autorizadas a las entidades vigiladas
por la Superintendencia Financiera de Colombia, el ofrecimiento de productos o
servicios de terceros que promuevan el uso de los productos o servicios de la entidad
vigilada.
Las entidades vigiladas por la Superintendencia Financiera de Colombia podrán
cobrar contraprestaciones a los terceros que ofrezcan productos y servicios en sus
plataformas electrónicas.
Artículo 2.35.9.1.2. Uso de red. En caso de que el tercero que ofrezca sus
productos o servicios sea otra entidad vigilada por la Superintendencia Financiera de
Colombia, les será aplicable la regulación de uso de red de que trata el capítulo 2 del
título 2 del Libro del Libro 31 de la Parte 2 y el título 1 del Libro 34 de la Parte 2 del
del presente Decreto.
DECRETO DE Página 4 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
Artículo 2.35.9.1.3. Deber de información y alcance del ofrecimiento. De acuerdo
con lo establecido en el artículo 53 de la ley 1480de 2011, las entidades vigiladas
por la Superintendencia Financiera de Colombia que ofrezcan en sus canales
virtuales o presenciales productos y servicios de terceros, deberán exigir a todos los
oferentes información que permita su identificación, para lo cual deberán contar con
un registro en el que conste, como mínimo, el nombre o razón social, documento de
identificación e información de contacto. Esta información podrá ser consultada por
el consumidor financiero que haya adquirido un producto o servicio con el fin de
presentar una queja o reclamo y deberá ser suministrada a la autoridad competente
cuando esta lo solicite.
Las entidades vigiladas por la Superintendencia Financiera de Colombia no podrán
ser productores o proveedores de bienes o servicios distintos a los autorizados en
su régimen legal. En consecuencia, tomarán las medidas necesarias para que en el
ofrecimiento de productos o servicios de terceros, en sus plataformas electrónicas,
no se les considere productores o proveedores de estos bienes o servicios.
Las entidades vigiladas por la Superintendencia Financiera de Colombia que
ofrezcan en sus canales virtuales o presenciales productos y servicios de terceros,
supletoriamente las normas establecidas en la ley 1480 de 2011.
CAPÍTULO 2
OFRECIMIENTO DE SERVICIOS DE LAS ENTIDADES SUJETAS A LA
INSPECCIÓN Y VIGILANCIA DE LA SUPERINTENDENCIA FINANCIERA DE
COLOMBIA EN PLATAFORMAS ELECTRÓNICAS DE TERCEROS
Artículo 2.35.9.2.1. Regulación de canales aplicable. En caso de que el producto
o servicio de la entidad vigilada sea ofrecido y prestado en la plataforma electrónica
de un tercero no vigilado por la Superintendencia Financiera de Colombia, este
tercero será un corresponsal digital de la entidad vigilada y por lo tanto le será
aplicable la regulación de ese canal.
En caso de que el producto o servicio de la entidad vigilada sea ofrecido en una
plataforma electrónica de un tercero y el usuario sea redireccionado a la plataforma
electrónica de la entidad vigilada para allí finalmente adquirir o hacer uso de los
productos o servicios, será aplicable el régimen de banca móvil o internet, o los que
lo modifiquen, según corresponda.
CAPÍTULO 3
COMERCIALIZACIÓN DE TECNOLOGÍA E INFRAESTRUCTURA A TERCEROS
Artículo 2.35.9.3.1. Autorización de operaciones. En virtud de lo establecido en el
literal a) del numeral 1. del artículo 48 del Decreto 663 de 1993, las entidades
DECRETO DE Página 5 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
vigiladas por la Superintendencia Financiera de Colombia podrán comercializar a
terceros la tecnología e infraestructura que utilice la entidad vigilada para la
prestación de sus servicios.
Artículo 2.35.9.3.2. Superintendencia Financiera de Colombia. La
Superintendencia Financiera de Colombia tendrá las funciones y facultades
consagradas en la Constitución y la ley respecto a las actividades y operaciones
provistas en el presente Ttulo.”
Artículo 3. Adiciónese un artículo al Título 9 del Libro 36 de la Parte 2 del Decreto
2555 de 2010, el cual quedará así:
“Artículo 2.36.9.1.20. Corresponsales digitales. Será corresponsal digital aquel
tercero en cuyas plataformas electrónicas, las entidades mencionadas en el artículo
2.36.9.1.1 y las SEDPES, ofrezcan y presten sus servicios. Al corresponsal digital le
serán aplicables las normas del presente Título que sean compatibles con su
naturaleza digital y además deberá:
1. Indicar en su plataforma electrónica, de manera clara para el usuario, la
entidad financiera que presta los servicios financieros y su plena
responsabilidad por los servicios prestados.
2. Exponer de forma visible la marca o signo distintivo de la entidad financiera
que presta los servicios, desde la iniciación de la prestación del servicio
financiero hasta su finalización. Lo anterior, sin perjuicio de que la marca o
signo distintivo del corresponsal digital también sea expuesto.
3. El corresponsal digital deberá incluir en su plataforma electrónica un enlace a
la información o la información de contacto de la entidad financiera, de forma
que los usuarios pueda presentar consultas, peticiones, solicitudes, quejas o
reclamos ante la entidad vigilada, el defensor del Consumidor Financiero, la
Superintendencia Financiera de Colombia y los organismos de
autorregulación.
4. En caso de recibir consultas, peticiones, solicitudes, quejas o reclamos de los
usuarios, relacionadas con los servicios prestados por la entidad vigilada, el
corresponsal digital deberá dirigirlas a la entidad vigilada en un plazo no mayor
a tres (3) días hábiles, para su correspondiente atención y respuesta al
usuario.
5. El corresponsal digital dispondrá de las medidas de seguridad necesarias
para garantizar el debido tratamiento de los datos personales del usuario, de
acuerdo con las normas relacionadas con protección de datos y habeas data.”
Artículo 4. Modifíquese el Parágrafo 1º del artículo 2.34.1.1.1 del Decreto 2555 de
2010, el cual quedará así:
“Parágrafo 1º. Para los efectos del presente decreto, se entiende como Red el
conjunto de medios o elementos a través de los cuales sus prestadores suministran
los servicios del usuario de la red al público. Forman parte de esta, entre otros, las
oficinas, los empleados, los sistemas de información y los canales presenciales o
digitales.”
DECRETO DE Página 6 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
2555 de 2010, los cuales quedarán así:
“26. Iniciación de pagos: Actividad consistente en el envío de una orden de pago
o transferencia electrónica por parte de un tercero distinto al usuario, al beneficiario,
a la entidad emisora y a la entidad receptora; a la entidad emisora, a través de la
infraestructura del sistema de pagos de bajo valor.
27. Iniciador de pagos: Quien desarrolla la actividad de iniciación de pagos.”
Artículo 6. Modifíquese el numeral 7. del artículo 2.17.2.1.5 del Decreto 2555 de
2010, el cual quedará así:
“7. Exigir a sus participantes contar con reglas y elevados estándares
operativos, técnicos y de seguridad que permitan el desarrollo de sus
operaciones y su participación dentro del sistema de pago de bajo valor en
condiciones de seguridad, transparencia y eficiencia, y el mantenimiento de
sistemas adecuados de administración de los riesgos inherentes a su
actividad y aquellos asociados con su participación dentro del sistema de pago
de bajo valor, entre otros, el riesgo de contraparte, operativo, de crédito y
liquidez.
Las entidades administradoras de sistemas de pago de bajo valor podrán
determinar estas reglas y estándares en su reglamento. En este caso, todos
los participantes deberán cumplir con las reglas y estándares allí indicados.”
Artículo 7. Adiciónese el Título 4 al Libro 17 de la Parte 2 del Decreto 2555 de 2010,
el cual quedará así:
“TÍTULO 4
INICIACIÓN DE PAGOS
Artículo 2.17.4.1.1. De la iniciación de pagos. La actividad de iniciación de pagos
podrá ser desarrollada por los establecimientos de crédito, las sociedades
especializadas en depósitos y pagos electronicos –SEDPES– y por sociedades no
vigiladas por la Superintendencia Financiera de Colombia.
En todo caso, la iniciación de pagos requerirá de la autorización previa por parte del
usuario.
El iniciador de pagos, en ningún caso, podrá administrar o entrar en tenencia de los
fondos del usuario.
Artículo 2.17.4.1.2. Calidad de participante. El iniciador de pagos será participante
de las entidades administradoras de sistemas de pago de bajo valor. En
consecuencia, le será aplicable la normatividad de los participantes del sistema de
pagos, incluyendo lo dispuesto a favor de su libre acceso y promoción a la
competencia de los artículos 2.17.1.1.4., 2.17.2.1.5, 2.17.2.1.7. y 2.1.7.2.1.13 del
DECRETO DE Página 7 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
presente Decreto y las reglas y estándares opererativos, técnicos y de seguridad que
establezca la entidad administradora del sistema de pagos de bajo valor, que
permitan el desarrollo de sus operaciones en condiciones de seguridad,
transparencia y eficiencia, en los términos del artículo 2.17.2.1.5. del presente
Decreto.
Artículo 2.17.4.1.3 Reglas de operación. Dentro de las reglas que defina el
administrador del sistema de pago de bajo valor en su reglamento para los
iniciadores de pago, deberán incluirse, como mínimo, lo siguiente:
1. Los iniciadores de pagos no podrán iniciar órdenes de pago sin haber sido
autorizados previamente por el usuario.
2. Cada orden de pago iniciada deberá ser autorizada por el usuario.
3. Las entidades emisoras deberán, en todos los casos, autenticar a sus
usuarios antes de que las órdenes de pago sean tramitadas dentro del sistema
de pagos. Esta autenticación deberá realizarse de acuerdo con las reglas de
autenticación que dicte la Superintendencia Financiera de Colombia.
4. Los iniciadores de pagos no podrán solicitar a los usuarios más información
de la estrictamente necesaria para iniciar la orden de pago o transferencia
electrónica. En ningún caso podrán tener acceso a las claves, contraseñas o
mecanismos de auteticación del usuario con su entidad emisora.
La Superintendencia Financiera de Colombia podrá impartir instrucciones a sus
entidades vigiladas, con el fin de que las actividades desarrolladas por los iniciadores
de pago se ejecuten en condiciones de seguridad, transparencia y eficiencia.
Artículo 2.17.4.1.4. Conflicto de interés. En caso de que una entidad
administradora de sistemas de pago de bajo valor, o alguna de sus filiales,
subsidiarias, controlantes o accionistas, desarrolle la actividad de iniciación de
pagos, esta deberá incluir en su reglamento un capítulo específico de políticas y
procedimientos para identificar, prevenir, administrar y revelar conflictos de interés
que se puedan derivar de la relación aquí prevista.
Las políticas y procedimientos a que se refiere el presente artículo deberán incluir,
como mínimo, lo siguiente:
1. Identificación de las situaciones de conflicto de interés en que pueda estar
incursa la entidad, sus accionistas, miembros de Junta Directiva y empleados
y la forma de administrarlos.
2. Reglas para que la realización simultánea de actividades en el sistema de
pago de bajo valor no dé lugar a situaciones de conflicto de interés que afecten
la actividad de compensación y liquidación o la iniciación de pagos.
3. Reglas relativas a los flujos de información para que no se afecte el
cumplimiento de la actividad de compensación y liquidación o la iniciación de
pagos.
4. Mecanismos que permitan informar de manera oportuna a los participantes y
demás actores del sistema de pago de bajo valor sobre los conflictos de
interés y la forma en que son administrados por la entidad.
DECRETO DE Página 8 de 8
Continuación del Decreto “Por medio del cual se modifica el Decreto 2555 de 2010 en lo
relacionado con la regulación de las finanzas abiertas en Colombia y se dictan otras
disposiciones”.
5. Contar con los mecanismos para que las áreas, funciones y sistemas de toma
de decisiones susceptibles de entrar en conflicto de interés, estén separadas
decisoria, física y operativamente.
La Superintendencia Financiera de Colombia podrá ampliar el contenido de las
políticas y procedimientos requeridos por el presente artículo y fijar los criterios
técnicos para su elaboración.
Parágrafo: Lo dispuesto en este artículo también aplicará a los proveedores de
servicios de pago que envíen la orden de pago o transferencia electrónica a la
entidad emisora a través de conexiones o tecnologías dispuestas bilateralmente
entre las partes, cuya propiedad sea de una entidad administradora de sistemas de
pago de bajo valor, o alguna de sus filiales, subsidiarias, controlantes o accionistas.”
Artículo 8. Régimen de Transición. Teniendo en cuenta los ajustes que deberán
realizar las entidades vigiladas para cumplir con lo dispuesto en los artículos 5, 6 y 7
del Decreto, estos entrarán en vigencia un año después de su publicación.
Artículo 9. Vigencia y derogatorias. El presente decreto rige a partir de su
publicación, sin perjuicio del régimen de transición previsto en el artículo 8, adiciona
el Título 8 al Libro 35 de la Parte 2, el Título 9 al Libro 35 de la Parte 2, al Título 9 del
Libro 36 de la Parte 2, dos numerales al Título 1 del Libro 17 de la Parte 2 y el Título
4 del Libro 17 de la Parte 2 del Decreto 2555 de 2010, modifica el parágrafo 1º del
artículo 2.34.1.1.1. y el artículo 2.17.2.1.5. del Decreto 2555 de 2010 y deroga los
PUBLÍQUESE Y CÚMPLASE
Dado en Bogotá D.C., a los
EL MINISTRO DE HACIENDA Y CRÉDITO PÚBLICO
JOSÉ MANUEL RESTREPO ABONDANO
1
DOCUMENTO TÉCNICO
Modelo de finanzas abiertas en Colombia
Ana Maria Prietoa, Jose David Torresb, Daniel Méndezb y Estela Martinezb
a Subdirectora de Desarrollo de Mercados
b Asesores Subdirección de Desarrollo de Mercados
Unidad de Regulación Financiera
Bogotá D.C., Colombia, octubre de 2021
Resumen
El sistema financiero atraviesa un proceso de transformación profundo y se enfrenta a una
dinámica competitiva distinta, con mayor diversidad de actores y un consumidor financier o
con elevadas expectativas de personalización y valor agregado en su interacción con el
sistema. En r espuesta, las entidades vienen ajustando sus modelos para distribuir sus
productos en ambientes digitales, complementar su oferta con productos de terceros y
ampliar su portafolio comercializando servicios de tecnología e infraestructura.
