RESUMEN
EJECUTIVO
La digitalización ha impactado a los procesos productivos de bienes y servicios, su comercialización y consumo, en prácticamente todos los sectores económicos. La información y, específicamente, los datos personales adquieren un valor económico sin precedentes que se ve reflejado en la creación y modificación de los modelos de negocio que apuntan a la transformación digital. El sector financiero no ha sido la excepción.
Las plataformas y aplicaciones para realizar transacciones financieras, la inteligencia artificial, los servicios de cómputo en la nube, el blockchain, la biometría, entre otras tecnologías, favorecen el crecimiento y la competitividad del sector financiero y, utilizadas de manera correcta, pueden ser poderosas herramientas para reducir los riesgos derivados de la información y los registros financieros. Por ello, la importancia que se le concede a la privacidad y la protección de la persona con respecto al tratamiento de sus datos personales se ha incrementado a la par del desarrollo tecnológico.
Igual de importante es que la información de los usuarios -que es de su propiedad- pueda ser transferida de forma segura entre instituciones financieras. En el sector financiero, la transferencia de datos entre empresas favorece al usuario al permitirle acceder a servicios más cercanos a sus necesidades y niveles de riesgo. En ese sentido, la normativa mexicana considera la figura de open finance; no obstante, la regulación secundaria para que efectivamente funcione no ha sido emitida por el CNBV, retrasando sus beneficios para la ciudadanía.
Sin embargo, aún existen muchos retos en la materia de conformidad con el reporte de resultados de la ENIF 2021, elaborada por la CNBV y el INEGI, una de cada tres personas percibe que su información no se encuentra debidamente protegida. Además, de acuerdo con esta encuesta, dos de cada cinco personas no saben a dónde acudir en caso de quejas o reclamos.
A lo anterior se añade, de acuerdo con un informe elaborado por CISCO (2021), que la desconfianza en las políticas de privacidad y la protección de datos personales han tenido un impacto en la decisión de los usuarios de servicios financieros para dar por concluidas sus relaciones contractuales con proveedores de servicios bancarios y financieros. Así, no resulta sorprendente que mayores niveles de confianza en la protección de la privacidad y de los datos personales sean un elemento relevante para impulsar la inclusión financiera.
En ese sentido, la privacidad y la protección de datos personales se constituyen en un elemento esencial para que las empresas puedan operar debidamente y generar un vínculo de confianza hacia las autoridades financieras y los usuarios. La adopción de políticas que reduzcan la incertidumbre respecto del tratamiento de los datos personales y mitiguen los riesgos asociados a su utilización o procesamiento, son características esenciales de los sistemas financieros digitales. En particular, el fortalecimiento de los principios de información (o transparencia) y de responsabilidad del derecho a la protección de datos personales.
En ese contexto, este estudio se centra en el derecho a la protección de los datos personales en el sistema financiero digital, a partir de la banca electrónica, el onboarding digital y las plataformas financieras digitales. En este se analiza la pluralidad de autoridades financieras que intervienen en la supervisión, monitoreo y regulación del sistema financiero digital y la dispersión normativa, aplicables a la banca electrónica y a las plataformas de finanzas digitales. Asimismo, se pone énfasis en los retos regulatorios del ecosistema de las plataformas financieras digitales, compuesto por diversas organizaciones que proveen servicios financieros sustentados en tecnología, para aprovecharla a la vez que se garantiza la protección de datos.
En consecuencia, este panorama nos permite advertir que existen asimetrías regulatorias y dispersión normativa que, por una parte, dificulta su implementación y cumplimiento y, por la otra, permite un trato diferenciado dentro del propio sector.
Las disposiciones regulatorias emitidas específicamente para las instituciones de crédito y otras plataformas tecnológicas de servicios financieros se encuentran dispersas y establecen requisitos adicionales que, en algunos casos, pueden generar elevados costos de implementación, afectando el desarrollo del mercado de servicios financieros digitales e impidiendo en última instancia que más personas puedan contar con un producto financiero. Este es el caso de las disposiciones aplicables a la contratación tercerizada de servicios que, en aras de proteger la confidencialidad y la seguridad de la información, imponen requisitos adicionales que dificultan el desarrollo del sector financiero digital, por ejemplo, en la contratación de servicios en la nube.
Adicionalmente, en el sector financiero, los procesos de onboarding digital (captación de clientes no presenciales) requieren el uso y verificación de datos personales. En ese sentido, es recomendable revisar que la regulación relativa a estos procesos no limite su utilización en el entendido que suelen ser más seguros que los presenciales. Más aún, es importante revisar opciones de identificación digital a nivel federal que faciliten el tratamiento de datos biométricos por parte de las instituciones financieras. En este sentido, es deseable considerar la posibilidad de contar con un padrón universal de datos biométricos en México.
Ciertamente, las disposiciones legales y reglamentarias en materia de protección de datos personales en posesión de los particulares establecen pisos parejos respecto de los principios, derechos, deberes y obligaciones exigibles a cualquier responsable del tratamiento de datos personales. No obstante, como se muestra en los informes de labores presentados anualmente por el INAI (de 2015 a 2021), las mayores cuantías de multas impuestas corresponden al sector financiero y de seguros. Además, esta legislación especial en la materia del sector privado, paradójicamente, no contempla la notificación de vulneraciones a la seguridad de la información que impliquen un riesgo significativo para los titulares de los datos, al órgano garante de la protección de datos personales, esto es, al INAI. Ello, a pesar de que es la autoridad garante del debido tratamiento de la información personal (incluyendo, por supuesto, los datos financieros y patrimoniales).
En este contexto, este estudio pone de manifiesto la necesidad de adoptar políticas públicas y regulatorias que fortalezcan la implementación del derecho a la protección de datos personales en los servicios financieros digitales, sin limitar la innovación y la adopción de tecnología, como medida para fomentar la inclusión financiera, a partir de generar vínculos de confianza entre las autoridades regulatorias y los usuarios a través de políticas de privacidad y protección de datos más transparentes y accesibles. Además, por supuesto, de brindar mayor certeza y seguridad jurídica respecto de las autoridades a las que podrían acudir los usuarios en caso de alguna contingencia o incidente que afecte su esfera jurídica.
La protección de datos personales y el tratamiento autorizado de los mismos son esenciales para que las empresas operen debidamente y generen un vínculo de confianza entre las autoridades financieras y sus usuarios, elemento fundamental para fomentar la inclusión financiera.
Uno de cada tres mexicanos percibe que sus datos personales no están protegidos; porcentaje elevado ya que está en juego su identidad.
Sólo la mitad de la población considera que la institución financiera resolverá su queja o reclamación.
Dos de cada cinco personas no saben a dónde acudir en caso de quejas o reclamos; mientras que 39.3% acudiría a su institución financiera como primera instancia.
De acuerdo con el informe de CISCO (2021), 46% de las personas encuestadas considera que su privacidad y sus datos personales no son protegidos de manera eficaz, a pesar de la existencia de normativa en la materia.
En la encuesta de CISCO (2021), 37% de las personas encuestadas en México ha ejercido su derecho de acceso a sus datos personales y 25% ha solicitado la rectificación o eliminación de su información.
En el sistema financiero digital, las instituciones financieras y los usuarios realizan transacciones, revisan estados de cuenta, otorgan créditos y, administran fondos e inversiones, a través de diversos sistemas tecnológicos.
Las actividades digitales han agilizado la operación del sistema financiero mexicano, a través de la banca electrónica y las plataformas financieras digitales.
El marco normativo que regula al sector bancario y a las plataformas financieras digitales se encuentra disperso en diversos ordenamientos jurídicos, haciendo compleja su regulación y cumplimiento.
Ninguna institución financiera o empresa que realice operaciones financieras puede llevar a cabo actividades en ausencia de mecanismos que protejan los datos personales y establezcan medidas de seguridad dentro de su control interno y en sus operaciones con clientes.
La banca electrónica y las plataformas financieras digitales (reguladas y no reguladas) deben observar y cumplir con la legislación vigente en materia de protección de datos personales en posesión de los particulares.
La confidencialidad de los datos personales y, en particular, de la información financiera o patrimonial, implica que no debe ser difundida o transferida, salvo que exista un consentimiento previo por parte de los titulares de los datos personales o por disposición legal.
INTRODUCCIÓN
La digitalización ha impactado a los procesos de producción de bienes y servicios, su comercialización y consumo en prácticamente todos los sectores de la economía. La información y, específicamente, los datos personales, adquieren un valor económico sin precedentes que se ve reflejado en la creación y modificación de los modelos de negocio. El sector financiero no ha sido la excepción. El advenimiento de las plataformas y aplicaciones para realizar transacciones financieras, la inteligencia artificial, el blockchain, las criptomonedas, el cómputo en la nube y el uso de datos biométricos para la identificación y autenticación de usuarios, entre otros desarrollos tecnológicos, favorecen el crecimiento y la competitividad del sector financiero y, utilizados de manera correcta, reducen los riesgos derivados del tratamiento de datos personales y registros financieros. Por ello, la importancia que se le concede a la privacidad y a la protección de las personas con respecto al tratamiento de sus datos personales, desde la perspectiva regulatoria y de percepción de los usuarios de servicios financieros, se ha ido incrementando a la par del desarrollo tecnológico.
La era digital ha impulsado la atención en estos derechos, con el fin de establecer criterios que permitan generar equilibrios entre los beneficios de la economía digital a la vez que favorezcan la tutela de derechos fundamentales. Así como se han incrementado las disposiciones normativas y políticas en torno a la protección de datos personales, tanto de manera general como sectorial, los usuarios de servicios financieros son cada vez más conscientes de la relevancia de que su información financiera y patrimonial esté debidamente tratada y resguardada. Ello explica por qué los niveles de confianza en la protección de los datos personales se constituyen en un elemento indispensable para optar por la utilización de servicios financieros y, en su caso, mantener la relación contractual con quienes prestan estos servicios.
Así, la confianza en la protección de los datos personales, a partir del cumplimiento de los principios, deberes y obligaciones que se derivan de este derecho, los mecanismos existentes para hacerlos exigibles, al igual que las medidas proactivas que redunden en su fortalecimiento, son salvaguardias que producen efectos benéficos tanto en el interés de los prestadores de servicios financieros como el de sus usuarios. Si bien la tecnología, y en específico la prestación de servicios financieros a través de medios electrónicos, promueven la inclusión financiera; esta se ve fortalecida mediante la adopción de políticas que reduzcan la incertidumbre respecto del tratamiento de los datos personales y mitiguen los riesgos asociados a su utilización o procesamiento indebido.
