Para alcanzar su potencial inclusivo, es necesario que las finanzas abiertas cuenten con protección de datos

En tiempos en que los datos son cada vez más valiosos, las finanzas abiertas brindan a los consumidores control sobre sus datos financieros personales para que puedan beneficiarse de servicios financieros más adecuados y con mejor enfoque en sus necesidades. En el marco de las finanzas abiertas, los consumidores pueden dirigir la transferencia de sus datos desde los bancos y otras instituciones financieras (tenedores de los datos) a fintechs y otros servicios financieros innovadores (usuarios de datos) que pueden utilizar estos datos para desarrollar nuevos productos y servicios que se adapten a las necesidades del consumidor. Sin embargo, esta capacidad sin precedentes de mover historiales financieros completos empodera a los consumidores y plantea a su vez riesgos.

CGAP cree que las finanzas abiertas pueden lograr un avance en la inclusión financiera al permitir que las fintech y otros tipos de instituciones financieras ofrezcan productos y promuevan comportamientos financieros que alivien algunos de los puntos de dolor que experimentan los clientes de bajos ingresos en los mercados emergentes y economías en desarrollo (MEED).  Y si los marcos legales de finanzas abiertas son diseñados para que la inclusión financiera progrese,  pueden apoyar el desarrollo de casos de uso de servicios financieros que atiendan a poblaciones de bajos ingresos en los MEED y reforzar un ecosistema de datos inclusivo.

¿Por qué los consumidores de los MEED están en situación de mayor riesgo?

El potencial de riesgo para el consumidor no debe pasarse por alto. Por ejemplo, los usuarios de datos pueden transmitir datos a otra entidad sin que los consumidores tengan mayor control sobre esos datos ni la garantía de que serán utilizados en pro de los mejores intereses de dichos consumidores. Asimismo, en las manos equivocadas, los datos podrían utilizarse para cometer fraudes o hacer otros tipos de daño. Ésta y otras formas de uso indebido de datos podrían socavar la confianza de los consumidores en las finanzas abiertas y llevar a una baja adopción.

En los MEED en particular, las personas de bajos ingresos enfrentan desafíos específicos con respecto a los datos. Por ejemplo, los avisos por escrito de las prácticas de información deben explicar cómo se utilizarán y compartirán los datos, pero algunas personas en los MEED podrían tener una alfabetización más baja y, por lo tanto, quizás podrían no comprender cabalmente los riesgos asociados con tales transferencias de datos o dar un consentimiento plenamente informado. Otros desafíos para la notificación y el consentimiento incluyen la importancia de proporcionar las declaraciones pertinentes en la diversidad de idiomas de un país. Asimismo, muchas personas acceden a los servicios financieros a través de dispositivos de comunicación pequeños, en los que leer y guardar avisos resulta difícil.

Dadas sus circunstancias, tales consumidores (a pesar de la evidencia de que valoran la privacidad de su información personal), pueden sentirse impotentes y que no tienen más opción que aceptar ciertas prácticas de datos, incluso cuando no son lo mejor para ellos. Es posible que las fintechs y otros proveedores del sector financiero no tengan ninguna obligación legal específica con respecto al manejo de los datos de los consumidores, ya sea porque están fuera del perímetro regulatorio de los servicios financieros o porque no existe una ley de protección de datos aplicable. Esto ha llevado a algunos casos de manejo irresponsable de datos de los consumidores en aras de la monetización y para obtener ganancias rápidas.

Las protecciones de datos mínimas brindan garantías de resguardo a los consumidores

Por lo tanto, no sorprende que la regulación legal de la protección de datos sea uno de los elementos clave para el diseño de un marco de finanzas abiertas inclusivo, y también elemento fundamental de un ecosistema de datos inclusivo mucho más amplio. En nuestra nota técnica publicada en febrero de 2023, identificamos las protecciones de datos mínimas requeridas para garantizar que los consumidores estén protegidos y que las finanzas abiertas tengan éxito. Éstas incluyen:

Aviso:

Los proveedores deben informar a los consumidores en un lenguaje claro y sencillo sobre qué datos se recopilan, con qué propósitos, cómo se utilizarán los datos y durante cuánto tiempo. Dadas las complejidades de las finanzas abiertas, dicho aviso debe también indicar claramente con cuáles terceros los proveedores compartirán estos datos y las formas en que los consumidores pueden controlar sus datos.

Consentimiento:

No alcanza con el aviso, los consumidores deben dar a los usuarios de los datos su consentimiento informado para el manejo de sus datos financieros confidenciales y la transferencia de los mismos.  Los consumidores deben poder revocar fácilmente su consentimiento.

Limitaciones de uso:

Los datos deben utilizarse solamente para los fines previstos, como se establece en cualquier aviso, y no de maneras que no beneficien al consumidor.

Minimización de datos:

Los proveedores solamente deben recopilar lo que necesitan para los fines previstos y conservar los datos solamente por el tiempo necesario para dichos fines.

Acceso/Corrección:

Dado que los datos financieros abiertos pueden ser utilizados tanto para aprobar como para rechazar solicitudes de servicios financieros esenciales, los consumidores deben poder revisar los datos que se utilizan, disputar cualquier inexactitud y corregir dichas inexactitudes.

Seguridad:

Deben implementarse medidas de seguridad razonables para lograr seguridad en la transmisión, el almacenamiento y la utilización de los datos financieros de los consumidores.

Compensación:

Cuando surgen problemas con la forma en que se manejan sus datos financieros, los consumidores deben tener un lugar ante el cual presentar quejas y tener la certeza de que sus reclamos se investigan y resuelven con puntualidad.  Puede que esto se haga a través del gobierno, mediante procedimientos judiciales, o de manera informal con los proveedores, pero el procedimiento debe ser claro y fácil de activar para el consumidor de finanzas abiertas.

Por lo general, estas disposiciones están consagradas en una ley nacional integral de protección de datos, tal como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley General de Protección de Datos  (LGPD) en Brasil, y son implementadas por una autoridad de protección de datos. En ciertos casos, como el de las Directrices para los agregadores de cuentas de la India, es el reglamento de finanzas abiertas el que contiene las disposiciones pertinentes. Sin embargo, muchos países, incluida la mayoría de los MEED, no cuentan con este tipo de leyes o reglamentos. Es más, incluso si un país tiene una ley general de protección de datos, es posible que no aborde cuestiones específicas planteadas por las finanzas abiertas, tales como la transmisión de datos a terceros y la responsabilidad por incumplimiento, mientras que la regulación de las finanzas abiertas puede estar incompleta desde la perspectiva de la protección de datos.

Gráfico 1: Diferentes bases legales para las finanzas abiertas y la protección de datos 

Como se argumenta en nuestra reciente nota técnica, en ausencia de una ley general de protección de datos, los reguladores deben revisar la legislación sectorial para ver en qué medida se cubren estas disposiciones mínimas. En tanto existan brechas, las protecciones de datos relevantes podrían integrarse en nuevas leyes y regulaciones que crean el ecosistema de finanzas abiertas en el país. Quizás este enfoque no cubra todas las disposiciones mínimas relevantes, pero, con el tiempo, las leyes de finanzas abiertas o de protección de datos podrían ampliar las protecciones mínimas de datos para garantizar que se cubran las complejidades de las finanzas abiertas y que los clientes cuenten con una protección adecuada. Sólo cuando los datos de los consumidores estén adecuadamente protegidos, podrán los reguladores garantizar que un marco de finanzas abierto respalda verdaderamente a la inclusión financiera y a un ecosistema de datos inclusivo.