La circulación de los datos del consumidor entre las entidades financieras y los terceros
aliados es un habilitador para todas estas dinámicas. Diversos países desarrollados y
emergentes han adelantado iniciativas legales y r egulatorias para promover una m ayor
apertura del sistema y usabilidad de la data en beneficio del consumidor financiero.
Amparados en el marco normativo vigente y en los avances del mercado, se propone una
intervención regulatoria basada en principios y reglas generales que promuevan las
finanzas abiertas en Colombia y promueva una mayor competencia, inclusión y eficiencia
en la prestación de servicios financieros.
La propuesta busca: i) precisar las reglas aplicables al intercambio de datos del consumidor;
ii) enmarcar la administración de plataformas digitales y la prestación de servicios por parte
de las entidades, iii) reglamentar la iniciación de pagos y, iv) fortalecer los estándares de
protección al consumidor en la era digital.
Enviar sus c omentarios a los correos electrónicos jose.torres@urf.gov.co,
Daniel.mendez@urf.gov.co y emartine@urf.gov.co antes del 24 de noviembre de 2021.
Documento t é cn ico
2
CONTENIDO
1. Introducción
2. Intercambio de información del consumidor financiero
2.1 Concepto y evolución del intercambio de datos
2.2 Actividad de iniciación de pagos
2.3 Modelos regulatorios
3. Consideraciones frente a la digitalización en la prestación de servicios financieros
3.1 Nuevo contexto competitivo
3.2 Protección al consumidor financiero en la era digital
4. Caso Colombia
4.1 Avances en la transformación financiera
4.2 Análisis frente al marco legal y regulatorio aplicable
5. Propuesta regulatoria
6. Consideraciones frente a la portabilidad
7. Bibliografía
3
1. INTRODUCCIÓN
Impulsado por la digitalización de la sociedad y el creciente uso de tecnologías emergentes, el sistema
financiero atraviesa un proceso de transformación profundo y se enfrenta a una dinámica c ompetitiva distinta,
con mayor diversidad de actores y un consumidor financiero con elevadas expectativas de personalización y
valor agregado en su interacción con el sistema. En respuesta a estas demandas, las entidades financieras
vienen ajustando sus m odelos para distribuir productos y servicios en ecosistemas propios o de terceros, y
ampliar el portafolio con servicios de tecnología e infraestructura que les permite agregar valor y fortalecer su
competitividad de cara a competidores tradicionales y nuevos como las FinTechs y las BigTechs.
El intercambio de información del consumidor, y en general la tendencia de open finance, es un habilitador de
estas dinámicas. Si bien la principal característica de dicha práctica se refiere a la posibilidad de que el
consumidor autorice a su entidad financiera para el tratamiento de sus datos frente a terceros, el mayor acceso
a la información nutre los modelos colaborativos, permite a las entidades financieras profundizar el perfilamiento
de sus usuarios y ofrecer mejores servicios.
En los últimos años diversos países han adoptado diferentes aproximaciones legales y normativas para
acompañar la adopción de las finanzas abiertas de forma ordenada. Allí las autoridades han venido definiendo
obligaciones y estándares bajo los cuales la información financiera es tratada por el mercado y más
recientemente se ha empezado a profundizar las discusiones sobre c ómo promover una mayor usabilidad y
aprovechamiento de dicha data, al tiempo que se revisa la necesidad de definir reglas particulares frente a los
esquemas colaborativos con el fin de brindar un marco de operación acorde con el nuevo contexto competitivo.
Dado lo anterior el documento de política pública 2020-2025 del M inisterio de Hacienda y Crédito Público Para
un mayor desarrollo del sis tema financiero, propuso avanzar en la implementación de la arquitectura financier a
abierta a través de un modelo voluntario. En desarrollo de esto, la Unidad de Regulación Financiera (URF)
publicó en diciembre de 2020 un estudio que resumía los conceptos generales del open banking, describía
algunos referentes regulatorios internacionales e incorporaba unas reflexiones iniciales s obre su
implementación en Colombia. A partir de dicho insumo, y c on el acompañamiento de la S uperintendencia
Financiera de Colombia (SFC) y el apoyo técnico del Banco Mundial
1
, la Unidad adelantó un esquema de trabajo
participativo con el fin de conocer los avances y desafíos en la profundización de dicho estándar en el país
2
.
A partir de los insumos técnicos obtenidos este recorrido, la URF propone en el presente documento una
intervención regulatoria –en el frente de Open Finance– basada en principios y reglas generales para enmarcar
y promover las finanzas abiertas. En concreto, la propuesta busca: i) precisar las reglas aplicables al intercambio
de datos del consumidor financiero; ii) enmarcar la administración de plataformas digitales y la prestación de
servicios a través de éstas por parte de las entidades; iii) reglamentar la actividad de iniciación de pagos en el
sistema de pagos y iv) fortalecer los estándares de protección al consumidor en la era digital.
En paralelo al trámite de expedición del esquema de Open Fi nance, se buscará avanzar conjuntamente con
otras autoridades en un s egundo frente denominado Open Data con el fin de promover el intercambio de
información de otros sectores de m anera que se fortalezca el ecosistema y se potencien sus beneficios.
Se espera que con la modificación normativa aquí descrita se siga fortaleciendo la competencia, inclusión y
eficiencia en la prestación de servicios financieros de tal forma que el consumidor financiero encuentre cada
vez más y mejores productos y servicios financieros acordes con sus necesidades.
1
En virtud de la asistencia técnica la URF recibió insumos técnicos po r parte del equipo del IFC y de la firma Garrigues.
La asistencia fue provista con recursos de la Cooperación Suiza (SECO).
2
El esquema se desarrolló entre Enero y Septiembre de 2021 e incluyó varias rondas de comentarios, foros de discusión
y mesas de trabajo tanto con actores locales, internacionales, entidades multilaterales y autoridades. Ver Anexo 1.
4
2. INTERCAMBI O DE INFORM ACIÓN DEL CONSUMIDOR FINANCIERO
2.1 Concepto y evolución del intercambio de datos
El open banking u open finance se refiere a la práctica en la cual los establecimientos bancarios u otro tipo de
entidades financieras, respectivamente, abren sus sistemas para que la información de los consumidores pueda
ser compartida con otras entidades financiera o con terceros, con la autorización del cliente y con el objetivo de
que dichas entidades provean servicios a dichos clientes.
El acceso a la información se realiza a través de interfaces denominados Application Programming Interfaces
(APIs), cuyos estándares permiten una comunicación simplificada entre las partes, y los terceros que acceden
a la información se les denomina TPP (Third Party P roviders), muchos de los cuales son sociedades no
financieras especializadas en el desarrollo de servicios tecnológicos (BIS, 2019).
Así, mientras que en el modelo clásico financiero la entidad financiera es la única que conoce, procesa y
almacena los datos del cliente, bajo la arquitectura abierta, el consumidor gana c ontrol y autonomía sobre sus
datos y tiene a su disposición nuevas formas para compartir su información con otras entidades financieras y
terceros. M ás aún, en el modelo clásico los únicos canales habilitados para consultar y disponer de la
información y de los recursos del c onsumidor son aquellos operados por la entidad financiera. Con el nuevo
estándar se amplía a otros canales provistos por terceros (gráfica 1).
Gráfica 1. Esquema de Open banking u Open Finance
Fuente: Tes obe (2019)
Generalmente los TPP ofrecen servicios de iniciación de pagos
3
y de agregación de cuentas sobre los cuales
se proveen servicios auxiliares
4
. Con el tiempo, esta práctica se ha complementado con el desarrollo de portales
abiertos mediante los cuales las entidades exponen APIs a terceros con información pública, como la ubicación
de oficinas o cajeros, o privada, como la referente a la identidad de sus consumidores. Estas dinámicas se han
acentuado en un contexto en el cual cada vez más las entidades utilizan los A PIs como herramienta interna
para facilitar la interacción entre sus áreas o con filiales de su grupo con el fin de reducir costos y aumentar su
eficiencia operativa.
3
El TPP inicia una orden de pago con cargo a un medio de p ago que reposa en un establecimiento bancario, previa
autorización d el titular. A este tipo de servicios también se les denomina servicios de lectura y escritura (R ead-write
services)
4
En este caso se usa la información para originar otros servicios de naturaleza financiera, como el otorgamiento de un
crédito, o no financieros, como el servicio de consolidación y análisis de la información del consumidor A estos servicios
también se les denomina servicios de lectura (Read-only services).
5
Esta arquitectura se ha ido generalizando de manera transversal a los diferentes tipos de entidades financieras,
no solo los bancos en una práctica denominada Open Finance y la c ual resulta incluye información de otros
productos financieros como las inversiones y los seguros
5
. Incluso, en la medida en que la economía avanza
en su digitalización, este c oncepto se amplía a otras entidades públicas y s ectores c omo el de
telecomunicaciones o servicios públicos bajo una práctica conocida como Open Data u Open Society
6
.
La adopción de nuevos hábitos digitales y un m arcado m ovimiento hacia los canales en línea durante la
pandemia parecen haber acelerado la adopción de la arquitectura abierta en diferentes regiones. Los
consumidores y las empresas ahora pasan más tiempo en internet (sea ofreciendo productos y servicios, o
consumiéndolos) y demandan m ayores niveles de conveniencia, elección y flexibilidad en sus relaciones
financieras (M ckinsey Company, 2021 (a)). En Inglaterra, en los primeros 6 meses de 2020, el número de
usuarios de open banking se duplicó, pasando de 1 millón a dos millones, y para agosto de 2021 el ecosistema
ya cuenta con cerca de 4 millones de usuarios usando soluciones apificadas
7
.
Según la literatura internacional, la práctica de open banking u open finance aporta múltiples beneficios para
las partes y sirve de instrumento para impulsar la competencia, innovación y eficiencia en la prestación de los
servicios financieros. En particular permite a las entidades financieras profundizar su interacción con terceros
para profundizar el perfilamiento de sus clientes, alcanzar nuevos segmentos, mejorar su experiencia y
ofrecerles servicios más ajustados a sus necesidades. Al mismo tiempo, permite a los terceros trabajar en
alianza c on las entidades financieras para integrar los servicios financieros en sus plataformas y portafolio de
servicios, de tal forma que se agrega valor al usuario y se fortalece su relacionamiento (BIS, 2020).
En el agregado, se aprovechan en mayor escala las ventajas comparativas de cada sector, se eleva la eficiencia
operativa y se acelera la inclusión de segmentos desatendidos y el uso de aquellos usuarios que ya cuentan
con productos financieros pero que no los utilizan activamente. El impacto económico del open finance en la
próxima década se estima en 1.5% del P IB en la Unión Europea y Estados Unidos y hasta de 4% en países
emergentes como India (Mckinsey Company, 2021 (b)).
Sin perjuicio de los beneficios mencionados, estas dinámicas generan riesgos frente a la potencial pérdida o
mal uso de la información. En la experiencia internacional las regulaciones adoptadas se enfocan en reforzar
las obligaciones y estándares frente a la seguridad de la información de los usuarios. Las diferentes
aproximaciones normativas se describen más adelante en este documento.
2.2 Actividad de iniciación de pagos
El servicio de iniciación de pagos (Payment Initiation Service o PIS) se entiende como aquel mediante el cual
el usuario inicia una transferencia de recursos de su cuenta por medio de un tercero, diferente de s u entidad
financiera. Esta actividad fue definida por primera vez en la regulación europea de pagos PSD2 y desde
entonces se ha venido replicando en diversas jurisdicciones como una práctica central dentro de la arquitectura
financiera abierta.
La iniciación de pagos como actividad se predica exclusivamente del mundo de las transferencias electrónicas,
no de las tarjetas, y su beneficio o utilidad es que hace posible las transferencias electrónicas en ambientes
digitales sin tener que dirigirse a la app de la entidad financiera. Esta tecnología permitió que las transferencias
5
Open Banking: advising customer-centricity – Analy sis and overv iew. Open Banking Working Group – Euro Banking
Association. 2017.
6
Open Data. Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia – MinTIC.
7
The OBIE Highlights – August 2021. Open Banking Implementation Entity.
6
electrónicas c ompitieran en el mercado de las transferencias P2B
8
y ha evolucionado para permitir una mejor
experiencia al consumidor.
El iniciador de pagos es un tercero distinto a la entidad emisora, la cual, previa autorización del usuario, envía
a la entidad emisora la orden de transferencia de la cuenta del usuario a otra cuenta. Una vez la entidad emisora
recibe esta orden de pago y verifica su autenticidad ejecuta la ordenen el sistema de pago de bajo valor tras lo
cual los fondos son recibidos por la entidad receptora.
En consecuencia, el iniciador de pagos no administra los recursos del usuario ni entra en contacto con ellos.
Su función s e circunscribe a permitir que, a través de él, el usuario le de la orden a su entidad financiera para
realizar la transferencia electrónica. Esta función no es algo m enor, toda vez que este tercero iniciador será
quien ahora haga el front al usuario.
Existen dos modalidades generales bajo las cuales se presta este servicio. La primera es el m odelo bilateral,
en el cual el Payment Initiation Service Provider (PISP) es contratado por una entidad vigilada para que el
primero le preste sus servicios de iniciación de pagos. Bajo este m odelo el iniciador de pagos es un proveedor
de servicios de pago de la entidad emisora del medio de pago y por tanto los términos y condiciones de conexión
y funcionamiento se definen entre las partes. Este modelo permite que sea la entidad v igilada quien elija a sus
iniciadores, pero dificulta la interoperabilidad del modelo, toda vez que para lograr la realización de
transferencias entre todos los participantes de la ACH el iniciador deberá tener relaciones bilaterales con todos
ellos.