Por estas razones, en este estudio se aborda el derecho a la protección de datos personales en el sistema financiero digital, concretamente en la banca electrónica, en las instituciones de tecnología financiera y plataformas financieras digitales, bajo la consideración de que su implementación no sólo representa costos de cumplimiento sino que también incide en el desarrollo del sector y, en consecuencia, en la inclusión financiera.
Para esos efectos, el estudio se compone de tres capítulos. El primero comprende los niveles de confianza y protección de los usuarios en las instituciones financieras, a partir de la información de la Encuesta Nacional de Inclusión Financiera 2021 (ENIF 2021), elaborada por la Comisión Nacional Bancaria y de Valores (CNBV) y el Instituto Nacional de Estadística y Geografía (INEGI), así como del informe elaborado por CISCO (2021) sobre percepción de la privacidad de los consumidores en ese mismo año.
El segundo capítulo presenta una visión general del sistema financiero digital, a partir de su conceptualización, los actores que regulan el sector, su marco normativo y características principales. En particular, se hace referencia a la banca electrónica y a las instituciones de tecnología financiera y plataformas financieras digitales.
El tercer capítulo aborda los conceptos fundamentales, principios, deberes y derechos de la protección de datos personales, a partir de su desarrollo normativo. También se aborda el tema del onboarding digital desde la perspectiva de seguridad y protección de datos personales. En este apartado se pone énfasis en la importancia de cumplir con los principios de transparencia y responsabilidad proactiva y demostrada de los responsables del tratamiento de datos personales, como una forma necesaria de fomentar la confianza de los usuarios en el entorno digital. Finalmente, se presentan las conclusiones y recomendaciones.
CAPÍTULO UNO
NIVELES DE CONFIANZA Y PROTECCIÓN
EN LAS INSTITUCIONES FINANCIERAS
La protección de la información relacionada con los datos personales es un elemento fundamental para reducir las brechas de acceso entre los usuarios del sistema financiero y promover la inclusión de grupos rezagados.
Uno de cada tres mexicanos percibe que sus datos personales no están protegidos; porcentaje elevado ya que está en juego su identidad.
En México, el porcentaje de personas que ejercen sus derechos de acceso, rectificación o cancelación de sus datos personales, como medio de control sobre su información personal, es significativo.
Sólo la mitad de la población considera que la institución financiera resolverá su queja o reclamación; dos de cada cinco personas no saben a dónde acudir en caso de quejas o reclamos; mientras que 39.3% acudiría a su institución financiera como primera instancia.
La desconfianza de los usuarios de servicios financieros no sólo se manifiesta en la seguridad que brindan las instituciones financieras para el resguardo de su información, sino también en la transparencia sobre cómo se utilizan sus datos personales.
Lo anterior significa que la Ciudad de México se rezaga frente a otros centros urbanos que se están posicionando como opciones más atractivas para atraer inversión en este sector.
Introducción
En este capítulo se analizan los niveles de confianza y protección de la población usuaria en las instituciones financieras a partir de los resultados de la ENIF 2021 y el estudio de CISCO (2021) sobre percepción de los usuarios o consumidores. Se analizan las variables sobre percepción de la protección de sus datos personales y la capacidad de las instituciones de resolver sus quejas y reclamaciones.
1.1. Niveles de confianza y protección de la población usuaria en las instituciones financieras
El índice de CMF (2021) muestra que México ocupa la posición 32 de los 83 países analizados, con un retroceso de dos posiciones respecto a 2020. La Ciudad de México es la concentración más importante en el país con este tipo de empresas, lo cual la coloca en la posición 48 de 264, retrocediendo 27 posiciones respecto a 2020. Lo anterior, significa que la Ciudad de México se ha quedado rezagada frente a otros centros urbanos que están posicionándose como opciones más atractivas para atraer inversión en este sector.
Si bien en el índice no se ofrece alguna explicación sobre este retroceso, la diferencia que se observa respecto a las ciudades que están ganando posiciones es que estas últimas han impulsado estrategias para impulsar la conformación de conglomerados o clústeres de empresas de finanzas digitales, principalmente mediante el diseño e implementación de un paquete de regulación flexible, así como a través de la realización de actividades de articulación o promoción empresarial. Por ejemplo, en Montevideo se realiza anualmente el Foro de Montevideo de Finanzas Digitales para vincular start ups, emprendedores, técnicos, investigadores, financiadores e instituciones académicas, interesadas en el sector.
Un aspecto que sobresale sobre el crecimiento de este sector es que no se está localizando en los centros financieros tradicionales, ni en las zonas en las que existen las aglomeraciones más importantes de empresas tecnológicas. Este aspecto es relevante porque su dinámica de crecimiento podría ser un factor que favorezca la desconcentración de la riqueza mundial. La evidencia existe, ciudades como Tokio o Dubai, tradicionalmente sobresalientes por ser centros financieros o tecnológicos, están fuera de la lista de los centros de finanzas digitales más importantes del mundo (Findexable, 2021).
Un tema interesante sobre el sector de finanzas digitales es saber cuáles son los factores que determinan su concentración geográfica en ciudades que hasta ahora no figuraban en el sector financiero. Un factor está relacionado con el acceso a capital humano especializado que se encuentra fuera de las grandes ciudades; o, que estando en ellas, está dispuesto a desplazarse a centros urbanos cercanos que ofrecen servicios públicos a precios más accesibles. Otro factor importante es la cercanía con un mercado atractivo para la oferta de servicios financieros digitales (Findexable, 2021). Es posible que los mercados con altos porcentajes de población no bancarizada (mujeres, jóvenes, microempresarios, adultos mayores, habitantes de localidades pequeñas, etc.), resulten atractivos para estas plataformas, que tienen ventajas respecto a la banca tradicional, para atender a esos segmentos de la población.
El crecimiento acelerado en la presencia de corporativos de empresas de finanzas digitales en Tel Aviv, Israel, así como en Montevideo, Uruguay, en el Índice que se presenta en el reporte (Findexable, 2021) evidencia que ciudades pequeñas o medianas pueden transformarse en líderes regionales o mundiales si cuentan con un entorno regulatorio propicio para ello. De los 83 países que conforman el índice mencionado, más de 20% son nuevos entrantes, lo cual deja claro el dinamismo que está cobrando este sector.
1.2. Seguridad de los datos personales en las instituciones financieras
En el tema de seguridad de los datos personales, cuando se cuestiona sobre si la institución financiera los tiene protegidos, 58.2% considera que sí los protegen, 32.9% que no y 8.9% que no sabe (Gráfica 1). Para el caso de mujeres, el porcentaje baja un punto porcentual, 57.5% consideran que sí los protegen, 33.1% que no y 9.5% que no saben. En el caso de los hombres, existe mayor confianza en la protección de sus datos personales, 59.1% de los entrevistados consideran que sí los protegen, 32.7% que no y 8.2% que no sabe.
Estos resultados coinciden con lo reportado por CISCO (2021). Los consumidores en general y, con ello, los clientes de servicios financieros presentan cada vez más mayor preocupación por su privacidad y por la protección de su información personal. En este estudio, que comprende un universo de 2,600 personas encuestadas de 12 países (entre ellos, México), se muestra que 32% presenta preocupación por su privacidad (en comparación con 29% que obtuvieron en la encuesta realizada el año anterior). Además, 47% de las personas interesadas en su privacidad han cambiado de empresa o proveedores debido a sus políticas o prácticas en materia de privacidad y datos personales. De ese 47%, 19% reporta que el cambio fue de proveedores de tarjetas de crédito y 18% de servicios bancarios (CISCO, 2021). 4
Gráfica 1. Población que considera que las instituciones financieras protegen sus datos personales, 2021
Fuente: Estimaciones propias con datos de la ENIF, 2021
De acuerdo con el estudio de CISCO (2021), 46% de las personas encuestadas considera que su privacidad y sus datos personales no son protegidos de manera eficaz, a pesar de la existencia de normativa en la materia. El principal motivo manifestado, que corresponde a 76% de este grupo de personas, consiste en la falta de transparencia en el tratamiento de la información; esto es, en el desconocimiento de cómo se utilizan sus datos en las prácticas comerciales. Este hallazgo pone de manifiesto que el principio de información resulta fundamental para fomentar la confianza entre los clientes o usuarios de servicios financieros, aunado al principio de responsabilidad, especialmente en la forma de comunicar los términos y políticas en el tratamiento de los datos personales.
1.3. Control sobre la información por parte de los titulares de datos personales
De conformidad con el estudio de CISCO (2021), los clientes o usuarios presentan un interés cada vez mayor por ejercer cierto poder de control sobre su propia información. Los resultados de esta encuesta señalan que del universo de personas encuestadas, 25% manifestó haber realizado consultas sobre sus datos personales y 17% solicitó alguna rectificación o eliminación de los datos.
De todos los países considerados, México ocupó el segundo lugar de personas que ejercieron este control individual, con un total de 37% en solicitudes de consultas y 25% en solicitudes de modificación o eliminación de la información personal.
1.4. Respuesta de las instituciones financieras a quejas y reclamos
En el reporte de la ENIF 2021, cuando se pregunta por la eficacia de la institución financiera para resolver sus quejas y reclamaciones, 53.3% de la población considera que sí se van a resolver, 37.7% que no y 9% que no sabe (Gráfica 2). Para el caso de las mujeres, 51.8% consideran que sí se van a resolver, 37.8% que no y 10.3% que no saben. Para el caso de los hombres, 54.9% de los entrevistados consideran que sí se van a resolver, 37.5% que no y 7.6% que no sabe.
Gráfica 2. Población que considera que se resolverán sus quejas y reclamaciones, 2021
Fuente: Estimaciones propias con datos de la ENIF, 2021
Estos resultados muestran que existe un nivel de confianza bajo en temas de seguridad en las instituciones financieras con respecto a la protección de los datos personales de los usuarios. Alrededor de 33% de los usuarios reporta desconfiar en las instituciones financieras respecto a la protección de sus datos personales. Para el caso de la resolución de quejas o reclamaciones por parte de la institución, el porcentaje sube y la desconfianza es mayor ya que 38% considera que no se va a resolver. Podemos entonces afirmar que, de todos los grupos (total, hombres y mujeres), sólo la mitad parece tener una percepción positiva de confianza en estos temas.
A partir de lo anterior, es posible enfatizar la importancia que tiene la educación financiera en México. Si existe un esfuerzo por mostrar que las instituciones financieras se encargan efectivamente de la protección de los datos personales, los usuarios no sólo comenzarán a adquirir de manera informada productos financieros acorde con sus objetivos y características, sino que podrán confiar en que su dinero y sus datos estarán protegidos.
CAPÍTULO DOS
EL SISTEMA FINANCIERO DIGITAL EN MÉXICO
El sistema financiero digital, a través de la banca electrónica y las plataformas financieras digitales, utiliza medios electrónicos y tecnologías innovadoras para la prestación y operación de servicios y productos financieros; permite el acceso remoto a operaciones financieras diversas, tales como transacciones, revisión de estados de cuenta, otorgamiento de créditos, administración de fondos e inversiones.
En las operaciones y prestación de servicios bancarios realizados a través de medios electrónicos, el marco normativo está establecido esencialmente en: (i) Código de Comercio, (ii) Ley de Instituciones de Crédito, (iii) Disposiciones de Carácter General aplicables a las Instituciones de Crédito; y, (iv) Circulares emitidas por las autoridades competentes.
La supervisión, monitoreo y regulación del sistema financiero digital está a cargo de distintas autoridades: SHCP, CNBV, CONDUSEF, BANXICO, IPAB, CNSF y CONSAR. El INAI participa en lo que atañe al derecho a la protección de datos personales. .
El marco normativo que regula al sector bancario y a las instituciones de tecnología financiera está disperso en diversos ordenamientos jurídicos, lo que hace muy compleja su implementación, cumplimiento y entendimiento.
El ecosistema de las plataformas financieras digitales está compuesto por diversas organizaciones que proveen servicios financieros a través de nuevas tecnologías, proporcionando entornos más seguros para las operaciones financieras.
La Ley para Regular las Instituciones de Tecnología Financiera únicamente reconoce dos esquemas regulatorios: (i) transferencias de fondos de pago electrónico; y, (ii) financiamiento colectivo. En consecuencia, todas aquellas empresas o servicios que quedan fuera de esta Ley pueden seguir dentro del concepto de plataformas financieras digitales, pero sin estar reguladas por esta normativa.
En el ecosistema de plataformas financieras digitales existe una diversificación en los esquemas de regulación que obstaculizan la transparencia, el ejercicio de derechos de los usuarios y la propia inclusión financiera.
Introducción
En este capítulo se aborda de manera general el sistema financiero digital, haciendo una breve referencia a su concepto, participantes y su marco normativo, diferenciando entre banca electrónica y plataformas financieras digitales.
2.1. Definición del Sistema Financiero Digital
El sistema financiero mexicano es un concepto amplio que ha tenido diferentes definiciones y perspectivas a lo largo del tiempo. Especialmente, hoy en día es complicado proporcionar una definición debido a la gran influencia de las nuevas tecnologías que desarrollan y operan actividades financieras. También encontramos que se ha definido al sistema financiero mexicano como “el conjunto de autoridades que lo regulan y supervisan; entidades financieras que intervienen en el ahorro e inversión; las instituciones de servicios complementarios, auxiliares o de apoyo a dichas entidades; así como otras entidades financieras que presten servicios integrados y entidades que limiten sus actividades a información sobre operaciones activas o prestan servicios bancarios con residentes en el extranjero”.
Otra forma de comprender el sistema financiero mexicano es entenderlo como el conjunto de personas e instituciones, privadas y públicas, que captan, administran, regulan y dirigen los recursos financieros, con la finalidad de introducirlos en el mercado para su negociación, dentro del marco jurídico vigente aplicable. En ese sentido, el objetivo principal del sistema financiero mexicano es la captación del dinero ahorrado para ponerlo a disposición de quien lo necesite; así como de captar, administrar y dirigir el ahorro para inversión o gasto.
Sin embargo, podemos observar que este concepto no toma en cuenta la incorporación de la tecnología en las transacciones financieras, y tampoco incluye a las instituciones de tecnología financiera, plataformas de finanzas financieras digitales, así denominadas por ofrecer productos y servicios financieros a través de la tecnología, aplicaciones o plataformas. Es decir, no se incluye a todos los servicios financieros digitales.
A través de estas plataformas, las instituciones y usuarios pueden acceder a los diversos sistemas tecnológicos digitales para realizar operaciones financieras. Por ejemplo, efectuar transacciones, revisar estados de cuenta, otorgar créditos, administrar fondos e inversiones, entre otras operaciones. Este tipo de actividades digitales ha agilizado la operación del sistema financiero mexicano, especialmente, dentro de los sectores bancarios a través de la banca electrónica y las plataformas financieras digitales, pues las instituciones y empresas pertenecientes a estos sectores han podido implementar plataformas electrónicas que facilitan la consecución de actividades financieras de forma remota.
El sistema financiero digital a través de las plataformas financieras digitales y la banca electrónica utilizan medios electrónicos y tecnologías novedosas para la prestación y operación de servicios y productos financieros. En ese sentido, esta industria de tecnología financiera, por su naturaleza, debe ser supervisada, monitoreada y regulada por diferentes autoridades (CNBV, CONDUSEF, BANXICO, CNSF y CONSAR). Para que aquellas instituciones puedan llevar a cabo sus operaciones y actividades, es necesario que mantengan un estricto cumplimiento normativo, de interés público, en beneficio de la economía individual y colectiva, así como de la protección de los usuarios, clientes y terceros.
Adicionalmente, la protección de datos personales es esencial para que las empresas relacionadas con este ecosistema puedan operar debidamente y generen un vínculo de confianza entre las autoridades financieras y los usuarios, elemento fundamental para el desarrollo de este sector.
2.2. Actores que regulan el sector
El funcionamiento del Sistema Financiero Mexicano está condicionado por los diferentes participantes que lo monitorean y regulan, con la finalidad de cuidar su correcta operatividad y desarrollo. Las principales autoridades del Sistema Financiero Mexicano son: (i) Secretaría de Hacienda y Crédito Público (SHCP); (ii) Banco de México (BANXICO); (iii) Comisión Nacional Bancaria y de Valores (CNBV); (iv) Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF); (v) Instituto para la Protección del Ahorro Bancario (IPAB); (vi) Comisión Nacional de Seguros y Fianzas (CNSF); y, (vii) Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR).
En lo que respecta específicamente al derecho a la protección de datos personales también se debe considerar al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), como ente regulador especializado del sector financiero en la materia. Como se desarrollará en el siguiente capítulo, existe un marco normativo específico relativo a este derecho. La existencia de distintas autoridades reguladoras, por una parte las que corresponden al sector bancario y financiero y, por la otra, el INAI como garante del derecho a la protección de datos personales, hace necesario implementar mecanismos efectivos que permitan su coordinación y colaboración estrecha, a fin de brindar una protección más transparente, ágil y consistente, que redunde en beneficio y claridad de las acciones con las que cuentan los clientes o usuarios de los servicios bancarios y financieros para la defensa de sus intereses.
2.3. Marco normativo
En México, el marco normativo que regula al sector bancario y a las instituciones de tecnología financiera se encuentra en diversos ordenamientos jurídicos. Por un lado, al sector bancario se aplican, principalmente, las siguientes leyes y sus respectivos reglamentos y circulares: (i) Ley de Instituciones de Crédito; (ii) Ley del Banco de México; (iii) Ley de Protección al Ahorro Bancario; y, (iv) Ley de la Comisión Nacional Bancaria y de Valores.
Para el sector de tecnología financiera, se aplica la Ley para Regular las Instituciones de Tecnología Financiera, únicamente regulando las siguientes actividades: (i) transferencias de fondos de pago electrónico; y, (ii) financiamiento colectivo. A las plataformas financieras digitales que realicen otras actividades se les aplican las disposiciones relacionadas a sus actividades y objeto social.
Tratándose de regulación concerniente al uso y protección de datos personales, cuando el responsable del tratamiento de estos sea una entidad gubernamental, le corresponde la aplicación de la Ley General de Datos Personales en Posesión de Sujetos Obligados; y, para el caso en que el tratamiento de datos personales se realice a través de particulares, se aplica la Ley Federal de Datos Personales en Posesión de Particulares.
Cabe mencionar que en el Sistema Financiero Digital mexicano también existe la posibilidad tanto como para ser proveedor de servicios y productos financieros como para acceder a estos por conducto de otras instituciones financieras reguladas con base en su sector y actividad principal. Por ejemplo, en materia de ahorro y crédito popular existen instituciones como las Sociedades Financieras Populares (SOFIPO), las Sociedades Cooperativas de Ahorro y Préstamo (SOCAP) y las Sociedades Financieras Comunitarias (SOFINCO), que pueden implementar infraestructuras tecnológicas para ofrecer sus productos y servicios financieros de manera digital. Otro ejemplo son las Sociedades Financieras de Objeto Múltiple (SOFOM), transmisores de dinero (encargadas de realizar, principalmente, transferencia de remesas), casas de bolsa, entre otras, cuyos servicios pueden ser realizados de manera digital.
No obstante, para que aquellas instituciones puedan ofrecer sus servicios y productos financieros de manera electrónica, por ejemplo, apertura de cuentas no presenciales, consulta de saldos y transferencias electrónicas, es necesario que cumplan con determinadas disposiciones en materia de identificación al cliente, factores de autenticación, protección antilavado de dinero, protección de datos y seguridad de la información. Para el sector de ahorro y crédito popular, la normativa aplicable en materia de tecnología financiera está establecida en la Ley de Ahorro y Crédito Popular y en las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular. Por su parte, para las instituciones auxiliares de crédito se tienen diferentes regulaciones derivadas de la Ley de Organizaciones y Actividades Auxiliares de Crédito.
2.4. Banca Electrónica
La banca electrónica, o banca digital, se define en las Disposiciones de Carácter General aplicables a las Instituciones de Crédito conocidas como la Circular Única de Bancos (CUB). En esta, se define la banca electrónica como “el conjunto de servicios y operaciones bancarias que las instituciones realizan con sus usuarios a través de medios electrónicos”. Otra acepción del término comprende la digitalización completa de las operaciones y transacciones de los bancos y todas sus actividades, programas y funciones. Dicha banca se encuentra segmentada con base en los diferentes servicios y herramientas que utilizan para ofrecer productos y servicios específicos. En otras palabras, se refiere a los paquetes de herramientas bancarias con las que las instituciones financieras facilitan la interacción con sus clientes a través de dispositivos y plataformas digitales móviles.