La segunda se refiere al modelo interoperable, en el cual el PISP se conecta a la ACH para que a través de la
infraestructura y conexiones de la ACH con todos los participantes del sistema, el iniciador de pagos envíe las
ordenes de pago a la entidad emisora correspondiente ( Gráfica 2). Este modelo garantiza la interoperabilidad
y escalabilidad de la iniciación de pagos al permitir su conexión a través de la ACH a todos los demás
participantes del sistema. En efecto, se generan economías de escala y de alcance derivadas de la existencia
de una única instancia central, la cual define los estándares operativos y de gobernanza y que garantiza
interoperabilidad con la totalidad del s istema sin tener que incurrir en conexiones bilaterales adicionales (BIS,
2020). La evidencia sugiere que bajo dicho enfoque el servicio de iniciación de pagos contribuye en el desarrollo
del sistema de pagos y la reducción del efectivo
9
.
Sin embargo, deben establecerse reglas con el fin de garantizar la idoneidad y el cumplimiento de estándares
de servicio, toda vez que las entidades financieras participantes del sistema de pagos ya no erigirán al iniciador
de su conveniencia, sino que deberán ejecutar las órdenes recibidas por los iniciadores que hagan parte del
sistema.
En la experiencia internacional se observan reglas que mitigan los riesgos específicos de la actividad de
iniciación de pagos, así:
- Riesgos de seguridad y privacidad de la información: Principalmente en el tratamiento de datos
del usuario por parte de PISP, quien puede tener acceso a datos tales como las cuentas bancarias del
usuario y sus claves. Para mitigar este riesgo se establecen normas que obligan al iniciador a contar
con medidas que garanticen que la información del usuario no sea accesible a terceros no autorizados
ni se les permite a los iniciadores solicitar m ás información que la necesaria para la iniciación de pagos.
8
Esto implica que no ex istan iniciadores en otro tipo de transferencias pero este es el caso más usado y donde tiene
mayores ventajas.
9
En la India la introducción de PISPs está correlacionada con un crecimiento exponencial en la masificación de los pagos
entre 201 6 y 2020. Ver : National Payments Corporation of India, U PI Product Statistics, disponible e n:
https://www.npci.org.in.
7
- Riesgo de suplantación y fraude: Al ser iniciada la transferencia por un tercero distinto a la entidad
financiera aumenta el riesgo que se presenten s uplantaciones o fraudes. Se obliga al PISP a contar
con la autorización del usuario para cada una de las órdenes de pago que se vayan a iniciar. Así mismo
se requieren reglas de autenticación r eforzada.
- Riesgo reputacional: En caso de falla del servicio del PISP el usuario puede relacionar la falla c on la
entidad emisora o con el comercio. En este caso se ordena al PISP informar al usuario sobre el alcance
de prestación de sus servicios, términos de la prestación del servicio y datos de contacto.
- Riesgo operacional: En caso de falla del servicio del PISP la entidad emisora no puede iniciar pagos
a través de este canal. Por el lado del comercio, la falla en el servicio puede hacerle perder ventas. Se
deben establecer reglas claras de responsabilidad en caso de órdenes defectuosas bien sean
responsabilidad del PISP o de la entidad emisora. Se establece la obligación al PISP de contar c on
mecanismos de control para gestionar riesgos operativos y de seguridad y en algunos casos (EU) se
establece una presunción de culpa en cabeza del iniciador de pago por toda orden de pago ejecutada
indebidamente.
- Protección al consumidor: Al ser el PISP quien atiende al cliente éste debe ser transparente
respecto a los servicios que presta, las condiciones, tarifas, etc.
Gráfica 2. Modelos del servicio de iniciación de pagos
Modelo bilateral
Modelo interoperable
Fuente: GooglePay 2021.
2.3 Modelos regulatorios
Algunos países como los de la Unión E uropea, Reino Unido y Brasil han implementado el modelo de open
banking de forma obligatoria, exigiendo que las entidades habiliten el acceso a los datos del consumidor
financiero por parte de terceros. Allí las autoridades han definido el modelo de forma explícita y detallada,
determinando los r oles y obligaciones de las entidades y de los terceros, fijando estándares tecnológicos y
operativos particulares para indicar la forma en que dicha interacción se debe dar. Usualmente estos m odelos
requieren la puesta en marcha de infraestructuras c entralizadas y comprenden fases de implementación
altamente reguladas y supervisadas por las autoridades.
8
En contraste, en otros países como Singapur, Nueva Zelanda y Hong Kong
10
, la adopción ha sido voluntaria,
basada en las habilitaciones generales previstas en los regímenes de protección de datos, y las autoridades
financieras han aportado algunas reglas y principios orientadores que buscan promover la adopción bajo altos
estándares de seguridad de la información. Finalmente, existen países c omo Estados Unidos en donde la
implementación del modelo ha sido impulsada desde la industria, bajo los estándares y mecanismos previstos
por las m ismas entidades vigiladas.
Dadas las diferencias conceptuales, los modelos comparten algunos componentes y estándares. P or ejemplo,
puede existir un modelo voluntario en donde se regule un estándar único de API para las entidades financieras
participantes (Ej.: Nueva Zelanda), así como pueden existir modelos obligatorios donde no se regule un
estándar único (Ej.: Unión Europea) (Ver Anexo 2).
A la par de la digitalización financiera se observa una mayor adopción de esquemas de finanzas abiertas, tanto
en países desarrollados como emergentes. Cada vez surge mayor interés de parte de las autoridades en torno
a los beneficios que aportan estos esquemas en materia de mayor profundización financiera y por tanto crece
la tendencia hacia su reglamentación (Gr áfica 3).
Gráfica 3. Panorama de la regulación de las finanzas abiertas
Fuente: BBVA (2020)
A modo de referencia, a continuación se hace un recuento general de la regulación adoptada en algunas
jurisdicciones:
Reino Unido: El primer esquema reglado y obligatorio de arquitectura abierta en el mundo se
encuentre en el Reino Unido, dónde la autoridad de competencia (CMA por sus iniciales en inglés)
ordenó a los bancos más grandes a compartir la información de sus usuarios con terceros para
promover la competencia. Actualmente, la iniciativa es liderada por la Open Banking Implementation
Entity (OBIE), quien fijó tres objetivos centrales a tener en cuenta durante el despliegue de open
banking: c ompetencia, innovación y transparencia.
La OBIE cuenta c on 3 roles que pueden ser recogidos de la siguiente manera: (a) actividades de
supervisión del ecosistema, (b) generación de estándares y promoción de la adopción de los mismos,
(c) proveer servicios e infraestructura para el funcionamiento del open banking.
Si bien la disposición cobija a las principales entidades bancarias, el estándar se ha ido escalando a
otros participantes. Actualmente existen más de 300 fintech que han solicitado hacer parte del
10
Hong Kong Monetary Authority. Open API Fr amework for the Hong Kong Banking Sector. 2018. Available at:
https://www.hkma.gov.hk/media/eng/doc/key-information/press-release/2018/20180718e5a2.pdf
9
esquema y 100 establecimientos bancarios que ya han adoptado los estándares de APIs definidos.
Aunque el modelo aún no tiene un uso masivo, se registra un crecimiento mensual de 30% en el
número de consumidores que deciden participar.
Singapur: La A utoridad Monetaria de Singapur (MAS por sus iniciales en inglés) ha jugado un rol
fundamental en la promoción de open banking en dicho país bajo una aproximación voluntaria que
incluye tanto a entidades vigiladas como a entidades no vigiladas.
Una de las medidas de MAS fue la construcción de la guía “Financial World: Finance-As-A Service API
Playbook”
11
en colaboración con la industria. En dicha guía se incluyeron numerosas propuestas en
materia de gobernanza, principios y requisitos mínimos de seguridad relevantes para el desarrollo
adecuado de la arquitectura abierta en el país
12
. Como complemento, M AS impulsó una medida no
regulatoria denominada APIX la cual sirve como plataforma colaborativa para facilitar la interacción
entre las entidades tradicionales y las fintech. En la plataforma se encuentran, entre otras
herramientas, un marketplace de APIs y un sandbox para experimentar el desarrollo y uso de AP Is
13
.
México: Con la expedición de la Ley Fintech de M éxico
14
el país avanzó, entre otros temas, en la
implementación de un m odelo obligatorio de banca abierta. E n desarrollo de esta disposición las
autoridades dividieron la estrategia en tres frentes de trabajo: (a) datos financieros abiertos o públicos
(ubicación de cajeros, sucursales, productos y servicios financieros ofrecidos), (b) datos agregados
(información estadística que tienen las entidades vigiladas y que por su naturaleza y procesamiento
no puede ser desagregada), y (c) datos transaccionales (aquellos relacionados con el uso de servicios
financieros por parte de los consumidores financieros)
15
.
La Comisión Nacional B ancaria y de Valores (CNBV) y el Banco Central son las autoridades
encargadas de definir los estándares necesarios para garantizar la interoperabilidad entre los
diferentes actores, así como de fijar las reglas necesarias para permitir las contraprestaciones
económicas que pueden cobrar las entidades al momento de transferir la información. En junio de 2021
inició la primera fase con la publicación de la regulación de parte del CNBV frente a la transferencia
de información considerada poco s ensible, como la ubicación de cajeros, sucursales, los productos
ofrecidos por las entidades, entre otros.
Brasil: E l Banco Central de Brasil (BCB) ha venido desarrollando una agenda de trabajo en favor de
la digitalización desde la emisión de reglas obligatorias para la portabilidad de datos en 2014. Sobre
esta base adoptó un modelo obligatorio de open banking, mediante el cual un grupo de entidades
vigiladas deben compartir la información de sus consumidores con el fin de impulsar la innovación,
promover la competencia, aumentar la eficiencia de las entidades vigiladas, y promover nuevas y
mejores relaciones con los consumidores financieros.
La estrategia fue dividida en cuatro fases que cuentan con un orden cronológico. E n las primeras dos
fases se trata en específico la apertura de información, mientras que en la tercera se trata la iniciación
de pagos y en la cuarta de incluyen otros productos financieros y se completa la apertura de toda la
información transaccional de los clientes. La primera fase entró en vigencia en febrero de 2021 y allí
11
Disponible en: https://abs.org.sg/docs/library/abs-api-playbook.pdf
12
Ver: Application Programming Interfaces https://www.mas.gov.sg/development/fintech/technologies---apis
13
Ver: https://apixplatform.com/about#who- we-are
14
Cámara de Diputados del Honorable Congr eso de la Unión – Estados Unidos Mexicanos. Ley para regular las
instituciones de tecnología financiera – DOF 09-03- 2018. Artículo 76 y concordantes. D isponible en:
https://static1.squarespace.com/static/58d2d686ff7c50366a50805d/t/5ac450630e2e72d53c20f091/1522815078233/LRIT
F_090318.pdf
15
En el caso mexicano, las autoridades decidieron dejar por fuera de la estrategia de Open Banking la iniciación de pagos.
10
se estableció la apertura de información pública relacionada con canales (corresponsales, oficinas,
aplicaciones, páginas web, etc.) y los productos financieros. En la segunda fase, que entró en vigencia
en agosto de 2021, se ordenó la apertura de la información relacionada con el proceso de onboarding
de los clientes y su información transaccional
16
.
Transversal a las cuatro fases planteadas, el BCB definió varios principios rectores de la estrategia,
estos son: transparencia, calidad, seguridad y privacidad de la información, trato no-discriminatorio,
reciprocidad e interoperabilidad. El papel del BCB ha sido el de orquestar e implementar la estrategia
mediante intervenciones regulatorias (definición de participantes, reglas de gobernanza, aprobación
de estándares propuestos por mesas de trabajo, etc.) y no regulatorias (cr eación de espacios en los
que la industria discuten y definen los estándares precisos para compartir información entre los
participantes).
3. CONSIDERACIONES FRENTE A LA DIGITALIZACIÓN EN LA PRESTACIÓN DE
SERVICIOS FINANCIEROS
3.1 Nuevo contexto competitivo
La digitalización de la sociedad y el c reciente uso de tecnologías emergentes ha promovido en el sistema
financiero un proceso de transformación profundo. Hoy existe una m ayor diversidad de actores; por un lado,
agentes financieros altamente especializados y digitales como los neobancos, por el otro el surgimiento de
grandes jugadores, c omo las bigtech, con modelos de operación en donde los servicios financieros son un
complemento embebido dentro de su oferta de s ervicios.
Actores provenientes de diversas industrias han entrado en la ola de ofrecer servicios financieros a sus clientes
como una estrategia de valor agregado. Hoy es común encontrar supermercados, aerolíneas, empresas de
telefónia y las llamadas super apps que han realizado alianzas con entidades financieras para ofrecer en un
mismo portal servicios de créditos, s eguros y depósitos, entre otros. E sta combinación de servicios facilita el
acceso y uso de los servicios financieros y eleva la experiencia del usuario (gráfica 4).
16
Banco Central do Brasil. 2021. Open Banking. Disponible en: https://www.bcb.gov.br/en/financialstability/open_banking
11
Gráfica 4. Nuevo contexto competitivo
Fintechs combinando servicios financieros
Empresas de otros sectores ofreciendo servicios financieros
Fuente: WhiteSight (2021) Finance-as-a-Lifestyle.
En respuesta a este nuevo contexto, las entidades financieras vienen ajustando sus modelos para distribuir
productos y servicios en plataformas electrónicas propias o de terceros, complementar su oferta con productos
de terceros y ampliar s u portafolio comercializando s ervicios de tecnología e infraestructura. E stas dinámicas
conocidas como las finanzas embebidas y banking as a service son cada vez más relevantes (gráfica 5).
El esquema de open finance es un habilitador de estas dinámicas, no solo porque a partir del intercambio de la
data es posible profundizar el perfilamiento de los usuarios y agregar valor a sus servicios sino porque además
permite plantear oportunidades de colaboración entre los participantes, muchas de las cuales operativamente
se materializan mediante el uso de APIs. En efecto, entre más amplia sea la circulación y estandarización del
intercambio de los datos, mayor resulta ser el valor de la arquitectura abierta. P asar de iniciativas bilaterales a
la construcción de estrategias integradas en el ecosistema, permite ampliar los casos de uso, ofrecer ventajas
tangibles al consumidor frente al uso de su información y por esa vía lograr m ayor escala e impacto (McKinsey
Global Institute (2021 (b)).
12
Gráfica 5. Estrategias que favorecen la digitalización de la prestación de servicios financieros
No obstante, los modelos de intermediación colaborativos con participación de agentes no financieros en la
cadena de valor demandan un monitoreo frente a posibles nuevas fuentes de riesgo (ECB, 2021) y empiezan
a generar discusiones regulatorias y de política relevantes (OECD, 2020). Si bien desde el perímetro financier o
son claras las obligaciones y deberes de las entidades frente al consumidor, la discusión gira en torno a sí
resulta conveniente generar una intervención regulatoria explícita frente a estas nuevas realidades o si, por el
contrario, se debe ir gestionando con base en la normatividad vigente m ediante autorizaciones caso a caso.
A su vez, se ha cuestionado la necesidad de expandir el perímetro regulatorio a toda la cadena o centrarse
específicamente en las actividades financieras, migrar hacia un enfoque normativo orientado en las actividades
y no en las entidades, y si es o no necesario definir estándares y quien debería hacerlo, si las autoridades o el
mercado (Gojón S., 2020).
3.2 Protección al consumidor financiero en la era digital
El COVID-19 afectó de manera significativa la forma en la que los consumidores interactúan con los diferentes
sectores de la economía. En encuestas realizadas en más de 45 países durante la pandemia se encontró que
los usuarios se han volcado hacia lo digital en prácticamente todas las categorías de consumo (M ckinsey &
Company, 2020 (b)). Se estima que, en 2020, del total de interacciones que tuvieron las empresas de los
diferentes sectores con el usuario, el 58% fueron digitales frente a un 20% en el 2017 (WhiteSight, 2021).
La digitalización ha puesto al cliente en el centro del negocio financiero, con unos s ervicios gestionados por el
mismo y en un mercado con oferta de servicios financieros nutrida que exigen a los prestadores de los servicios
financieros innovación constante y mejoras en la atención al usuario
17
. El nuevo usuario demanda cada vez
más una atención cercana con productos personalizados y el mayor valor agregado posible
18
.
Las nuevas demandas del c onsumidor exigen a su vez un fortalecimiento de la regulación y un cambio de
enfoque en los modelos de protección que típicamente se centran en la salvaguarda de los recursos del usuario
y la seguridad de su información. El nuevo contexto pone de relieve la necesidad de complementar este enfoque
con una regulación que propenda de manera más directa por la calidad y eficiencia de los servicios financieros
17
CGAP (2015) Cómo empoderar a los clientes: Decisión, uso y posibilidad de expresarse.
18
European Banking Authoriry (EBA). 2021. EBA consumer trends report 2020/2021.
Estrategias que permiten el ofrecimiento de
servicios provistos por entidades vigiladas
en amientes de terceros
Estrategias que permiten a las entidades
financieras completar su oferta con
servicios y productos de terceros
Estrategias que permiten a las entidades
financieras proveer servicios tecnológicos o
de infraestructura a terceros
13
(OCED, 2020), que el usuario pueda aprovechar de manera más tangible los beneficios de la oferta financiera
y se fortalezca la confianza del público en el sistema (BIS, 2021).
En esa línea, ha sido destacada la necesidad de garantizar que los usuarios conozcan las características de
los productos financieros digitales y tengan claridad de la entidad que se encuentra detrás de dicho ofrecimiento
y su marco de responsabilidad, sin perjuicio de los esquemas colaborativos por medio de los c uales se tiene
acceso a los mismos
19
. En igual sentido, se ha recalcado la importancia de que los consumidores posean el
conocimiento suficiente para entender el uso que se le está dando a su información y que la regulación
promueva incentivos para la competencia del sistema de manera que se promueva la atención de los diferentes
segmentos del mercado
20
.
4. CASO COLOMBI A
En Colombia, han existido avances en materia de creación de ecosistemas digitales y apertura de datos por
parte de entidades financieras, las c uales han realizado un esfuerzo por innovar en los productos y servicios
ofrecidos al público. Estos avances, como lo veremos más adelante, se han ejecutado en el marco de convenios
que las entidades financieras han desarrollado con aliados comerciales del sector real y han tenido como base
el marco normativo actual.
4.1 Avances en la transformación financiera
4.1.1 Apertura de datos
Tradicionalmente, el principal caso de uso de apertura de datos ha sido el tratamiento de la información crediticia
de los usuarios en el marco de la ley 1266 de 2008 o ley de habeas data. Esta ley permitió a las entidades
financieras, y a cualquier otra entidad de naturaleza pública o privada, tratar la información referida al
nacimiento, ejecución y extinción de las obligaciones dinerarias independiente de la naturaleza del contrato que
les dé origen
21
y ha tenido un alto impacto en lo que se refiere a la democratización y promoción de la actividad
de crédito.
Tras el uso masivo de la tecnología y la importancia que han adquirido los datos como activo para generar valor
social y económico
22
, las entidades financieras han desarrollado otros casos de uso, mediante alianzas
bilaterales o convenios plurilaterales, que han permitido utilizar la información de sus usuarios con el fin de
ampliar y adecuar su oferta de servicios a las necesidades particulares de estos.
A manera de ejemplo, mencionamos el caso de Bancolombia y Plink, donde la información transaccional de los
compradores de los comercios adquiridos por Bancolombia es recopilada, procesada y entregada a los dueños,
administradores o personal de mercadeo y servicio al cliente de estos c omercios, con el fin de que esta
información sea usada para aumentar las ventas de su empresa.
23
Dentro de los m odelos plurilaterales de apertura de datos, destacamos el caso de Soyyo, el cual ofrece a sus
usuarios identificarse y autenticarse digitalmente ante terceros a través de la información personal almacenada
en dicha aplicación. Estos terceros pueden ser de todo tipo, desde entidades financieras hasta entidades
19
FinDev Gateway (2021) Guide to Financial Consumer Protection in the Digital Era.
20
Jessica Chew Cheng Lian – Deputy Governor of the Central Bank of Malaysia. (2019) “Empowering financial consumers
in the digital age”. BNM-OECD Conference on "Financial Education and Financial Consumer Protection in Asia-Pacific".
Disponible en: https://www.bis.org/review/r191211b.htm
21
Ley 1266 de 2008 artículo 3 literal j).
22
Documento Conpes 3920
23
https://plink.grupobancolombia.com/plink
14
públicas, empresas del sector real y personas naturales. En este caso Soyyo funciona como un centralizador
de la información que puede ser usada por terceros para identificar y autenticar a sus usuarios.
4.1.2 Ecosistemas digitales
En desarrollo de la tendencia de digitalización de los servicios financieros, varias entidades hoy y a emplean
APIs de uso interno para integrar funcionalidades entre sus áreas operativas. Igualmente, varias han
desarrollado portales en los cuales empiezan a exponer diferentes tipos de APIs para el consumo de
información o servicios variados. A modo de ejemplo, Nequi cuenta con un portal donde se exponen tres
soluciones diferentes: integración de AP Is con un E-commerce para recibir pagos a través de QR dinámicos;
integración de APIs con apps o páginas web para recibir pagos con notificaciones push y APIs que permiten a
terceros realizar cobros automáticos desde cuentas Nequi.
En materia de ecosistemas digitales igualmente existen desarrollos variados que permiten el ofrecimiento de
productos de terceros en los ambientes web de las entidades financieras en los cuales las entidades financieras
buscan brindar a sus usuarios una experiencia integral, permitiéndoles no solo realizar las operaciones
tradicionales (transacciones, consulta de saldos, pagos, etc.), sino también adquirir productos y servicios
financieros o no financieros de terceros. Como ejemplo meramente ilustrativo, en el portal Compras
Davivienda
24
, la entidad ofrece una amplia gama de productos de comercios de diversos sectores tales como
restaurantes, tecnología, hogar, mascotas, etc., los cuales pueden ser adquiridos usando los productos
financieros de Davivienda.
También existen desarrollos que permiten que las entidades financieras ofrezcan sus productos y servicios en
plataformas de terceros, lo cual facilita e incentiva el consumo de sus productos y beneficia al tercero al
permitirle brindar una oferta más integral a sus consumidores. Para efectos meramente ilustrativos, está el caso
de la alianza entre Davivienda y Rappi donde desde el ambiente Rappi se puede iniciar la apertura del producto
de depósito electrónico administrado por Davivienda y realizar transacciones tales como transferencias
interbancarias, pagos QR, pagos de servicios públicos, entre otros. También está el caso de la Sedpe Powwi
que ofrece la apertura y usabilidad de depósitos de bajo monto desde su aplicación a diferentes entidades.
Así mismo, hay iniciativas donde las entidades financieras ofrecen a terceros su tecnología o productos para
que éstos los incorporen en su oferta. Por ejemplo, este es el caso de la Sedpe Dale!, la cual ofrece a terceros
la posibilidad de comercializar servicios financieros respaldados por s u licencia
25
, o el caso de la alianza entre
Banco Cooperativo Coopcental y TPaga, donde Tpaga ofrece el servicio de billetera móvil a sus clientes pero
los recursos se depositan y administran desde un depósito de bajo monto ofrecido por el Banco Cooperativo
Coopcentral
26
.
Vale la pena aclarar que no todos los ejemplos aquí mencionados utilizan necesariamente la tecnología API ni
implican el intercambio de información, pero sí son ilustrativos sobre los modelos de negocio que la tecnología
permite y que los consumidores han comenzado a demandar en Colombia.
4.1.3 Iniciación de pagos
En el frente del sistema de pagos el país viene avanzando en la construcción de un ecosistema moderno e
interoperable que facilite el desarrollo del mercado transaccional. En la senda hacia esos propósitos, en
diciembre de 2020 fue expedido el decreto1692 el cual plantea una reforma a la normatividad aplicable y en
24
https://ofertas.comprasdavivienda.com/
25
https://www.larepublica.co/especiales/la-revolucion-de-las-fintech/dale-la-plataforma-digital-de-aval-incursiona-como-
proveedor-de -banking-as-a-service-3177920
26
https://www.coopcentral.com.co/index.asp?id_pagina=307
15
particular abre la actividad de adquirencia para que tanto entidades vigiladas como sociedades comerciales
especializadas en este negocio aceleren la aceptación de los pagos electrónicos en el comercio.
En lo concerniente a la iniciación de pagos, el botón de pagos PS E, propiedad de ACH Colombia, ha permitido
a los comercios ofrecer a sus clientes la posibilidad de realizar pagos a través de internet por medio de
transferencias electrónicas. Según la compañía
27
, actualmente alrededor de 14.900 c omercios tienen habilitado
el botón de pago PSE en sus páginas web y, según el reporte de sistemas de pago del Banco de la República
28
,
en el año 2020 se realizaron alrededor de 950.000 operaciones a través de PSE por un valor aproximado a los
$950 mil millones (Gráfica 6).
Pese a este nivel de profundización, los niveles de acceso y uso de transferencias electrónicas en el país siguen
siendo bajas y pese a los esfuerzos de la industria por acelerar un ecosistema de pagos inmediatos aún no se
alcanza niveles acordes para impulsar el ritmo de la inclusión financiera, promover la formalización y , en
general, acelerar la digitalización de la economía.
Gráfica 6. V alor y número de operaciones a través de PSE (promedios diarios)
Fuente: Banco de la República.
4.2 Análisis frente al marco legal y regulatorio aplicable
Los avances de m ercado han sido desarrollados en el marco de r egulaciones generales que han permitido,
gracias a su flexibilidad y amplio alcance, la innovación y la prestación de nuevos servicios por parte de las
entidades financieras. En esta sección se hace una referencia general a las partes de estos regímenes que son
de especial interés para los temas tratados en este documento con el fin de determinar su suficiencia frente a
las nuevas realidades.
4.2.1 Apertura de datos del consumidor financiero
4.2.1.1 Legislac ión aplicable y principios rectores
En Colombia, la legislación de explotación de datos se encuentra comprendida, principalmente, en dos leyes
29
. Estas leyes serán aplicables a todas las entidades
27
https://www.pse.com.co/persona
28
Banco de la República, Reporte de Sistemas de Pago 2021.
29
El Conpes 3920, Política Nacional de Explotación de datos (Big Data), en su literal 2.1 realiza un recuento del marco
jurídico de la explotación de datos en Colombia. Según el Conpes, l a realización de los pr ocesos de generación,
recolección, agregación, compartición, ex plotación e innov ación para aprov echar datos se encuentran mediados por
diversas disposiciones jurídicas que conforman el marco relevante vigente para la explotación de datos. Estas se agrupan
16
vigiladas por la SFC y por cualquier otra persona natural o jurídica que tenga acceso o trate los datos de los
usuarios. Es tas normas establecen principios que deben s er observados, el tipo de datos que puede ser objeto
de tratamiento y la forma en que estos datos deben circular en caso de s er tratados por más de una persona
natural o jurídica. Estas leyes, entonces, contienen las normas orientadoras de la apertura de datos de
consumidor financiero, por lo que referenciaremos en este documento algunas de las normas y disposiciones
más relevantes.
El núcleo esencial de los regímenes de protección de datos se materializa a través de principios los cuales
deben ser de obligatoria observancia por los actores involucrados en el tratamiento de datos. Se destacan los
siguientes:
Principio de finalidad : El tratamiento de los datos debe obedecer a un objetivo legítimo acorde con la
Constitución Política y la Ley, el cual debe ser informado al titular de los datos a más tardar al momento de
recabar su información personal
30
.
Principio de libertad: La autoridad de protección de datos ha indicado que el derecho al Habeas Data se
concreta en la facultad del Titular de los datos de decidir, voluntariamente, s i su información personal es
sometida a tratamiento por parte de terceros
31
.