2.4.1. Características de la Banca Electrónica
De acuerdo con la CUB, los bancos tienen la facultad de pactar la celebración de sus operaciones y la prestación de servicios con el público, a través de servicios de banca electrónica. Sin embargo, para que esto sea posible, estas tecnologías deben cumplir ciertas características, así como el cumplimiento de requisitos y obligaciones por parte de las instituciones de crédito que las operen. En principio, las operaciones y servicios deberán ser proporcionados a través de medios electrónicos (equipos, medios ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean públicos o privados).
2.4.2. Marco normativo de la Banca Electrónica
El marco normativo de operaciones y prestación de servicios bancarios realizados a través de medios electrónicos está establecido en los siguientes instrumentos.
(a) Código de Comercio: dedica el título segundo al comercio electrónico y en este se establecen las bases de su regulación y la posibilidad de usar los registros electrónicos como medio de prueba (artículos 89-114).
(b) Ley de Instituciones de Crédito: establece el uso de la firma electrónica avanzada o cualquier otra autenticación que podrán, las instituciones de crédito y los clientes, pactar para la celebración de sus operaciones y la prestación de servicios con el público mediante el uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos (art. 52). También se regula la posibilidad de que los clientes puedan autorizar a terceros para que hagan disposiciones en efectivo y aceptar préstamos y crédito a través de medios electrónicos ópticos o de cualquier otra tecnología (art. 57).
(c) Disposiciones de Carácter General aplicables a las Instituciones de Crédito: regulan, en el capítulo X, sección cuarta, el uso del servicio de banca electrónica.
(d) Circulares emitidas por las autoridades competentes: como la Circular 3/2012, emitida por BANXICO y que se refiere a las disposiciones aplicables a las operaciones de las instituciones de crédito, las sociedades financieras de objeto múltiple reguladas que mantengan vínculos patrimoniales con instituciones de crédito y la financiera nacional de desarrollo agropecuario, rural forestal y pesquero.
2.5. Instituciones de tecnología financiera y plataformas financieras digitales
El concepto de tecnología financiera, (FinTech y plataformas financieras digitales) proviene de dos palabras: Finance y Technology; se refiere al software y otras tecnologías modernas utilizadas por instituciones o empresas que ofrecen y brindan servicios financieros automatizados y mejorados. En ese sentido, el ecosistema de las plataformas financieras digitales está compuesto por diversas organizaciones que proveen servicios financieros sustentados en tecnología que proporciona entornos y plataformas digitales para sistematizar sus operaciones.
Cabe destacar que el concepto de las plataformas financieras digitales comprende un ecosistema de diferentes empresas que ofrecen diversos servicios financieros, como medios de pago y transferencias; infraestructura para servicios financieros; organización digital de créditos; financiamiento colectivo (crowdfunding); criptoactivos; y, blockchain, entre otros.
2.5.1. Características del ecosistema financiero digital
Por primera vez en México se emitió un instrumento normativo para regular las instituciones de tecnología financiera. El 9 de marzo de 2018 se publicó en el Diario Oficial de la Federación la Ley para Regular las Instituciones de Tecnología Financiera (LRITF) con el propósito primordial de facilitar y hacer más accesibles los productos y servicios financieros.
En principio, es fundamental distinguir entre aquello que la LRITF regula y aquello que no está dentro de su ámbito de aplicación. La LRITF únicamente reconoce dos tipos de instituciones de tecnología financiera que pueden entrar bajo los distintos esquemas regulatorios: (i) transferencias de fondos de pago electrónico; y, (ii) financiamiento colectivo. Así, todas aquellas empresas o servicios que quedan fuera de la LRITF pueden seguir dentro del concepto de plataformas financieras digitales, pero sin estar reguladas por la normativa específica de la LRITF.
El concepto plataformas financieras digitales se emplea para describir tecnologías que buscan mejorar y automatizar el servicio y operación de productos financieros. Es decir, este concepto hace referencia a un ecosistema digital económico, conformado por empresas que usan tecnologías como internet, plataformas digitales, aplicaciones, algoritmos, big data, etc., para ofrecer servicios financieros a un menor costo y de manera eficiente, ágil, cómoda y confiable.
Existen diferentes tipos de plataformas financieras digitales, dependiendo de los productos y/o servicios que ofrecen. En esencia, existen, entre otros, los siguientes: (i) medios de pago y transferencias; (ii) infraestructura para servicios financieros; (iii) soluciones financieras para empresas; (iv) finanzas personales y asesoría financiera; (v) mercados financieros; (vi) crowdfunding; (vii) criptomonedas; y, (viii) blockchain.
2.5.2. Finanzas abiertas en México - Interfaces de Programación Estandarizada
Uno de los temas de gran relevancia de la LRITF es la banca abierta. La banca abierta, también conocida como open banking u open finance, es un concepto que, en función del ordenamiento jurídico que lo trate, el tipo de instituciones que intervengan, así como el tipo de datos y su tratamiento, puede llegar a ser difuso.
De acuerdo con CECOBAN, la única institución que cuenta con la autorización por parte de BANXICO para proporcionar los servicios de Cámara de Compensación Electrónica Nacional, el concepto de open banking puede ser definido como un movimiento de innovación financiera que permite a los consumidores autorizar de forma segura la entrega de su información bancaria a terceros. Al respecto, en México, este movimiento tiene lugar en el uso de Interfaces de Programación de Aplicaciones (API, por sus siglas en inglés), para que terceros, normalmente proveedores o corresponsales de servicios financieros, accedan de forma segura y controlada a información de las entidades bancarias y/o financieras como saldos, movimientos, productos, etc.
En ese sentido, la regulación en México respecto de la banca abierta tiene la finalidad de estandarizar y asegurar la transferencia de datos para que las empresas proveedoras de servicios y productos financieros (IFPE, IFC, transmisores de dinero, etc.) puedan ofrecer productos o servicios innovadores y con mayor grado de especialización según la información de los usuarios o clientes.
Diferentes gobiernos e instituciones en el mundo están aprovechando la digitalización del sector financiero, así como la innovación, las nuevas tecnologías y el acceso a la información para generar soluciones bancarias modernas, más inclusivas y eficientes. Con el open finance, las personas tienen mucho mayor control y habilidad para manejar, mover y hacer crecer su dinero de forma fácil, rápida y segura. Asimismo, el open finance permite la creación de soluciones financieras más inclusivas y que pueden permitir que millones de personas tengan acceso a un producto o servicio financiero por primera vez. En tanto, plataformas de finanzas digitales e instituciones financieras pueden llegar a nuevos clientes.
En México, la regulación de la banca abierta está establecida en los artículos 76 y 77 de la LRITC. El artículo 76 establece la obligación a las entidades financieras, a los transmisores de dinero, a las sociedades de información crediticia, a las cámaras de compensación, a las ITF y a las sociedades autorizadas para operar con modelos novedosos a establecer interfaces de programación API que posibiliten la conectividad y acceso de otras interfaces desarrolladas o administradas por estos sujetos y terceros especializados en tecnologías de la información, con la finalidad de compartir datos abiertos, datos agregados y datos transaccionales.
El modelo anterior obliga a determinadas entidades del sistema financiero, de distintas figuras, a establecer API para el intercambio de información entre ellas y así generar diversos beneficios para los usuarios de servicios financieros y brindar mayor control a estos en lo que respecta al uso de su información.
Dada la naturaleza y relevancia de los datos que se pondrían a disposición del resto de entidades obligadas y de terceros, la LRTIF establece que se deberá interrumpir el acceso a estos cuando: (i) el titular retire su consentimiento; (ii) existan vulnerabilidades que pongan en riesgo la información de los clientes; y, (iii) el tercero incumpla con los términos y condiciones que se hayan pactado en el intercambio. La misma ley indica que cualquier interrupción al acceso de datos deberá notificarse a las autoridades financieras correspondientes en un plazo no mayor a 2 horas posteriores a la incidencia.
Esta combinación de definiciones de bienes y servicios, jugadores en el mercado, tecnologías utilizadas por los participantes y actores reguladores, a la que se le añade una dispersión de reglamentos y circulares emitidas por las distintas instituciones financieras (BANXICO, SHCP, CNBV, CONDUSEF, entre otras) hacen compleja su regulación, implementación y cumplimiento.
Por ello, la misma LRTIF estableció un plazo de 24 meses a partir de su publicación para que los reguladores emitieran la regulación secundaria correspondiente a open finance, conforme al artículo 76 de dicha Ley. No obstante, a cinco años de la entrada en vigor de la Ley, dicha regulación no ha sido emitida.
Todo ello genera confusiones, tanto en los oferentes como en los demandantes de estos servicios financieros digitales. Por un lado, los oferentes que ofrecen un producto o servicio no necesariamente enfrentan los mismos esquemas de regulación. Por el otro, desde la óptica de los demandantes no queda claro a quién acudir en caso de queja o reclamación. Es por ello por lo que la emisión de la regulación secundaria en materia de open finance debe ser una prioridad para los reguladores.
Existen diversos temas que habrán de discutirse e incluirse en la regulación secundaria. En primer lugar, la regulación habrá de establecer especificaciones claras sobre API y estandarización de datos, proporcionando un alcance y formatos detallados para el intercambio de datos, incluidos los controles de seguridad y privacidad de la información, respetando la propiedad del usuario. Deberá también establecer niveles mínimos de información que deben ponerse a disposición y las especificaciones de cómo deben compartirse. La definición de normas es determinante para minimizar incentivos para no cumplir con los estándares y lograr la implementación de un ecosistema completo y efectivo de open finance. Por ello, también es importante que la regulación fije mecanismos de resolución de conflicto y sanciones claras por interrupciones.
Asimismo, deberán establecerse requisitos mínimos que aseguren una experiencia de usuario sin fricciones y la concesión fácil e informada (i.e. minimizar el número de clics), con el fin de que los usuarios participen y se beneficien del intercambio de datos.
Finalmente, en cuanto a la fijación de tarifas, la regulación habrá de establecer mecanismos claros y competitivos para su fijación.
Para lograr un diseño e implementación adecuado de la normativa, la cooperación del sector es vital, por ello deben conformarse grupos multipartitos de toma de decisiones, asistidos por Banxico y la CNBV, que fomenten y permitan la participación de los integrantes del mercado (tanto bancos como empresas de finanzas digitales) en el desarrollo de reglas y normas. Esto puede ayudar a anticipar/resolver problemas técnicos.