Principio de transparencia: Se refiere al derecho del titular a obtener, en cualquier momento y sin
restricciones, información acerca de la existencia de datos que le conciernen, así como del tratamiento que se
realiza sobre los mismos. De esta forma, este mandato pretende proscribir cualquier actuación negligente
encaminada a imposibilitar o dificultar el acceso a la información personal contenida en las bases de datos
administradas por el responsable
32
.
Principio de acceso y circulación restringida: El tratamiento de datos personales solo deberá ser realizado
por personas autorizadas por los Titulares y/o por las personas previstas en la ley.
Principio de seguridad: Los datos personales se m anejen “con las medidas técnicas, humanas y
administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento”.
Tipología de información
Respecto a los datos que pueden ser tratados de forma lícita, los r egímenes de las leyes 1266 de 2008 y 1581
de 2012 establecen los tipos de datos que pueden ser susceptibles de tratamiento. E n consecuencia, esto
aplicaría también para los tipos de datos que las entidades vigiladas o terceros participantes del sistema pueden
tratar. La tipología es la siguiente:
Datos de naturaleza personal: Aquellos que permitan individualizar a los consumidores, como lo son su
nombre, tipo y número de documento, datos de contacto físicos y electrónicos como lo s on s u domicilio y
residencia, lugar de correspondencia y dirección de notificación, números de teléfono, celular y mensajería
instantánea, perfiles en redes sociales y en la web, e-mail, información de contacto personal o corporativa,
edad, género, etc.
en cinco regímenes de acuerdo con las materias reguladas, así: Protección de derechos, transparencia y datos abiertos,
reportes de información, acceso e interoperabilidad y eficiencia administrativa.
30
Ley 1581 de 2012. Artículo 4, literal b
31
Superintendencia de Industria y Comercio, Resolución 46328 de 2020, disponible en:
https://www.sic.gov.co/sites/default/files/files/Proteccion_Datos/actos_administrativos/RE46328- 2020.pdf
32
Superintendencia de Industria y Comercio, Resolución 46328 de 2020, disponible en:
https://www.sic.gov.co/sites/default/files/files/Proteccion_Datos/actos_administrativos/RE46328- 2020.pdf
17
Datos personales de naturaleza sensible: Dentro de esta clasificación se aglomeran aquellos que revelen el
origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que
garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud,
a la vida sexual, y los datos biométricos. Para el tratamiento de esta información se requiere autorización
expresa del titular de los datos.
Datos de naturaleza semiprivada: Esta información comprende la relacionada con el cumplimiento o
incumplimiento de las obligaciones por parte de los titulares, lo alusivo a tiempos de mora o incumplimientos,
las entidades con las cuales se tiene suscrito un producto sea financiero o no, así como otro tipo de información
histórica y actual relativa a la situación financiera, patrimonial y de mercado de una persona natural o jurídica y
la relacionada con la situación integral de una empresa. Dentro de esta tipología de información también se
puede incluir la relacionada con los ingresos de las personas, su remuneración mensual, las actividades de las
que proviene, su naturaleza como trabajador independiente cuando así aplique, la asignación por otros
ingresos, valor de pensiones y entidad que pensiona, y demás información financiera de su titular.
Datos públicos: Los datos c lasificados como tal, como por ejemplo los relacionados con el estado civil de las
personas, su profesión u oficio, su calidad de comerciante o servidor público según sea el ca so, la información
consignada en registros y bases de datos públicas, en documentos públicos, gacetas y boletines oficiales, así
como la información contenida en sentencias judiciales debidamente ejecutoriadas no sometidas a reserva.
Arquitectura del flujo de información
Si bien los regímenes de protección de datos establecen los sujetos o actores que participan en el tratamiento
y circulación de datos
33
, esto no definen la forma o esquema a través del cual la información debe ser
compartida, es decir, no se establece desde la normativa la exigencia de contar con un centralizador de la
información ni se dispone de una figura o arquitectura única en que las partes deban participar del ecosistema
de tratamiento de datos.
En consecuencia, son los mismos actores quienes deciden si para el tratamiento de la información emplearán
un operador centralizador a través del cual canalicen la información a otros actores, o si lo harán de forma
bilateral, o de otra forma, dependiendo del caso de negocio que identifiquen, siempre y cuando cumplan con lo
previsto en la normatividad.
Esta flexibilidad ha permitido que se originen todo tipo de modelos en el mercado, pasando por modelos
plurilaterales centralizados como el de las centrales de riesgos crediticio, hasta modelos bilaterales en el marco
de convenios o alianzas comerciales.
Esto es relevante teniendo en c uenta que en modelos obligatorios de open banking alrededor del mundo, el
legislador establece la forma en que la información será compartida por las entidades financieras, generalmente
usando un centralizador del sistema. Bajo una aproximación voluntaria, en cambio, no se limita la forma o
arquitectura en que las entidades comparten su información, siempre y cuando se cumplan con las normas de
protección de la información.
33
La ley 1581 de 2012 define al Titular de datos, el responsable del tratamiento y el encargado del tratamiento, mientras
la ley 1266 de 2008 habla de titular de la información, fuente de información, ope rador de información, usuario de
información y agencia de información comercial.
18
Titularidad de la información y posibilidad de monetización
34
La titularidad de la información personal que circule en el Open Banking siempre estará en cabeza de su Titular,
es decir de la persona natural o jurídica cuyos datos sean objeto de tratamiento
35
. E l concepto de titularidad
refiere a los derechos que se encuentran en cabeza de estos sujetos frente al régimen de protección de datos
que, desde la perspectiva constitucional, remite a la facultad de conocer, actualizar y rectificar las informaciones
que sobre ellos se tenga en bases de datos.
En estos términos, no podría hablarse de que existe un propietario del dato con las mismas implicaciones como
si se tratara de una casa, un automóvil o un bien intangible
36
. P or el contrario, la titularidad del dato les permite
a los sujetos ejercer ciertas prerrogativas, entre ellas la de administrar su información personal
37
y ejercer los
derechos a autorizar, conocer, rectificar, incluir y suprimir los datos
38
.
Debe tenerse en cuenta que la facultad de ejercer el derecho al habeas data no implica que el Titular requiera
obtener una remuneración para que el tratamiento de sus datos sea legítimo. Frente a este punto, la posibilidad
de tratamiento por parte de terceros, de acuerdo con la Ley 1581de 2012 y la Ley 1266 de 2008, exige que se
cumplan varios requisitos, entre los cuales destaca la solicitud de autorización e informar sobre las finalidades.
Entre los requisitos antes mencionados, no s e encuentra la obtención de una retribución en favor de los
Titulares, ya que si bien el principio de libertad permitiría pactar las condiciones en que se entregan los datos
para ser sometidos a tratamiento por un tercero (pudiendo incluir un cobro), lo cierto es que dicha posibilidad
no es una condición sine qua non para que el tratamiento de los datos sea legítimo ni se trata de una prerrogativa
integrada de forma predeterminada en la ley.
Así las cosas, el ordenamiento jurídico colombiano no prohíbe ni obliga a que se deba pagar una tarifa por
recabar los datos personales, sino que se cumplan los requisitos de la Ley 1581 de 2012 y 1266 de 2008 al
obtener la autorización del Titular y garantizarle el ejercicio de sus derechos. En este sentido, si el Titular ha
autorizado que un tercero realice el tratamiento de sus datos de forma gratuita, entonces no está consagrada
en la Ley la posibilidad ex post de que se solicite una remuneración, ni tampoco ex ante de que sea obligatorio
negociarlo.
Por otro lado, en lo r elacionado con la posibilidad de que las entidades financieras cobren por el acceso de
terceros a la información de sus usuarios, consideramos que podrían hacerlo siempre que cuente c on
autorización expresa del Titular para ello. La Constitución Política establece que la actividad económica es libre
y que solo la Ley podrá establecer requisitos o permisos
39
.
Así las cosas, al analizar el ordenamiento nacional, se encuentra que no existe una regulación específica sobre
comercialización de datos. De hecho, la única norma que menciona directamente la prohibición de comercializar
datos es el artículo 269F del Código Penal, el cual consagra lo siguiente:
“El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, i ntercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes,
34
Este acápite es transcrito parcialmente del documento elaborado por la firma Gar rigues en el marco del apoyo técnico
elaborado brindado por el Banco Mundial a la URF.
35
Literal f) del artículo 3 de la Ley 1581 de 2012.
36
Ibídem.
37
Corte Constitucional, Sentencia SU-458 de 2012. M.P. Adriana Maria Guillén Arango
38
Corte Constitucional, Sentencia T-020 de 2014. M.P. Luis Guillermo Guerrero Pérez
39
Artículo 333 de la Constitución Política de Colombia.
19
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mínimos legales m ensuales vigentes”.
De esta forma, se evidencia que la prohibición para vender datos personales se encuentra limitada a los casos
en que no s e esté facultado para ello. De lo anterior se colige que, si s e cuenta con una autorización para
comercializar datos, entonces no estaríamos en el marco de la prohibición para desarrollar dicha actividad.
Teniendo en cuenta lo anterior, es posible c oncluir que la posibilidad de que los establecimientos autorizados
les cobren a terceros por compartir los datos personales que yacen en sus bases de datos (incluso si se trata
de información desagregada) es una prerrogativa que no está proscrita por la legislación en Colombia, por lo
cual se entiende permitida.
No obstante, con el fin de dotar de seguridad jurídica la actividad y promover el desarrollo del ecosistema de
datos abiertos, es conveniente reafirmar la posibilidad de que las entidades financieras realicen estos cobros,
como se describe en el acápite de propuesta.
Habilitación a entidades financieras
Si bien ni la ley 1266de 2008 ni la ley 1581 de 2012 habilitan expresamente a las entidades financieras para el
tratamiento de datos de sus consumidores, s e ha interpretado que este régimen incluye una autorización
general a todas las personas jurídicas y naturales a tratar los datos personales de los titulares, siempre y cuando
cumplan con los requisitos previstos en el régimen de protección de datos.
Para reforzar esta posición, la Circular Externa número 029 de 2019 de la Superintendencia Financiera de
Colombia dispuso explícitamente la facultad de las entidades vigiladas de suministrar y recibir la información
que los consumidores financieros autoricen expresamente y además las autoriza a poner a disposición de
terceros la información actualizada de los productos, canales, puntos de atención, servicios y tarifas, puede ser
puesta a disposición de terceros desarrolladores de API o cualquier otro mecanismo que permita el intercambio
automático de información, en las condiciones que cada entidad determine y con la debida gestión de los riesgos
asociados a ese intercambio.
No obstante, consideramos que puede se relevante reafirmar esta habilitación con el fin de dotar de seguridad
jurídica la operación de las entidades vigiladas.
4.2.1.2 Conclusiones frente al análisis de la legislación aplicable y principios rectores
Con base en el marco legal descrito se concluye que:
• El régimen de protección de datos permite el tratamiento de información y a su vez establece principios,
derechos y obligaciones tanto del titular de los datos como de los responsables del tratamiento.
• Si bien la regulación basada en principios permite la flexibilidad y dinamismo en el tratamiento de la
información puede ser útil desarrollar estos principios con el fin de establecer requisitos específicos de
tratamiento de datos, particularmente en ecosistemas donde interactúan entidades v igiladas y no
vigiladas.
• Las entidades financieras están habilitadas para tratar datos de sus usuarios en virtud de la habilitaci ón
general de las leyes de protección de datos y habeas data y la habilitación expresa de la Circular
Externa 029de 2019 de la SFC.
20
• Los deberes, principios y obligaciones de las leyes de protección de datos y habeas data son aplicables
a las entidades vigiladas, quienes deben observar lo allí previsto en el tratamiento de datos de sus
usuarios.
• Las leyes de protección de datos y habeas data no estipulan un diseño o arquitectura específica de la
forma en que debe circular la información.
• Las leyes de protección de datos y habeas data, si bien definen una tipología de los datos y los
requerimientos de tratamiento varían dependiendo de éstas, no limitan la información que puede ser
objeto de tratamiento. Toda información personal puede ser objeto de tratamiento siempre y cuando
se cumplan los requisitos previstos en la legislación.
• El régimen de protección de datos no prohíbe el cobro a terceros por el acceso a información. P or el
contrario, incluye implícitamente la posibilidad de desarrollar comercialmente el tratamiento de datos
de terceros. Hacer explícita esta autorización a las entidades financieras puede reducir la
incertidumbre jurídica y fomentar la cr eación de ecosistemas de compartición de datos.
4.2.2 Consideraciones frente a la regulación de las plataformas digitales y protecc ión del
consumidor financiero
Objeto social de las entidades vigiladas
El alcance del objeto social de las entidades vigiladas es relevante para establecer si es jurídicamente viable
que las entidades ofrezcan productos o servicios de terceros en sus plataformas y si pueden comercializar su
tecnología a terceros. Al respecto es importante recordar que, según el EOSF, el Código de Comercio y
pronunciamientos de la SFC, las instituciones vigiladas solo pueden desarrollar las operaciones y/ actividades
que expresamente les autoriza la ley como objeto social principal y las actividades c onexas con este.
En consecuencia, y teniendo en cuenta que algunos de los esquemas colaborativos y el intercambio de
información no están previstos de forma explícita dentro de las actividades listadas en el EOSF como
actividades principales de las entidades vigiladas, se deberá determinar caso a caso si cada una de estas
actividades son conexas a su objeto principal.
Para lo anterior debe tenerse en cuenta que “los actos conexos que se realicen deben necesariamente guardar
estrecha relación con la capacidad legal particular. Cuando se trate de actos conexos, su armonía con el objeto
social debe expresarse siempre por medio de una relación de medio a fin, cuyos extremos serán, en su orden,
el acto considerado y la empresa o actividad prevista en la ley para las instituciones financieras”
40
.
Así mismo, para efectos de la discusión, debe resaltarse que la m isma jurisprudencia ha establecido, entre
otras: (i) que toda la discusión parte de un concepto jurídico indeterminado
41
(sobre el cual hay espacio para
precisar) siendo un tema rodeado de falta de seguridad jurídica
42
; (ii) que las necesidades competitivas y de
40
Concepto 2010012904-002 del 29 de marzo de 2010. Superintendencia Financiera de Colombia.
41
Superintendencia Financiera de Colombia, “Rev isitando el objeto social de las entidades financieras. Los casos de
Estados Unidos y Singapur y sus lecciones para Colombia”. A su vez la SFC cita al Consejo de Estado. Sección Tercera.
Sentencia del 6 de julio de 2005. MP. Alier Her nández. Ref Radicación número: 11001-03-26-000-1995-01575-01(11575)
DM. Disponible en: http://www.suinjuriscol.gov.co/clp/contenidos.dll/ConsejoEstado/10004295?fn=document-
frame.htm$f=templates$3.0
42
Superintendencia Financiera de Colombia, “Rev isitando el objeto social de las entidades financieras. Lo s casos de
Estados Unidos y Singapur y sus lecciones para Colombia”. A su vez la SFC cita al Consejo de Estado. Sala de consulta
y Ser vicio Civil. Concepto del 29 de mayo de 2003. MP. Susana Montes. Disponible en:
21
transformación de la industria sirven para ilustrar el contenido de conceptos como los de “objeto social conexo,
complementario” “c ontratos conexos” o el “giro ordinario de los negocios”
43
; (iv) que en todo c aso la relación
de “medio a fin” es más una relación funcional que una relación estática o conceptual
44
; y (v) que el artículo 118
numeral 2 del EOSF faculta a los establecimientos de crédito para que presten nuevas operaciones y servicios,
con el cumplimiento de los requisitos allí establecidos
45
.
En este sentido, puede observarse que las providencias reconocen el c arácter dinámico que debe tener la
interpretación que pueda hacerse del concepto en el tiempo.
46
No obstante, si bien existen criterios para
determinar la conexidad o no de actividades con el objeto social principal de las entidades financieras, la
indeterminación desincentiva la innovación e impide el surgimiento de nuevos modelos de negocio que pueden
potenciar el desarrollo del ecosistema digital.
Ante esto, otros reguladores alrededor del mundo han optado por incluir listados de negocios permitidos
incluyendo una serie de actividades con comercio electrónico y posibilitando la venta de bienes de c onsumo
47
.
Esta opción otorga seguridad jurídica a los actores pero podría llegar a limitar la innovación en caso que futuras
dinámicas no queden cobijadas en dichos listas taxativas.
En el caso colombiano, resulta v iable reconocer en la regulación que el ofrecimiento de productos o servicios
de terceros que promuevan el uso de los productos o servicios de la entidad vigilada es una actividad conexa
a las operaciones autorizadas a las entidades vigiladas por la Superintendencia Financiera de Colombia.
Ahora, en lo que tiene que ver con la comercialización de servicios de tecnología e infraestructura a terceros,
se observa que, en caso de que este tercero no sea una entidad vigilada y preste s ervicios ajenos al sector
financiero esta conexidad al objeto social de la entidad vigilada puede no ser lo suficientemente c lara, pues la
comercialización de la tecnología se realiza a favor de un tercero que no necesariamente presta un servicio
financiero y no es una entidad vigilada.
No obstante, resulta relevante habilitar a las entidades financieras a comercializar la tecnología empleada en la
prestación de sus servicios para otros fines, toda vez que es allí donde éstas pueden contribuir con el desarrollo
de ecosistemas y aprovechar su infraestructura en favor de su competitividad y la de los actores con quienes
se relacionan.
En consecuencia, resulta deseable autorizar una nueva actividad en virtud de la c ual las entidades vigiladas
podrán comercializar a terceros la tecnología e infraestructura que son utilizados para la prestación de sus
servicios. Debe tenerse en cuenta que s ólo podrán comercializar la tecnología utilizada para la prestación de
sus servicios, y no otra distinta, es decir, solo aquella usada por la entidad vigilada para el desarrollo de su
objeto principal permitido en la ley.
http://basedoc.superservicios.gov.co/arklegal/SSPD/viewdoc;jsessionid=276D21C6C8ACCBE535F1A6DE9D58B5CA?do
cId=95ca120f-92b0-41f2-b67f45b8c577da3b&channel=&subEspacio=
43
Superintendencia Financiera de Colombia, “Rev isitando el objeto social de las entidades financieras. Los casos de
Estados Unidos y Singapur y sus lecciones para Colombia”.
44
Idem
45
Superintendencia Financiera de Colombia, “Rev isitando el objeto social de las entidades financieras. Los casos de
Estados Unidos y Singapur y sus lecciones para Colombia”. A su vez la SFC cita al Consejo de Estado. Sección tercera.
Sentencia del 25 de septiembre de 1997. M P Manuel Urueta Ayola. REF : Expediente núm. 4016. Disponible en:
http://www.suin-juriscol.gov.co/viewDocument.asp?id=10006669
46
Superintendencia Financiera de Colombia, “Rev isitando el objeto social de las entidades financieras. Los casos de
Estados Unidos y Singapur y sus lecciones para Colombia”.
47
Este fue el caso de Singapur.
22
Regulación de canales
A continuación se describe el régimen de canales con el fin de determinar s í el mismo es s uficiente o debe
ajustarse para propiciar de forma segura el ofrecimiento de servicios y productos de las entidades vigiladas en
plataformas y canales de terceros.
Corresponsales
El Decreto 2555 de 2010, en sus artículos 2.36.9.1.1. y subsiguientes regula a los corresponsales y los define
como “aquel tercero a través del cual las entidades mencionadas en el primer incis o de este artículo (los
establecimientos de crédito incluyendo aquellos de naturaleza especial, las sociedades especializadas en
depósitos y pagos electrónicos, las sociedades administradoras de inversión, las sociedades comisionistas de
bolsa de valores, las sociedades administradoras de fondos de pensiones, las sociedades fiduciarias, los
Intermediarios del Mercado Cambiario (IM C) y las entidades aseguradoras) prestan sus servicios”.
Además, el artículo mencionado lista los servicios que las entidades pueden prestar a través de los
corresponsales y establece que los mismos podrán operar en instalaciones físicas fijas, así como bajo
esquemas móviles y digitales. E s claro que existen actividades indelegables por parte de las entidades
financieras y que por tanto dichas actividades no pueden estar cobijadas dentro de las operaciones que pueden
canalizarse por medio de un corresponsal. A manera de ejemplo, para el caso de los establecimientos de crédito
los corresponsales no pueden realizar la apertura de cuentas ni el estudio de las solicitudes de crédito, pues
dichas actividades hacen parte del núcleo mismo de la intermediación financiera.
En resumen, este canal se caracteriza por:
1. El servicio financiero es prestado por la entidad vigilada a través de un tercero, quien interactúa con
los usuarios. El tercero puede estar en el ambiente físico presencial fijo, móvil o puede encontrarse en
el mundo digital, es decir en ambientes tales como internet, aplicaciones, etc.
2. A través del corresponsal solo podrán prestarse los servicios listados en el Decreto2555 de 2010
para cada una de las entidades vigiladas que pueden prestar sus servicios a través de este canal.
Al contrastar estas características con el modelo de negocio apificado donde las entidades financieras ofrecen
sus productos y servicios en plataformas de terceros, se observa que el régimen aplicable al esquema apificado
será el de corresponsal digital sólo si es el tercero quien interactúa con el usuario, es decir, si la operación es
realizada en la plataforma del tercero. Si la operación es realizada en la plataforma de la entidad vigilada y a no
aplicaría la corresponsalía, toda vez que el servicio está siendo prestado directamente por la entidad financiera
en sus canales.
En consecuencia, la regulación de este canal será aplicable para los casos en los cuales el servicio es prestado
por la entidad financiera en la plataforma de un tercero. No obstante, solo se podrán prestar los servicios
expresamente listados en el régimen de corresponsales, ya que estos servicios concuerdan con las actividades
delegables, no propias de la esencia de la actividad financiera.
Ahora bien, al examinar la suficiencia del régimen de corresponsales digitales se encuentra que, si bien existen
normas que obligan al corresponsal a informar al usuario cuál es la entidad financiera que presta los servicios,
esta normatividad puede no ser suficiente en ambientes digitales. Igualmente, es indispensable que los usuarios
conozcan a dónde dirigirse en caso de quejas o reclamos.
En consecuencia, se considera necesario incluir nuevas obligaciones al corresponsal digital que respondan de
forma directa a las necesidades del consumidor digital y la naturaleza del canal, garantizando así la
transparencia en la prestación del servicio y una debida protección a los consumidores.
Banca móvil e internet
23
La Circular Básica Jurídica (CBJ) de la SFC diferencia la banca móvil del internet al definir la banca móvil como
aquél canal en el cual el dispositivo es utilizado para realizar operaciones bien sea asociando su número de
línea al servicio, o empleando apps (aplicaciones informáticas diseñadas para ser ejecutadas en teléfono
celulares, tabletas y otros dispositivos m óviles). Por su parte, en caso de que los servicios se presten a través
de dispositivos móviles y utilicen navegadores Web, son considerados banca por internet
48
.
En estos casos, a diferencia del corresponsal, si bien la CBJ contiene requisitos de seguridad para las
operaciones realizadas a través de estos canales, no s e limitan las operaciones que las entidades vigiladas
pueden r ealizar.
Ahora bien, estos c anales difieren del de corresponsal digital principalmente porque en este último los servicios
son prestados desde la plataforma de un tercero quien interactúa con el usuario. En el internet y la banca móvil,
en cambio, las apps o navegadores corresponden a la app o el dominio de la entidad financiera que presta sus
servicios directamente.
En consecuencia, contrastando con el modelo apificado donde las entidades financieras ofrecen sus productos
y servicios en plataformas de terceros con la banca móvil y el internet, se observa que si el usuario es trasladado
desde la página de un tercero ( donde inicialmente se ofrece el s ervicio) al dominio de la entidad financiera, y
desde allí se realiza la transacción, esta se entiende como una transacción realizada a través del canal de
internet.
De igual forma, si el usuario es trasladado desde la página de un tercero (donde inicialmente se ofrece el
servicio) a la app de la entidad financiera, y desde allí se realiza la transacción, esta será entendida como una
transacción realizada a través del canal de banca móvil. En ambos casos aplicará la regulación de cada uno de
estos canales.
En conclusión, el régimen de canales aplicable a los desarrollos del modelo de apificación donde las entidades
financieras ofrecen sus productos y servicios en plataformas de terceros dependerá de donde se realiza la
transacción. Si esta se realiza en el ambiente de la entidad financiera le será aplicable la regulación de internet
o banca móvil (dependiendo si es navegador o app) o, si se realiza en un ambiente de un tercero, le será
aplicable la regulación de c orresponsal. En este último caso, la entidad financiera sólo podrá prestar los
servicios listados expresamente en la regulación aplicable a dicho modelo.
Uso de red
Ahora bien, puede presentarse el caso en que los servicios de una entidad vigilada sean prestados a través de
otra entidad vigilada, para cuyo caso aplicaría lo establecido en la regulación del contrato de uso de red.
La regulación de esta figura tradicionalmente se ha entendido como el uso de las oficinas o instalaciones físicas
por parte de otra entidad vigilada, por lo que su utilización dentro de la creación de ecosistemas digitales puede
requerir de ciertos ajustes que permitan s u mejor funcionamiento en el entorno digital.
En este sentido, se proponen algunas modificaciones puntuales a la regulación de uso de red con el fin de que
se adapte a las necesidades actuales de operación de los canales digitales, así como para introducir
expresamente la posibilidad de que el uso de red incluya a los canales digitales de las entidades vigiladas.
Protección al consumidor
Teniendo en cuenta que las entidades vigiladas están en capacidad de ofrecer productos y servicios de terceros
en su plataforma web, es relevante delimitar la responsabilidad que puede llegar a tener la entidad vigilada en
48
Superintendencia Financiera de Colombia, Circular Básica Jurídica, Parte I, Título II Capítulo I, numeral 2.3.4.11
24
caso de que ese producto por un tercero resulte defectuoso o que los términos de la c ompraventa no s ean
cumplidos por el vendedor.
El régimen de protección al consumidor, contenido en ley 1480de 2011, denomina “portal de contacto” a quien
ponga a disposición una plataforma electrónica en la que personas naturales o jurídicas puedan ofrecer
productos para su comercialización y a su vez los consumidores puedan c ontactarlos por ese mismo
mecanismo
49
.
Según la misma ley, las obligaciones de este portal de contacto se limitan a exigir a los oferentes información
que permita su identificación, para lo cual deberán contar con un registro en el que conste, como mínimo, el
nombre o razón social, documento de identificación, dirección física de notificaciones y teléfonos; y que esta
información pueda s er consultada por quien haya comprado un producto c on el fin de presentar una queja o
reclamo. En otras palabras, el portal de contacto no responde por la idoneidad, seguridad o el buen estado y
funcionamiento de los productos ofrecidos en s u portal.
En contraste, la ley define como “proveedor” a quien de manera habitual, directa o indirectamente, ofrezca,
suministre, distribuya o comercialice productos con o sin ánimo de lucro
50
. A diferencia del portal de contacto,
el proveedor responde por la calidad, idoneidad, seguridad y el buen estado y funcionamiento de los productos
51
y por los daños ocasionados por el producto defectuoso
52
.
Recientemente la Superintendencia de Industria y Comercio ha expedido fallos contra sociedades que alegan
ser portales de contacto, tales como M ercado Libre o Rappi, donde los hace responsables por la idoneidad,
seguridad o el buen estado y funcionamiento de los productos ofrecidos en su portal. Estas decisiones se
fundamentan en que la SIC encuentra que estas plataformas no se limitan a intermediar el ofrecimiento de
productos entre el comprador y el vendedor propio de los portales de contacto, sino que también hace parte de
la relación de c onsumo de forma directa al actuar como proveedor de bienes y servicios, característica propia
de los proveedores.