Más aún, para asegurar que dicha regulación no limite la innovación y proteja los intereses de los usuarios, es recomendable construir un diálogo entre el regulador y los distintos actores involucrados (bancos, plataformas de finanzas digitales, proveedores de servicios de análisis de datos, etc.). Igual de importante es considerar la implementación escalonada por fases de la regulación para garantizar su aplicación gradual y segura, sin exponer al sistema financiero a riesgos innecesarios. Además, es importante que los requisitos considerados en la normativa estén basados en mejores prácticas internacionales en la materia, como el caso de Brasil y el de Reino Unido.
2.5.3. Instituciones Reguladas por la LRITF
2.5.3.1. Instituciones de Financiamiento Colectivo (IFC)
De acuerdo con lo dispuesto por el artículo 15 de la LRITF, las IFC son personas morales que pueden realizar actividades destinadas a poner en contacto a personas del público en general, con la finalidad de que entre ellas se otorguen financiamientos mediante alguna de las operaciones señaladas en el artículo 16 del citado ordenamiento (financiamiento colectivo de deuda, financiamientos de capital y financiamiento colectivo de copropiedad o regalías), realizadas de manera habitual y profesional, a través de comunicación electrónica o digital.
2.5.3.2. Instituciones de Fondo de Pago Electrónico (IFPE)
Conforme al artículo 22 de la LRITF, estas son personas morales autorizadas por la CNBV para prestar de forma habitual y profesional los servicios de emisión, administración, redención y transmisión de fondos de pago electrónicos, a través de aplicaciones informáticas, interfaces, páginas de internet o cualquier otro medio de comunicación digital o electrónica.
2.5.3.3. Otras Figuras
De acuerdo con la LRITF, un modelo novedoso es aquel que para la prestación de servicios financieros utilice herramientas o medios tecnológicos con modalidades distintas a las existentes en el mercado, al momento en que se otorgue la autorización temporal en términos de la LRITF. Existen dos tipos de modelos novedosos en función de la naturaleza de las organizaciones que las desarrollan.
Por un lado, los modelos novedosos en instituciones no supervisadas y que pueden ser personas morales constituidas conforme a la legislación mercantil mexicana, distintas a las instituciones de tecnología financiera reguladas. Por otro lado, modelos novedosos en entidades financieras reguladas o sujetas a la supervisión de las autoridades financieras como Bancos, SOFOM, SOFIPO, Casas de Bolsa, entre otras.
El sistema financiero digital, en los últimos años, ha cobrado relevancia en el sector de ahorro y crédito popular, debido a que cuentan con regulaciones y disposiciones menos estrictas que el sector bancario. Un ejemplo de lo anterior son las Sociedades Financieras Populares (SOFIPO) y las Sociedades Financieras de Objeto Múltiple (SOFOM) que han tenido impacto en el desarrollo de plataformas financieras electrónicas que facilitan la inclusión financiera de la población en su conjunto. Se regulan en la Ley de Ahorro y Crédito Popular y en la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo. La principal función de estos ordenamientos es regular la actividad financiera que apoya micro, pequeñas y medianas empresas, comunidades y población que no cuenten con los requisitos que exigen las instituciones bancarias, para lo que requieren autorización y supervisión por parte de la CNBV.
2.6. Sociedades Financieras Populares (SOFIPO)
Las SOFIPO son sociedades anónimas que pueden realizar operaciones activas y pasivas de manera análoga a una institución de banca múltiple, pero en cantidades menores, tienen la facultad de prestar servicios financieros como depósitos, préstamos y créditos, emitir tarjetas de débito y crédito, entre otras, dependiendo de su nivel de operación otorgado por la CNBV.
2.6.1. Seguridad de la información y tecnologías de la información
Para que una SOFIPO pueda ofrecer productos y servicios financieros digitales es necesario que: (i) implemente un Programa General de Operación donde se describa el modelo de operatividad, desarrollo y ejecución; y, (ii) cumplir con ciertas autorizaciones para operar plataformas tecnológicas donde ofrezcan sus servicios y productos financieros. Este programa debe contener programas de contingencia y seguridad así como medidas o mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información a través de medios electrónicos.
Adicionalmente, las SOFIPO deben cumplir con las obligaciones establecidas en las Disposiciones de Carácter General (DCG) a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, para poder realizar contrataciones y ofrecer productos y servicios de manera digital. Dentro de estos requisitos, están los siguientes:
✔ Para recibir aportaciones de capital social y apertura de cuentas de depósito de manera digital cuya suma de los abonos en el transcurso de un mes calendario que no exceda el equivalente en moneda nacional a 30,000 Unidades de Inversión (UDI) o quieran ofrecer líneas de crédito o monto otorgado no mayor a 60,000 UDI, deberán implementar un mecanismo que permita identificar al solicitante mediante una grabación que contenga imagen y sonido y avisar a la CNBV.
✔ Para recibir aportaciones de capital social y apertura de cuentas de depósito de manera digital cuya suma de los abonos en el transcurso de un mes calendario que no exceda el equivalente en moneda nacional a 60,000 UDI o quieran ofrecer líneas de crédito o monto otorgado no mayor a 100,000 UDI, deberán implementar una tecnología que permita verificar la coincidencia de la información biométrica del solicitante, ya sea con los registros del Instituto Nacional Electoral, de la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, así como que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido, previa autorización especial emitida por la CNBV.
✔ Si se superan los montos máximos establecidos, se deberá realizar una entrevista presencial al cliente e integrar su expediente de identificación con la totalidad de la información y documentación que corresponda.
2.7. Sociedades Financieras de Objeto Múltiple
Otro de los sectores que ha tenido influencia relevante en el sistema financiero digital es el de los intermediarios financieros no bancarios. En principio, los intermediarios financieros no bancarios, conforme a la Ley de Instituciones de Crédito, son todas aquellas instituciones financieras reguladas que tienen la finalidad de colocar financiamiento. No obstante, estas están impedidas por sus respectivos ordenamientos jurídicos para realizar las actividades de banca y crédito. Estas actividades, según lo dispuesto en el artículo 2 de la Ley de Instituciones de Crédito, son la captación de recursos del público en el mercado nacional para su colocación en el público, mediante actos causantes de pasivo directo o contingente, quedando el intermediario obligado a cubrir el principal y, en su caso, los accesorios financieros de los recursos captados. Es decir, no pueden recibir recursos del público, no necesitan obtener la autorización de la SHCP para constituirse, aunque deben tener la opinión favorable de la CNBV.
La relevancia de este sector en el aceleramiento de la digitalización del sistema financiero mexicano tiene raíz en la pandemia COVID-19. Uno de los efectos de la pandemia fue la necesidad de varias pequeñas y medianas empresas de acceder a créditos para evitar la insolvencia o pérdidas significativas de capital. En ese sentido, dentro de las instituciones que impulsaron sus desarrollos tecnológicos para poder ofrecer productos y servicios financieros a estas empresas fueron las SOFOM, mismas que pertenecen al sector de intermediarios financieros no bancarios.
2.7.1. Concepto de SOFOM ER y SOFOM ENR
Las Sociedades Financieras de Objeto Múltiple son entidades financieras reguladas por la Ley de Organizaciones y Actividades Auxiliares de Crédito. Esencialmente, son sociedades anónimas que cuentan con un registro vigente ante la CONDUSEF, y cuyo objeto social principal es la realización habitual y profesional de una o más de las actividades de otorgamiento de crédito, arrendamiento financiero o factoraje financiero.
Las SOFOM son entidades financieras que pueden ser “Reguladas” (SOFOM ER) o “No Reguladas” (SOFOM ENR). Por un lado, con el Decreto por el que se reformaron, adicionaron y derogaron diversas disposiciones en materia financiera publicado el 10 de enero de 2014 en el Diario Oficial, se incorporó la figura jurídica de las Sociedades Financieras de Objeto Múltiple Reguladas. Esta figura hace referencia a aquellas entidades financieras que mantienen vínculos patrimoniales con otras entidades financieras reguladas como las SOFIPO, SOFINCO, SOCAP e Instituciones de Crédito. Asimismo, se agregan a este régimen aquellas SOFOM que para fondear sus operaciones emitan valores de deuda inscritos en el Registro Nacional de Valores conforme a la Ley del Mercado de Valores. Todas las SOFOM que no actualicen ninguno de los requisitos y supuestos señalados para las SOFOM ER, entonces serán SOFOM ENR.
Un beneficio de crear una SOFOM es que no se requiere autorización del gobierno federal para realizar una o más actividades de otorgamiento de crédito, arrendamiento financiero y factoraje financiero, y se tienen las ventajas fiscales y procesales que actualmente tienen las arrendadoras financieras, las empresas de factoraje financiero y las sociedades financieras de objeto limitado. Lo anterior, con el fin de tener mayor efecto promotor en el crédito, mayor competencia, menores costos de operación y, por ende, menores tasas de interés para el consumidor.
2.7.2. Marco Normativo
Las disposiciones que por su propia naturaleza le resultan aplicables a las SOFOM Reguladas son aquellas que, de acuerdo al tipo de entidad financiera con la cual tiene vínculo patrimonial y adquieren su carácter de reguladas. En ese sentido, a las SOFOM ER, que tengan un vínculo patrimonial con una Institución de Crédito, le resultará aplicable la Ley de Instituciones de Crédito. En efecto, la regulación en materia de seguridad de la información de este tipo de SOFOM está reglamentada por ordenamientos jurídicos distintos que, los principales, ya fueron mencionados en la presente investigación (SOFIPO e Instituciones de Crédito).
Por su parte, la protección y defensa de la seguridad de la información del público usuario de los servicios que preste la SOFOM ENR en plataformas digitales está a cargo de la CNBV y CONDUSEF, con base en la Ley General de Organizaciones y Actividades Auxiliares del Crédito y las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-B (DCG SOFOM), entre otras de carácter general aplicables a los proveedores de servicios financieros y protección de los usuarios de los servicios financieros (Ley para la Transparencia y Ordenamiento de los Servicios Financieros y la Ley de Protección y Defensa al Usuario de Servicios Financieros).
2.7.3. Seguridad de la información
Entre las obligaciones más relevantes en materia de seguridad de la información de las SOFOM, se encuentran las siguientes.
2.7.3.1. Sistemas Automatizados
El artículo 43 de la DCG SOFOM establece que cada SOFOM, como parte de su infraestructura tecnológica, deberá contar con sistemas automatizados que realicen, entre otras actividades y funciones:
I. Conservar y actualizar, así como permitir la consulta de los datos relativos a los registros de la información y de identificación de cada cliente;
II. Generar y transmitir de forma segura a la SHCP, por conducto de la CNBV, la información relativa a los reportes de operaciones relevantes, operaciones inusuales y operaciones internas preocupantes;
III. Detectar y monitorear las operaciones realizadas por un mismo cliente, o por un mismo usuario de los señalados en la 14ª, 15ª y 16ª de las Disposiciones, así como aquellas previstas en la fracción IV de la 30ª de estas Disposiciones;
IV. Ejecutar el sistema de alertas contemplado en la regla 21ª de las presentes Disposiciones;
V. Bis. Contribuir a la detección, seguimiento y análisis de las posibles operaciones inusuales y operaciones internas preocupantes, considerando al menos, la información que haya sido proporcionada por el cliente al inicio de la relación comercial, los registros históricos de las operaciones realizadas por este, el comportamiento transaccional, los saldos promedio y cualquier otro parámetro que pueda aportar elementos para el análisis de este tipo de operaciones;
VI. Agrupar en una base consolidada los diferentes contratos de un mismo cliente, a efecto de controlar y dar seguimiento integral a sus saldos y operaciones;
VII. Conservar registros históricos de las posibles operaciones inusuales y operaciones internas preocupantes; y,
VIII. Mantener esquemas de seguridad de la información procesada, que garanticen la integridad, disponibilidad, auditabilidad y confidencialidad de la misma.
2.7.3.2. Confidencialidad de la información
El Artículo 44 de la DCG establece que los miembros del Comité, el Oficial de Cumplimiento, así como los directores, dignatarios, empleados y apoderados de las SOFOM, según sea el caso, deberán guardar absoluta confidencialidad respecto de la información relacionada con los informes previstos en la DCG SOFOM, salvo que lo solicite la SHCP, a través de la CNBV y demás autoridades expresamente autorizadas para ello.
2.7.3.3. Protección al Usuario y Transparencia
En el Artículo 50 Bis de la Ley de Protección y Defensa al Usuario de Servicios Financieros, se establece que cada SOFOM deberá contar con una Unidad Especializada cuya finalidad será la atención de consultas y reclamos de los usuarios. Las SOFOM deberán informar mediante avisos colocados en lugares visibles de todas sus sucursales, la ubicación, horario de atención y persona o personas a cargo de la Unidad Especializada.
CAPÍTULO TRES
PROTECCIÓN DE DATOS PERSONALES
Ninguna institución o empresa financiera puede llevar a cabo actividades en ausencia de mecanismos que protejan los datos personales de sus usuarios.
La banca electrónica y las instituciones de tecnología financiera (reguladas y no reguladas) deben observar y cumplir la legislación vigente en materia de protección de datos personales.
El derecho a la protección de datos personales es un derecho humano, autónomo, interrelacionado con el derecho a la vida privada (Constitución Política de los Estados Unidos Mexicanos, artículos 6, Apartado A y 16).
Cualquier entidad financiera privada que realiza operaciones financieras se encuentra sujeta a los términos de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, su Reglamento y demás disposiciones en la materia.
Las instituciones de crédito y empresas que realizan operaciones financieras utilizan distintas categorías de datos personales: (i) identificación (nombre, domicilio, teléfono, etc.); (ii) geolocalización de dispositivos para operaciones financieras; (iii) identificación y autenticación en el entorno digital (huella digital o reconocimiento facial); y, (iv) de carácter financiero o patrimonial.
El INAI ha emitido diversas guías y recomendaciones dirigidas al sector privado que orientan a los responsables del tratamiento de datos personales en el cumplimiento de sus obligaciones y les brindan la posibilidad de adoptar mejores prácticas. Se trata de herramientas útiles para regular de manera flexible y dinámica el tratamiento de datos personales.
EL INAI emitió un criterio general para enfatizar que el “número de cuenta bancaria y/o CLABE interbancaria de personas físicas privadas o morales es confidencial”
La confidencialidad de los datos personales y, en particular, de la información financiera o patrimonial, implica que no debe ser difundida o transferida, salvo que exista un consentimiento previo por parte de los titulares de los datos personales o por disposición legal.
Según cifras del INAI, existe una tendencia relativamente creciente entre los titulares de datos personales para promover el procedimiento de protección de derechos conforme a la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
Todas las instituciones y organizaciones (cámaras de compensación, transmisores de dinero, agregadores de pago, entre otras) que intervengan en los medios de pago para la operación en SPEI por parte de ITF, API y banca electrónica deben ajustarse a lo señalado por la Ley Federal de Protección de Datos Personales en Posesión de Particulares y a los lineamientos de carácter general emitidos por el INAI.
Los principios de información (transparencia) y responsabilidad cobran especial relevancia en el entorno digital.
A pesar de su complejidad y de los altos costos de implementación, el principio de responsabilidad genera confianza entre los clientes y usuarios, poniendo énfasis en la prevención de riesgos y en la adopción de medidas proactivas por parte del responsable del tratamiento de datos personales.
De conformidad con la Ley Federal de Protección de Datos Personales en Posesión de Particulares y su Reglamento, sólo es obligación de las instituciones financieras notificar vulneraciones de seguridad a los titulares de los datos personales, pero no al INAI.
El uso de tecnología que permite la identificación y verificación remota del cliente (onboarding digital) para ofrecer productos y servicios financieros es un elemento importante para promover la inclusión financiera ya que permite abrir cuentas y acceder a servicios financieros sin necesidad de ir a la sucursal, esta tecnología también se usa para prevenir y mitigar operaciones fraudulentas y de lavado de dinero.
El onboarding digital requiere un uso intensivo de datos personales y de datos personales sensibles, así como de tecnología. La protección de los datos personales es el elemento clave en este proceso. Sin embargo, su regulación no debe limitar la regulación ni el desarrollo tecnológico.
Existen importantes barreras regulatorias que dificultan la contratación de servicios de cómputo en la nube por parte de las instituciones de crédito y las ITF, especialmente cuando estos servicios los prestan empresas extranjeras.
Introducción
En este capítulo se abordan los conceptos fundamentales, principios, deberes y derechos de la protección de datos personales, a partir de su desarrollo normativo, tanto en disposiciones aplicables de manera transversal a cualquier responsable del tratamiento de datos personales, como en las disposiciones jurídicas de carácter sectorial. Asimismo, en este capítulo se destaca la importancia de proteger la privacidad y la información personal, a fin de promover la confianza en los clientes o usuarios de servicios financieros y dar cumplimiento a la normativa aplicable en la materia.
3.1. El derecho a la protección de datos personales
El derecho a la protección de datos personales se encuentra reconocido como un derecho humano, autónomo, aunque interrelacionado con el derecho a la vida privada, por la Constitución Política de los Estados Unidos Mexicanos, en sus artículos 6, Apartado A y 16. En términos de la Suprema Corte de Justicia de la Nación, la legislación que lo desarrolla tiene como propósito garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
Así, ninguna institución o empresa que realice operaciones de naturaleza financiera puede llevar a cabo y desarrollar su objeto y actividades en ausencia de mecanismos que protejan los datos personales y establezcan medidas de seguridad dentro de su control interno y en sus operaciones con clientes. En efecto, tanto los bancos que efectúen actividades a través de la banca electrónica como las empresas de tecnología financiera (reguladas y no reguladas), deben observar y cumplir con la legislación vigente imperante en protección de datos personales.
Desde la perspectiva de las instituciones financieras y las empresas que realizan operaciones con actividades financieras, el derecho a la protección de datos personales se manifiesta en el cumplimiento de los principios, deberes y obligaciones para el debido tratamiento de los datos personales. En este sentido, existen dos vertientes principales para la protección de datos personales. Primero, el funcionamiento interno de las ITF y de los bancos, así como de los servicios prestados en particular. Segundo, el análisis del tratamiento de datos personales derivado de los sistemas de transferencias, interfaces y plataformas digitales de programación de aplicaciones informáticas estandarizadas que posibilitan la conectividad y acceso de terceros a la información propia y de los clientes.
Por su parte, por lo que se refiere a la perspectiva de las personas titulares de los datos personales, el derecho se concreta en la posibilidad de exigir el debido tratamiento de su información personal y en el poder de decidir y controlar el uso y transferencia de sus datos personales; esto es, en su capacidad de autodeterminación informativa, a través del ejercicio de los llamados “derechos ARCO” (acceso, rectificación, cancelación y oposición).
3.2. Normativa general en materia de datos personales
Ahora bien, con base en estas disposiciones constitucionales, el Congreso de la Unión emitió en 2010 la vigente Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), aplicable a cualquier persona física o moral que trate datos personales. En 2011, el Ejecutivo emitió su Reglamento y, con posterioridad, estas disposiciones han sido complementadas con criterios específicos, guías y recomendaciones sobre el Aviso de Privacidad, Parámetros de Autorregulación en materia de Protección de Datos Personales, tratamiento de datos biométricos, manejo de incidentes de seguridad, análisis de riesgo, contratación de servicios de cómputo en la nube, utilización de sistemas de Inteligencia Artificial, implementación de sistemas de gestión de seguridad de datos personales, entre otros.
Ello implica que cualquier entidad que realiza operaciones financieras (con excepción de aquellas que pertenecen al sector público pues a estas les resulta aplicable la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados) se encuentra sujeta a los términos de manera general de la LFPDPPP, su Reglamento y demás disposiciones en la materia. Ello incluye, por supuesto, a las plataformas financieras digitales y cualquier sociedad autorizada para operar con modelos novedosos, así como a quienes ofrecen banca electrónica.
Tanto la LFPDPPP como su Reglamento prevén los conceptos, principios, deberes y procedimientos del derecho a la protección de datos personales, así como los derechos de los titulares de los datos personales para ejercer cierto poder de control sobre su información, a través de los derechos ARCO. Si bien corresponde a las instituciones financieras o bancarias, como responsables del tratamiento de datos personales, cumplir con las obligaciones específicas que se derivan de los principios, con los deberes de confidencialidad y la adopción de medidas de seguridad, así como establecer internamente los mecanismos que permitan el acceso, rectificación, cancelación y oposición de los usuarios; el INAI cuenta con facultades de supervisión, control y sanción en caso de incumplimiento por parte de aquellas.