En la Sentencia 00016593 del 26 de diciembre de 2019, la Delegatura para As untos Jurisdiccionales de la SIC
estableció una s erie de criterios que facilitan identificar los eventos en los cuales los supuestos portales de
contacto se involucran en la operación a tal punto que empiezan a ser consideradas proveedores, así
53
:
La transacción tiene que cursar necesariamente a través de la plataforma de comercio electrónico.
La plataforma establece los términos y condiciones que regulan la adquisición del producto.
La misma fija el precio de los productos o establece una metodología para determinarlo.
El pago es realizado directamente a través de dicha plataforma.
Así las cosas, precisó la entidad, una plataforma electrónica que pretenda recibir el tratamiento de portal de
contacto deberá
54
:
Demostrar que actúa c omo mero intermediario, es decir, que simplemente pone en contacto a
oferentes y consumidores.
Demostrar que permite que el consumidor contacte al oferente de los productos a través de su
sistema.
49
Ley 1480 de 2011, artículo 53.
50
Ley 1480 de 2011, artículo 5, numeral 11
51
Ley 1480 de 2011, artículo 7.
52
L3y 1480 de 2011, artículo 20
53
https://www.ambitojuridico.com/noticias/tecnologia/mercantil-pro piedad-intelectual-y-arbitraje/plataformas-electronicas-
de
54
Idem
25
Brindar la alternativa de concertar la operación entre ellos al margen de la plataforma.
Acreditar que no tiene un rol fundamental en la operación, así como en las condiciones de la
transacción.
Informar de manera clara, veraz, suficiente, oportuna y verificable, precisa e idónea que actúa como
un mero intermediario, así como los efectos y alcances de esta situación.
Como se observa, los criterios establecidos por la SIC para determinar la calidad de proveedor en los casos en
que se ofrecen productos o servicios de terceros en plataformas de comercio electrónico, abren la posibilidad
de que las entidades financieras, al realizar esta actividad, resulten responsables por la calidad, idoneidad,
seguridad y el buen estado y funcionamiento de los productos, así como por los daños ocasionados por el
producto defectuoso.
Con el fin de dar c laridad respecto de la responsabilidad de las entidades financieras y brindar mayor claridad
al usuario respecto del proveedor de los diferentes productos, se considera oportuno precisar en la regulación
financiera el alcance del rol de las entidades en la comercialización de productos en estos ambientes.
En consecuencia, como se plasma en la propuesta, en el marco del artículo 48, numeral 1 literal a) del E OSF,
se propone autorizar explícitamente el ofrecimiento de productos de terceros en las plataformas de las
entidades financieras, estableciendo condiciones que garanticen que en estos casos la entidad financiera actúa
como portal de contacto y no c omo proveedor.
4.2.3 Consideraciones frente a la regulación de la iniciación de pagos
Actualmente, si bien la actividad de iniciación de pagos ya se desarrolla dentro del sistema de pago de bajo
valor, esta no está reconocida ni reglada expresamente por la regulación de pagos.
Como se vio anteriormente, existen dos formas a través de las cuales los iniciadores de pago pueden trasmitir
los mensajes de iniciación a los emisores de las transferencias electrónicas: 1) A través de conexiones
bilaterales con uno o alguno de los emisores del sistema; 2) los iniciadores de pago que se conectan
directamente a la ACH, utilizando la infraestructura existente entre las ACH y los emisores participantes para
por allí transmitir las órdenes de iniciación de pagos consentidas previamente por los usuarios.
En el primer caso, los iniciadores pueden ser considerados proveedores de servicios de pago de los emisores,
en los términos del numeral 20. del artículo 2.17.1.1.1. del Decreto 2555 de 2010, toda vez que los emisores,
en su relación directa con el iniciador, delegan en él la función de iniciar la orden de pago. En este caso será la
entidad vigilada quien controle y establezca los requerimientos de su iniciador de pagos, garantizando la
seguridad de la operación y una correcta experiencia del usuario.
Por el contrario, en el segundo caso, el iniciador de pagos no puede ser considerado un proveedor de servicios
de pago de la entidad emisora, toda vez que no tiene relación directa con ella, sino que es la ACH quien conecta
al iniciador a su infraestructura, para a través de ella remitir las órdenes de iniciación a los emisores participantes
en su sistema. En este caso el iniciador se asemeja a un participante de la A CH, toda vez que es autorizado
por la EA SPBV para tramitar órdenes de transferencia de fondos en su sistema, en los términos del numeral 16
del artículo 2.17.1.1.1 del Decreto 2555 de 2010.
Este aprovechamiento de la infraestructura de la ACH para el envío de mensajes a sus participantes facilita la
interoperabilidad del operador, aunque introduce riesgos al s istema, toda vez que el usuario iniciará sus
transferencias en un tercero distinto a su entidad vigilada y ajeno a ella. Por esto, es relevante establecer
requisitos mínimos de operación del iniciador y en todo caso dejar en cabeza de la entidad financiera algunas
26
actividades relevantes en la ejecución del pago, tal como la verificación de la identidad, y un control por parte
del administrador del sistema.
En todo caso, es importante tener en cuenta que el iniciador de pagos, bajo ninguna circunstancia, administra
los recursos del público. Su actividad se encuentra circunscrita a enviar la orden de pago, previa autorización
del c onsumidor, a la entidad financiera emisora, para que esta ejecute la transferencia dentro de la ACH,
afectando el medio de pago de su usuario. En consecuencia, el iniciador no ejecuta una actividad financiera y
a falta de una disposición legal que así lo establezca, su vigilancia no recae en la Superintendencia Financiera
de Colombia.
En esta misma línea, con el fin de dar claridad sobre la naturaleza del iniciador de pagos y sus funciones, éste
no es considerado un adquirente, toda vez que si bien puede establecer r elaciones con el comercio para facilitar
los pagos desde su página web, no recibe los recursos provenientes de sus ventas ni le abona recursos al
comercio. Por el contrario, el iniciador de pagos no tiene relación alguna con la entidad receptora de los
recursos, sino c on la entidad emisora, a quien remite la orden de pago para que s ea ésta quien ejecuta la
transferencia en la ACH.
El iniciador de pagos tampoco es una pasarela de pago no presencial, toda vez que si bien las pasarelas de
pago otorgan a los comercios la posibilidad de ofrecer pagos digitales en sus plataformas web, estos no remiten
la orden de pago a las entidades emisoras de la transferencia electrónica. Para dar un ejemplo ilustrativo, la
pasarela de pagos Payu posibilita a los comercios electrónicos contar con distintas formas de pago (tarjeta
crédito, débito, transferencia electrónica), pero es PSE quien remite la orden de pago a la entidad emisora
donde el usuario tiene su producto de depósito. Normalmente las pasarelas ofrecen dentro de su catálogo algún
servicio de pago por transferencia electrónica, pero quien remite la orden de pago a la entidad emisora no es
la pasarela, sino el iniciador.
Por otro lado, en lo que se refiere a la situación de mercado, es importante tener en cuenta que actualmente el
único iniciador de pagos pertenece a la principal ACH. Esta situación puede generar conflictos de intereses en
el caso de que un nuevo iniciador solicite el acceso a la ACH. En consecuencia, y en línea con los objetivos y
principios del Decreto 1692 de 2020, se propone establecer normas que mitiguen los posibles conflictos de
interés y permitan el acceso de nuevos actores al sistema de pagos.
5. PROPUESTA REGULATORIA
Como resultado del análisis adelantado se propone promover la arquitectura de finanzas abiertas en el país
mediante dos componentes. Uno primero, denominado Open Finance, mediante el cual se sugiere adoptar las
reglas aplicables a: (i) el tratamiento de datos personales por parte de las entidades vigiladas por la SFC; (ii)
los ecosistemas digitales o finanzas embebidas; (iii) la forma en que las entidades vigiladas por la SFC pueden
comercializar tecnología e infraestructura a terceros bajo algunas condiciones; y (iv) iniciación de pagos como
nueva actividad de pagos en el entorno regulatorio nacional.
Como complemento, y en forma paralela al trámite de expedición normativo, se propone avanzar conjuntamente
con otras autoridades en un segundo frente denominado Open Data, el cual busca escalar las reglas y principios
relativos al intercambio de información a entidades no financieras.
En lo que respecta al primer componente procedemos a explicar los c ambios incluidos en c ada uno de los
frentes mencionados:
27
i. Tratamiento de datos personales por parte de las entidades vigiladas por la SFC
En los artículos contenidos en este frente se hace explícito que las entidades financieras pueden realizar el
tratamiento de la información de los consumidores que hayan dado su autorización al respecto. Para ello, se
hace una remisión expresa a las normas aplicables en materia de protección de datos y habeas data.
La propuesta autoriza expresamente a las entidades vigiladas por la SFC a comercializar el uso,
almacenamiento y circulación de los datos personales objeto de tratamiento, actividad que, como se mencionó,
ya podría ser realizada por algunas entidades pero que requiere de su aclaración regulatoria para impulsar su
adopción y uso.
Para lo anterior, las entidades vigiladas deberán contar con la autorización expresa del consumidor y demás
reglas aplicables contenidas la Ley 1266 de 2008 y en la Ley 1581 de 2012. Por último se precisa que, en
desarrollo del literal a) del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero (E OSF), la
SFC podrá impartir instrucciones a sus vigilados con el fin de velar por la seguridad de esta actividad permitida
a las entidades financieras.
ii. Ecosistemas digi tales y finanzas embebidas
Este frente de acción se divide en dos. El primer grupo de medidas hace referencia a cuando terceros ofrecen
sus servicios en plataformas administradas por entidades vigiladas por la SFC; mientras el segundo grupo de
medidas retrata las reglas aplicables a la s ituación inversa, es decir, cuando son las entidades financieras
quienes se valen de las plataformas de terceros para ofrecer o promover sus productos o servicios.
En el primer grupo, se establece c omo actividad c onexa de las entidades vigiladas c uando éstas sean usadas
por terceros no vigilados para ofrecer sus productos o servicios. Es necesario precisar que, en este caso, la
conexidad del ofrecimiento de productos no financieros por parte de terceros no vigilados con las actividades
propias de las entidades vigiladas r eside en que los productos o s ervicios de esos terceros promuevan el uso
de los productos o servicios de la entidad vigilada.
La determinación de esta actividad c omo conexa conlleva una aclaración que permite un entendimiento
homogéneo del marco regulatorio y por ende acelera la innovación. Adicionalmente, se incluye explícitamente
la posibilidad de que las entidades vigiladas, si así lo consideran, cobren contraprestaciones a los terceros que
ofrezcan productos o servicios en sus plataformas electrónicas.
En este primer grupo también existe la posibilidad de que el tercero interesado en ofrecer sus productos por
medio de una plataforma administrada por una entidad vigilada sea otra entidad vigilada. Para este caso, el
proyecto de decreto reconoce que el camino a seguir debe ser el contrato de uso de red del que trata el decreto
2555 de 2010. En paralelo a lo anterior, se proponen algunas modificaciones y derogatorias al régimen del
contrato de uso de red para remover las barreras que hoy en día podrían evitar que existieran este tipo de
acuerdo en ecosistemas digitales. A modo de ejemplo, uno de estos cambios consiste en definir que la red de
las entidades vigiladas comprende no sólo “las oficinas y los sistemas de información” de la entidad que presta
su red, sino también sus otros canales presenciales o digitales.
Con el fin de fijar un esquema de protección sobre los consumidores que usen las plataformas provistas por las
entidades financieras, se exigirá a todos los oferentes de productos y servicios que entreguen información que
permita s u identificación.
Adicionalmente, con miras a delimitar claramente la responsabilidad de las entidades vigiladas y evitar
reclamaciones que se encuentran por fuera de s u esfera de control, se determina que las vigiladas deberán
28
tomar las medidas necesarias para que en el ofrecimiento de productos o servicios de terceros no se les pueda
considerar como productores o proveedores de dichos productos en línea con las disposiciones de la Ley 1480
de 2011, la Ley 1328de 2009 y los pronunciamientos correspondientes que ha hecho la Superintendencia de
Industria y Comercio al respecto.
El segundo componente trata sobre las situaciones en las que es la entidad vigilada por la SFC quien ofrece
sus productos y servicios en ambientes o plataformas de terceros. En este caso se hacen precisiones en dos
direcciones: (a) en caso de que la entidad vigilada ofrezca y preste sus servicios en la plataforma del tercero,
la regulación aplicable será la de corresponsalía digital; y (b) en caso de que la entidad v igilada solo ofrezca
sus servicios en la plataforma del tercero no vigilado, pero la materialización de la operación se preste u ocurra
en el ambiente c ontrolado por la entidad financiera, el régimen aplicable s erá el de canales como banca móvil
o internet.
La razón para hacer esta diferenciación está en que la naturaleza de uno y otro c aso dependen de quién es
efectivamente responsable por la prestación del servicio. Así, en caso de que el encargado de prestar el servicio
sea el tercero, aplica la regulación que reconoce al tercero como un actor con un papel preponderante y activo
en la colocación de los productos, es decir la regulación de corresponsalía. Por el contrario, en caso de que el
tercero tenga un rol más pasivo en la colocación del producto de la entidad vigilada, se entiende que este tercero
actúa como una plataforma de comercio electrónico, donde la entidad vigilada coloca su oferta, pero que una
vez el consumidor decide acceder a dichos servicios, operativamente la plataforma lo conduce al ambiente de
la entidad financiera. En este segundo caso, se considera que la reglamentación aplicable debe ser la de
canales dado que, en estricto sentido, se está hablando de un canal que es usado por la entidad financiera para
ofrecer sus productos o servicios.