Como muestran los resultados de la ENIF 2021 y de la encuesta de CISCO (2021), el cumplimiento y efectividad de estas disposiciones son fundamentales para fomentar la confianza de los usuarios o clientes de los servicios financieros.
3.2.1. Conceptos fundamentales
Entre los conceptos fundamentales de esta Ley, que determinan los supuestos en los cuales resulta aplicable, se encuentran los siguientes.
(a) Datos personales: “Cualquier información concerniente a una persona física identificada o identificable.” (art. 3, fracc. V);
(b) Datos personales sensibles: “Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas, preferencia sexual.” (art. 3, fracc. VI);
(c) Tratamiento: “La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.” (art. 3, fracc. XVIII).
En general, las instituciones de crédito y las empresas que realizan operaciones financieras utilizan distintas categorías de datos personales, desde los datos de identificación de los usuarios (nombre, domicilio, teléfono, entre otros), de geolocalización de dispositivos para operaciones financieras, de identificación y autenticación en el entorno digital (huella digital o reconocimiento facial, considerados datos sensibles), como los datos personales de carácter financiero o patrimonial. Estos últimos, si bien no se consideran dentro de la categoría de datos personales sensibles, existen algunas disposiciones específicas que les otorgan un estándar de protección más elevado, como es el caso del requerimiento del consentimiento expreso por parte de sus titulares.
Adicionalmente, de manera reciente, el INAI emitió un criterio general a partir del cual enfatiza que el “número de cuenta bancaria y/o CLABE interbancaria de personas privadas físicas o morales es confidencial”, toda vez que se trata de “un conjunto de caracteres numéricos utilizados por los grupos financieros para identificar las cuentas de sus clientes, a través de los cuales se puede acceder a información relacionada con su patrimonio y realizar diversas transacciones; […].”
Dado que las instituciones o entidades financieras deciden sobre el tratamiento de datos personales de sus clientes o usuarios, se constituyen en “responsables del tratamiento” y, en consecuencia, se encuentran obligadas al cumplimiento de los principios, deberes y obligaciones previstas por esta Ley y demás disposiciones aplicables en la materia. Ello también resulta aplicable al tratamiento de datos personales de terceros con los que no tienen una relación jurídica directa, como en el caso de las transferencias bancarias que implican la información del o los receptores o beneficiarios.
3.2.2.1. Principio de licitud
Este principio se encuentra previsto en los artículos 6 de la LFPDPPP y 10 de su Reglamento. Su contenido comprende por lo menos dos vertientes. La primera, hace referencia al cumplimiento de las normas jurídicas aplicables al tratamiento de los datos personales en un sentido amplio; esto es, desde la Constitución, los tratados internacionales de los que México sea parte, como es el caso del Convenio 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo Adicional, hasta las disposiciones legales y administrativas que correspondan.
En el caso de las instituciones del sistema financiero y las plataformas financieras digitales implica, además de las normas con carácter transversal a cualquier sector o actividad, la aplicación de todas las disposiciones jurídicas aplicables de carácter sectorial.
La segunda vertiente en la que se manifiesta este principio se relaciona con la legitimidad del tratamiento de los datos personales. Para que el tratamiento de los datos personales sea lícito es necesario que tenga una base legítima que lo justifique; por ejemplo, el consentimiento expreso del titular de los datos, una relación contractual o por el cumplimiento de una obligación prevista en ley.
3.2.2.2. Principio de lealtad
Este principio consiste en respetar la confianza de los usuarios o clientes; esto es, en observar de manera leal los acuerdos adoptados para el tratamiento de los datos personales, con total respeto de las finalidades previamente establecidas. En otras palabras, comprende el principio de buena fe por parte de los responsables del tratamiento y, por ende, la prohibición de obtener información por medios engañosos o fraudulentos.
Bajo este principio, se desarrolla la teoría de la expectativa razonable de privacidad, propia del sistema anglosajón, cuya base de análisis es precisamente la confianza que debe primar entre el responsable del tratamiento y la persona titular de los datos personales.
3.2.2.3. Principio de finalidad
Se refiere a los objetivos perseguidos o propósitos que justifican el tratamiento de los datos personales. Estos deben ser informados al titular de los datos personales mediante el aviso de privacidad. Cualquier modificación de los mismos, que no sea compatible o análogo a los propósitos previamente especificados, deberá ser notificada y, en su caso, requerir de nueva cuenta de una base legítima para el tratamiento (consentimiento o por disposición legal).
Bajo este principio, es necesario distinguir entre las finalidades primarias; esto es, aquellas que dieron origen y que son necesarias para la relación jurídica entre los responsables del tratamiento y los titulares de datos; y, las secundarias, que tienen una función diversa y son prescindibles (publicidad, por ejemplo). Estas últimas requieren de la obtención del consentimiento de los clientes o usuarios de manera diferenciada a las finalidades primarias.
3.2.2.4. Principio de consentimiento
El consentimiento constituye la base legítima del tratamiento por antonomasia. Consiste en la manifestación de la voluntad del titular de los datos personales (art. 3, fracc. IV de la LFPDPPP) para que sus datos sean tratados de conformidad con las finalidades previamente especificadas. Para que surta sus efectos, el consentimiento debe de ser libre, específico e informado (art. 12 del Reglamento de la LFPDPPP).
En términos generales, la legislación mexicana admite el consentimiento expreso o tácito (esto es, en el que no existe oposición para el tratamiento una vez que se ha puesto a su disposición el Aviso de Privacidad). No obstante, tratándose de datos personales financieros o patrimoniales, la LFPDPPP exige, salvo las excepciones previstas por la propia ley, que el consentimiento sea expreso (art. 8).
Además, tratándose de datos personales sensibles, como es el caso de los datos biométricos, el consentimiento deberá ser expreso y por escrito, con la firma autógrafa o firma electrónica, así como cualquier otro mecanismo de autenticación (art. 9). Así, en estos supuestos, el consentimiento deberá ser, además, inequívoco.
3.2.2.5. Principio de calidad
Este principio supone que los datos personales sujetos al tratamiento sean exactos, completos, pertinentes, correctos y actualizados (art. 36 del Reglamento de la LFPDPPP). En otras palabras, comprende la obligación de actualizar las bases de datos, archivos o registros por parte del responsable del tratamiento.
Dado que esta tarea implicaría un costo sumamente elevado de implementar, especialmente ante un volumen ingente de información, se traslada la obligación de informar de cualquier cambio en la información a los clientes o usuarios. De tal forma que la principal obligación de los responsables del tratamiento consiste en atender dichas solicitudes. En particular, para la efectividad de este principio resulta de gran utilidad el derecho a la rectificación de los titulares.
Asimismo, el principio de calidad incluye el borrado seguro de los datos personales una vez que han cumplido las finalidades para los cuales fueron recabados, se solicite su supresión y esta sea procedente y, por supuesto, hayan concluido los períodos de conservación de la información.
3.2.2.6. Principio de proporcionalidad
Los datos personales tratados deben ser pertinentes, necesarios, adecuados y relevantes con respecto a las finalidades para los cuales fueron recabados (art. 45 del Reglamento de la LFPDPPP). Este principio comprende la “minimización de los datos personales”, de tal forma que se recaben los mínimos para el cumplimiento de los propósitos del tratamiento. En particular, esta minimización en la solicitud de datos resulta relevante tratándose de datos personales sensibles, en los que se parte de la prohibición general para su tratamiento, a menos que resulten indispensables.
3.2.2.7. Principio de información
Este principio, también conocido como el principio de transparencia, se refiere a la información relativa a qué datos personales se recaban, quién los recaba, para qué se recaban y a qué tratamientos serán sometidos (por ejemplo, si existen o no transferencias de la información, a quién(es) se realizan y para qué finalidades). También es importante establecer en este instrumento, los mecanismos para que los titulares de datos puedan ejercer sus derechos. Tanto el principio de transparencia, como el principio de responsabilidad, resultan fundamentales para generar confianza en los clientes o usuarios.
En ese sentido, el principio de información comprende la puesta a disposición del Aviso de Privacidad por parte de los responsables del tratamiento, el cual debe contener los principales elementos que permitan a los titulares de datos personales tener conocimiento, de manera previa a que su información sea recolectada y, en su caso, a otorgar su consentimiento, del alcance que tendrá el tratamiento de sus datos personales al contratar un servicio, acceder a alguna de las aplicaciones o realizar determinadas operaciones. Para esos efectos, es indispensable elaborarlo con un lenguaje sencillo, comprensible y bajo una estructura que favorezca su entendimiento (art. 24 del Reglamento de la LFPDPPP).
De igual forma, el Aviso de Privacidad resulta fundamental para establecer los términos que regirán la relación entre el responsable y el encargado del tratamiento, más allá de los instrumentos jurídicos que documenten dicha relación.
Es importante destacar que, aún en aquellos casos en los que no se requiere el consentimiento de los titulares de datos personales, es necesario poner a su disposición el Aviso de Privacidad. Ello cobra relevancia ante el escenario de disposiciones legales que establecen de manera imperativa el tratamiento de datos personales de los usuarios de servicios financieros para ciertos fines legítimos, como la seguridad pública, la prevención o persecución de delitos (v. gr. la geolocalización de los dispositivos móviles en banca electrónica), sin necesidad de que se requiera su consentimiento.
Sobre el particular, el entonces IFAI (ahora INAI) publicó el 17 de enero de 2013, en el Diario Oficial de la Federación, los Lineamientos del Aviso de Privacidad, a efecto de establecer el contenido y alcance de los avisos de privacidad. De conformidad con estos Lineamientos, el Aviso de Privacidad “tiene por objeto delimitar los alcances y condiciones generales del tratamiento, así como informarlos a los titulares, a fin de que estén en posibilidad de tomar decisiones informadas sobre el uso de sus datos personales, y de mantener el control y disposición sobre ellos.
Asimismo, el Aviso de Privacidad permite al responsable transparentar dicho tratamiento, y con ello fortalecer el nivel de confianza de los titulares” (Lineamiento Octavo). Su diseño debe ser eficiente y práctico (que facilite la comprensión de sus destinatarios) y cuente con los elementos informativos tanto en una modalidad integral (exhaustiva), como simplificada o corta.