Lo anterior encuentra fundamento en la necesidad de aclarar los caminos que pueden tomar las entidades
vigiladas para lograr una promoción o colocación de sus productos en nuevos ambientes, con reglas claras y
con miras a otorgarles mayor competitividad de cara a los nuevos actores y esquemas de negocio que han
surgido en Colombia y en el mundo.
iii. Comerci alización de tecnología e infraestructura –que ya tienen las entidades
financieras– a terceros
Este frente de acción autoriza una nueva operación a las entidades vigiladas que consiste en la comercialización
de la tecnología e infraestructura que ya utiliza para el desarrollo de su objeto social. A modo de ejemplo, esta
autorización permitiría que las entidades financieras comercialicen los algoritmos que utilizan para realizar el
proceso de conocimiento del cliente, el scoring crediticio de sus usuarios, etc. También permitiría la
comercialización de los procesos tecnológicos que sean utilizados por las entidades para hacer el onboarding
de sus consumidores, entre muchas otras posibilidades.
En general, esta modificación busca que las entidades financieras puedan aprovechar los medios que hoy en
día utilizan para proveer sus servicios y productos, de manera que se reconozca que dichas entidades han
realizado inversiones importantes para conformar ecosistemas agradables y seguros para los consumidores,
que están ligados con su objeto social principal, lo que les permitirá agregar valor a los consumidores y fortalecer
su competitividad de cara a competidores tradicionales y nuevos como las FinTechs y las BigTechs.
Vale la pena aclarar que la autorización de esta nueva operación s e da en el marco del artículo 48 del EOSF,
por lo que no será posible que las entidades comercialicen la tecnología o infraestructura que resulte ajena al
giro ordinario de sus negocios, pues la norma que habilita esta autorización circunscribe las nuevas actividades
que puede reconocer el Gobierno Nacional a aquellas que “puedan realizar las entidades objeto de intervención
en desarrollo de su objeto principal permitido en la ley”. En ese sentido, se excluye de esta nueva operación
29
autorizada la posibilidad de que las entidades financieras comercialicen elementos que no sean usados para la
prestación u ofrecimiento de s us productos y servicios.
Concomitantemente, en este frente de acción también se precisa que la Superintendencia Financiera de
Colombia tendrá las facultades de inspección, vigilancia y control que le otorga la ley sobre esta nueva
operación autorizada a las entidades financieras.
iv. Iniciación de pagos
En el último frente de acción incluido en la propuesta regulatoria se encuentra la creación de la iniciación de
pagos como una nueva actividad del ecosistema de pagos. Para el efecto, se propone una definición de la
nueva actividad y una definición de quienes pueden ser considerados como “iniciadores de pago”.
Quienes realicen esta nueva actividad serán considerados como participantes del Sistema de Pagos de Bajo
Valor (SP BV), por lo que les serán aplicables las normas que fueron expedidas en el Decreto 1692 de 2020 en
lo que resulte pertinente. Al respecto, vale la pena resaltar que se establece que las Entidades Administradoras
de Sistemas de Pago de Bajo Valor (EASPBV) exigirán a sus participantes (entre ellos los iniciadores de pago)
contar con elevados estándares y reglas operativas, técnicas y de seguridad, lo c ual podrán hacer por m edio
de la inclusión de estas normas en su reglamento.
También se establece que los establecimientos de crédito, las SE DPES y sociedades no vigiladas por la SFC
podrán realizar la actividad de iniciación de pagos y que, en ningún caso, los iniciadores de pago podrán
administrar o quedar en tenencia de los recursos del usuario.
Además, con el fin de velar por la seguridad e integridad del SPBV se establece que los iniciadores de pago
necesitarán, para cada operación, la autorización expresa del consumidor y que, en todo caso, las entidades
emisoras deben autenticar al consumidor que esté interesado en realizar una operación por medio de un
iniciador de pagos. Finalmente, se hace explicito que la SFC podrá impartir instrucciones a sus entidades
vigiladas con el fin de garantizar que la iniciación de pagos se ejecute en condiciones de seguridad,
transparencia y eficiencia.
En este punto, la propuesta también incluye una provisión c onsistente en que en caso de que una EAS PBV, o
alguna de sus filiales, subsidiarias, controlantes o accionistas desarrolle la actividad de iniciación de pagos,
ésta deberá incluir en su reglamento un capítulo específico donde se traten los c onflictos de interés que puedan
surgir de dicha situación.
Finalmente, s obre el régimen de transición de las m edidas contenidas en la propuesta regulatoria acá
presentada, se establece un plazo de un año para que las entidades realicen los ajustes que resulten
necesarios.
6. CONSIDERACIONES FRENTE A LA PORTABI LIDAD
En el documento “Open Banking y Portabilidad en Colombia” publicado por la URF en diciembre del año 2020,
se propuso la implementación de la portabilidad en los productos de depósito de apertura simplificada toda vez
que ellos se han asociado al número de celular de los cuentahabientes y que el modelo de dispersión del
Gobierno Nacional se ha enfocado en canalizar los pagos de los distintos programas sociales principalmente a
través de estos productos. A través de esta propuesta, se buscaba:
Promover la competencia en el mercado de productos y servicios financieros,
30
Promover la transparencia y comparabilidad en las tarifas de los productos,
Reducir la cantidad de trámites y tiempos necesarios para cambiar de proveedor, y
Mejorar las condiciones de productos y servicios para el consumidor financiero.
Una vez recibidos los comentarios al documento, la URF, con el apoyo técnico de Better Than Cash Alliance
55
,
realizó un estudio con el objetivo no sólo de explorar las opciones para la implementación de la portabilidad de
los depósitos electrónicos, sino en general evaluar la conveniencia de adoptar un estándar regulatorio relativo
a la portabilidad de otros productos y servicios financieros.
Como resultado de la consultoría, se identificaron varias líneas de acción o instrumentos a través de los cuales
se ha implementado la portabilidad en otras jurisdicciones y se señalaron los retos que plantearía cada una de
ellas en Colombia. Un resumen de estos resultados puede encontrarse en la tabla 1.
Tabla 1. Alternativas de implementación de la portabilidad financiera en Colombia
Fuente: Elaboración propia con base en cons ultoría en conjunto con Better T han Cash Alliance (2021).
Del análisis realizado se concluyó que el marco normativo vigente en Colombia hoy ya habilita distintos
esquemas de portabilidad financiera y permite la movilidad del usuario en el sistema de forma eficiente y segura.
En consecuencia, no s e observa necesario avanzar en una intervención regulatorio en este frente, no obstante
y en atención a los beneficios que se derivan para el consumidor, se convoca a la industria a seguir impulsando
desarrollos operativos y tecnológicos que faciliten la portabilidad financiera en los diferentes productos y
servicios financiero.
55
La consultoría fue desarrollada por la firma Marulanda Consultores.
#Alternativa de implementaciónConsideraciones
1
Portabilidad
el númerodel celular asociado
a
una
cuenta móvil (depósitossimplificados)
Existe
una alta rotaciónde números de celular en la basede la pirámide, lo cual se configura como una barrera
de
implementación,
que puede implicar un ajuste pocoprovechoso y que conlleve altos costos.
2
Portabilidad
del númerode cuenta de la EF
con
un
alias que es asignado oescogido por
el
consumidor
Requiere
crear un estándar de losalias,asignarlo o permitir al consumidor escogerlo, yde una
entidad
centralizadora
donde se vinculen losalias alosnúmeros de cuenta. Esta informacióndeberáestar actualizada
y
disponible
paratodos losactores del mercado.
3
Portabilidad
de la informacióndel cliente para
la
apertura
de cuentas (datosdel
consumidor
pueden
ser transferidos de una EF aotra)
Aunque
se han hecho avances en identidad digital conelementos como cédula digital,carpeta ciudadana
y
SARLAFT
4.0. parala implementaciónde esta alternativa se requiere forzar su adopción.Conun modelo de
Open
Finance
se puede obtener el mismo resultado gracias ala autorización del usode la informaciónpor el
consumidor
financiero
.
4
Portabilidad
de la cuenta y los
servicios
asociados
aesta.
La
migraciónde servicios vinculados conlascuentas enfrentamúltiples barreras dados losmodelos de negocio
y
tecnologías
que respaldan loscasosde uso, ejemplode ello sonlasdomiciliaciones de pagos recurrentes, no
todas
las
entidades financierastienen losmismosconvenios y se dificulta que puedan responder de manera precisa a
este
cambio
.
5
Portabilidad
de todos losservicios financieros
La
implementaciónde Open Finance y Open Data busca viabilizareste tipo alternativas,además permite a
las
entidades
tener negocios aliados que potencien aún mássu alcance.
31
7. BIBLIOG RAFÍA
Banco Central do Brasil. 2021. Open Banking. Disponible en:
https://www.bcb.gov.br/en/financialstability/open_banking
BIS (2019) Report on open banking and application programming interfaces.
BIS (2020) Enabling open finance through A PIs.
BIS (2021) Whom do consumers trust with their data? US survey evidence.
BBVA (2020) El panorama normativo de ‘Open Banking’ en el mundo.
Cámara de Diputados del Honorable Congreso de la Unión – Estados Unidos Mexicanos. Ley para regular las
instituciones de tecnología financiera – DOF 09-03-2018. A rtículo 76 y c oncordantes. Disponible en:
https://static1.squarespace.com/static/58d2d686ff7c50366a50805d/t/5ac450630e2e72d53c20f091/152281507
8233/LRITF_090318.pdf
CGAP. 2015. Cómo empoderar a los c lientes: Decisión, uso y posibilidad de expresarse.
Consejo de Estado. S ección tercera. Sentencia del 25 de septiembre de 1997. MP Manuel Urueta Ayola. REF:
Expediente núm. 4016. Disponible en: http://www.suin-juriscol.gov.co/viewDocument.asp?id=10006669
Consejo de Estado. Sección Tercera. Sentencia del 6 de julio de 2005. MP. Alier Hernández. Ref Radicación
número: 11001-03-26-000-1995-01575-01(11575) DM. Disponible en:
http://www.suinjuriscol.gov.co/clp/contenidos.dll/ConsejoEstado/10004295?fn=document-
frame.htm$f=templates$3.0
Consejo de Estado. S ala de consulta y Servicio Civil. Concepto del 29 de mayo de 2003. MP. Susana Montes.
Disponible en:
http://basedoc.superservicios.gov.co/arklegal/SSPD/viewdoc;jsessionid=276D21C6C8ACCBE535F1A6DE9D5
8B5CA?docId=95ca120f-92b0-41f2-b67f45b8c577da3b&channel=&subEspacio=
Corte Constitucional, Sentencia C-1011 de 2008, Magistrado Jaime Córdoba Triviño.
Corte Constitucional, Sentencia T-414 de 1992. M .P. Ciro Angarita Barón.
Corte Constitucional, Sentencia T-020 de 2014. M .P. Luis Guillermo Guerrero Pérez.
Corte Constitucional, Sentencia S U-458 de 2012. M .P. Adriana M aría Guillén Arango.
ECB (2021) The rise of non-bank finance and its implications for m onetary policy transmission.
Ley 1480 de 2011, Por medio de la cual se expide el Estatuto del Consumidor y se dictan otras disposiciones.
Colombia.
Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales.
Colombia.
Ley 1266 de 2008, Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de
la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras disposiciones. Colombia.
GooglePay (2021) GPay perspective: Open banking sys tem design.
32
Gojón S. (2020) P lataformas digitales: avances en su regulación y retos en el ámbito financiero. Artículos
Analíticos. Banco de España.
Hong Kong M onetary Authority. Open API Framework for the Hong K ong Banking Sector. 2018. Available at:
https://www.hkma.gov.hk/media/eng/doc/key-information/press-release/2018/20180718e5a2.pdf
Mc kinsey & Company (2020 (a)) How COVID-19 is changing consumer behaviour – now and forever.
Mc kinsey & Company (2020 (b)). Consumer sentiment and behavior continue to reflect the uncertainty of the
COVID-19 crisis.
Mc kinsey Company (2021 (a)) Financial services unchained: The ongoing rise of open financial data.
Mc Kinsey Global Institute (2021 (b)) Financial data unbound: The value of open data for individuals and
institutions.
Open Banking: advising customer-centricity – Analysis and overview. Open Banking Working Group – Euro
Banking Association. 2017. Disponible en: https://www.abe-
eba.eu/media/azure/production/1355/eba_open_banking_advancing_customer-centricity_march_2017.pdf
Open Data. M inisterio de Tecnologías de la Información y las Comunicaciones de Colombia – M inTIC.
Disponible en: https://mintic.gov.co/portal/inicio/5664:Open-Da ta
OECD (2020) Digital Disruption in Banking and its Impact on Competition.
OECD (2020) Financial Consumer Protection Policy Approaches in the Digital Age: Protecting consumers’
assets, data and privacy.
Superintendencia de Industria y Comercio, Resolución No. Resolución No. 12192 de 2020,
https://www.sic.gov.co/sites/default/files/files/2020/Res%2012192%2001IV2020%20SIC%20Facebook%2
0Inc.pdf
Superintendencia de Industria y Comercio, Resolución No. 10221 de 2021, disponible en:
https://www.sic.gov.co/sites/default/files/files/Proteccion_Datos/actos_administrativos/Res%2010221%200
2III21%20Cre%CC%81ditos%20Ra%CC%81pidos%20VP.pdf
Superintendencia Financiera de Colombia, “Revisitando el objeto social de las entidades financieras. Los casos
de Estados Unidos y Singapur y sus lecciones para Colombia”.
The OBIE Highlights – August 2021. Open Banking Implementation Entity.
33
ANEXO 1. ESQUEMA DE CONSTRUCCIÓN COLECTIVO
Entre Enero de 2020 y Septiembre de 2021 la URF, con el acompañamiento de la Superintendencia Financiera
de Colombia (SFC) y el apoyo técnico del Banco Mundial, adelantó un esquema altamente participativo el cual
incluyó varias rondas de comentarios, foros de discusión y mesas de trabajo tanto con actores locales,
internacionales, entidades multilaterales y autoridades de la región y otras jurisdicciones. Las memorias y
material de apoyo de las mesas de trabajo se encuentran disponibles en www.urf.gov.co.
34
ANEXO 2. COM PARATIVO DE LOS MODELOS REGULATORIOS DE LAS FINANZAS ABIERTAS
Fuente: Garrigues (2020).
Para continuar leyendo
Solicita tu prueba