De conformidad con estos Lineamientos, el Aviso de Privacidad, en su modalidad integral, deberá contener, por lo menos, la siguiente información: la identidad o domicilio del responsable del tratamiento de los datos personales; los datos personales sujetos al tratamiento; la especificación de los datos personales sensibles; las finalidades del tratamiento; los mecanismos para que el titular pueda manifestar su negativa al tratamiento en los casos en que proceda; las transferencias de datos personales que podrían realizarse; los terceros receptores de la información y las finalidades de dichas transferencias; la cláusula para consentir la transferencia de datos personales; los medios y procedimientos para ejercer los derechos ARCO; los mecanismos y procedimientos para la revocación del consentimiento para el tratamiento; las opciones o medios que el responsable ofrece al titular para limitar el uso o divulgación de los datos personales; la información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permita recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos (v. gr. el uso de cookies o web beacons); y, los procedimientos y medios a través de los cuales el responsable comunicará cualquier cambio en sus políticas de privacidad (Lineamiento Vigésimo).
El modelo simplificado o corto, mismo que resume al Aviso de Privacidad integral pero no lo sustituye, deberá especificar: la identidad y domicilio del responsable, las finalidades del tratamiento y los mecanismos que el responsable ofrece para que el titular esté en posibilidad de conocer el aviso de privacidad integral (Lineamientos Trigésimo cuarto y Trigésimo octavo).
3.2.2.8. Principio de responsabilidad
El cumplimiento de este principio por parte de los responsables y encargados del tratamiento de datos personales comprende no sólo el cumplimiento de los principios, deberes y obligaciones previstos por la normativa en la materia. Incluye, a su vez, la adopción proactiva y demostrable de medidas técnicas y organizativas que se adecuen a las mejores prácticas y a los más altos estándares de protección de la privacidad.
Junto con el principio de transparencia, su desarrollo normativo ha cobrado fuerza en el entorno digital, como muestran los procesos de modernización de los instrumentos internacionales pioneros en la materia: (i) Convenio 108 del Consejo de Europa, actualizado en 2018; (ii) Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales, actualizadas en 2013; y, (iii) Reglamento General de Protección de Datos Personales de la Unión Europea.
El cumplimiento de este principio trae aparejado un alto costo de implementación para las instituciones y organizaciones en general, y de manera significativa para las empresas de tecnología financiera, en las que se tratan de manera intensiva y relevante, dada la naturaleza de los datos personales que manejan (en los que se incluyen los datos personales, financieros o patrimoniales y los datos personales sensibles, necesarios para la identificación y autenticación de los usuarios) y los volúmenes de información que utilizan.
Entre las medidas necesarias para el cumplimiento de este principio se encuentra: (i) la adopción del principio de privacidad desde el diseño y por defecto; (ii) la realización de evaluaciones de impacto a la protección de datos personales; (iii) la capacitación del personal; y, (iv) la adopción de mecanismos de autorregulación (códigos de conducta, certificaciones, entre otros).
A pesar de su complejidad y de los altos costos de implementación, el principio de responsabilidad es, por sí mismo, uno de los mecanismos más relevantes para infundir confianza entre los clientes y usuarios, toda vez que pone especial énfasis en la prevención de riesgos y en la adopción de medidas proactivas que demuestran el compromiso del responsable del tratamiento con la privacidad y la protección de datos personales.
El INAI ha emitido diversas guías y recomendaciones dirigidas al sector privado con el fin de orientar a los responsables del tratamiento de datos personales en el cumplimiento de sus obligaciones y brindarles la posibilidad de adoptar mejores prácticas en la materia. Al respecto, cabe mencionar: (i) Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales; (ii) Guía para el Borrado Seguro de Datos Personales; (iii) Criterios mínimos sugeridos para la contratación de servicios de cómputo en la nube que impliquen el tratamiento de datos personales; (iv) Guía de Esquemas de Autorregulación en Materia de Protección de Datos Personales; (v) Guía para la Elaboración de Evaluaciones de Impacto a la Privacidad; (vi) Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales; (vii) Guía para el Tratamiento de Datos Biométricos; (viii) Recomendaciones para el Tratamiento de Datos derivado del Uso de la Inteligencia Artificial; y, (ix) Recomendaciones para el tratamiento de datos personales y cumplir con el deber de seguridad para instituciones de tecnología financiera.
Estas guías y recomendaciones constituyen herramientas muy útiles de soft law para regular de manera flexible y dinámica el tratamiento de datos personales en sectores específicos y altamente especializados. Además, permiten introducir mecanismos de gobernanza que se traduzcan en la participación de todos los actores involucrados. Su emisión adecuada y dirigida a problemas prácticos constituye una ventaja que podría potenciarse.
3.2.3. Deberes de confidencialidad y medidas de seguridad
Adicionalmente, la LFPDPPP y su Reglamento comprenden específicamente los deberes de confidencialidad y la adopción de medidas de seguridad físicas, administrativas y técnicas (artículos 19 y 21 de la Ley y 9 del Reglamento), con el fin de evitar la pérdida, destrucción, alteración o los accesos no autorizados de la información.
La confidencialidad de los datos personales y, en particular, de la información financiera o patrimonial, implica que esta información no debe ser difundida o transferida, salvo que exista un consentimiento previo por parte de los titulares de los datos personales o por disposición legal. La LFPDPPP prevé de manera limitativa los supuestos en los cuales es posible realizar transferencias de los datos personales a terceros, nacionales o internacionales, sin que se requiera el consentimiento del titular (artículo 37).
Asimismo, por lo que se refiere a las medidas de seguridad, la LFPDPPP dispone que estas deberán tomar en consideración el riesgo existente, las posibles consecuencias que tendría la vulneración de los sistemas de información para los titulares de los datos, así como el desarrollo tecnológico (artículo 19). En términos del Reglamento de esta Ley, se entiende por vulneración de la seguridad de datos personales, “la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, alteración o modificación no autorizada de los datos personales en posesión del responsable” (artículo 63 del Reglamento).
Cabe decir que la ley no especifica qué medidas se consideran adecuadas, pues ello dependerá tanto del sector como de la actividad que realice el responsable de los datos personales. No obstante, el Reglamento define de manera genérica en qué consiste cada una de estas medidas.
(a) Medidas administrativas de seguridad: consisten en el “[c]onjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal” en la materia (artículo 2, fracc. V).
(b) Medidas físicas de seguridad: son el “[c]onjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: (a) prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; (b) proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; (c) proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad; y, (d) garantizar la eliminación de datos de forma segura.” (artículo 2, fracc. VI).
(c) Medidas técnicas seguridad: consisten en el [c]onjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: (a) el acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados; (b) el acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; (c) se incluyan acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros; y, (d) se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales” (artículo 2, fracc. VII del Reglamento).
Asimismo, la LFPDPPP y su Reglamento comprenden la obligación de los responsables del tratamiento de notificar de forma inmediata a los titulares de los datos personales sobre las vulneraciones de seguridad que afecten de forma significativa sus derechos patrimoniales o morales, con el objetivo de que puedan adoptar las medidas correspondientes (artículo 20 LFPDPPP). La notificación deberá contener, por lo menos, lo siguiente: (i) la naturaleza del incidente; (ii) los datos personales comprometidos por la vulneración; (iii) recomendaciones sobre las medidas que pueden adoptar los titulares; (iv) las acciones correctivas que se han adoptado; y, (v) los medios para obtener mayor información (artículo 65 del Reglamento de la LFPDPPP).
Cabe señalar que, de conformidad con estas disposiciones legales, el deber de las instituciones financieras, o que realicen operaciones financieras, comprende la obligación de notificar la vulneración únicamente a los titulares de los datos personales. Así, a diferencia de lo previsto para los responsables del tratamiento del sector público en la LGPDPPSO, esta obligación no comprende la notificación de vulneraciones al INAI, a pesar de ser la autoridad competente para garantizar el cumplimiento del derecho a la protección de datos personales.
3.2.4. Relación entre encargado y responsable. Cómputo en la nube
Los principios y deberes del derecho a la protección de datos personales antes mencionados son extensibles a la figura del encargado del tratamiento de estos; esto es, de quien actúa por cuenta y a nombre del responsable del tratamiento en el procesamiento de la información, para el cumplimiento de las finalidades previstas por este. Para el envío (o remisión de la información) por parte del responsable al encargado de datos personales, no se requiere el consentimiento de los titulares de datos, pero este está obligado a sujetarse a los términos previamente acordados con el titular (en el Aviso de Privacidad) y las demás disposiciones aplicables en la materia. En caso de incumplimiento dejará de ser considerado como encargado y pasará a adquirir el carácter de responsable del tratamiento con todas las implicaciones que ello supone (ante el incumplimiento).
Cabe decir que en el ámbito específico de los servicios financieros digitales, la figura del encargado del tratamiento de datos personales adquiere relevancia en el supuesto de contratación de prestación de servicios tercerizados necesarios para la operación de la banca electrónica o de las instituciones de tecnología financiera. Además, bajo este supuesto se encuentra la contratación de servicios de cómputo en la nube, indispensables para promover la digitalización de las instituciones financieras y, con ello, el nivel de inclusión financiera (IMCO, 2022).
Al respecto, el Reglamento de la LFPDPPP define el cómputo en la nube como: “el modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente” (artículo 52).
Asimismo, en este mismo dispositivo se prevén algunas condiciones mínimas a las que deberá sujetarse el proveedor del cómputo en la nube: (i) tener y aplicar políticas de protección de datos afines a la legislación mexicana en la materia; (ii) transparentar las subcontrataciones que impliquen el tratamiento de los datos sobre los que se presta el servicio; (iii) imposibilidad para adquirir la titularidad o propiedad de la información sobre la que se presta el servicio; (iv) guardar confidencialidad sobre la información; (v) contar con mecanismos para dar a conocer cambios en su política de privacidad o condiciones de servicio; (vi) permitir al responsable limitar el tipo de tratamiento de datos sobre los que se presta el servicio; (vii) establecer y mantener medidas de seguridad adecuadas de la información; (viii) garantizar la supresión de los datos una vez concluido el servicio; y; (ix) impedir el acceso indebido a la información.
Cabe destacar que el Reglamento de la LFPDPPP (artículo 52), permite la emisión de criterios por parte de las autoridades competentes, en conjunto con el INAI, para regular el debido tratamiento de datos personales en el cómputo en la nube. Ello, ha dado pie a que los entes reguladores de las instituciones de crédito y de las ITF emitan disposiciones en la materia.
3.2.5. Derechos de los titulares de datos
Además de los derechos de los titulares de datos que corresponden de manera correlativa a las obligaciones que se derivan de los principios y deberes para el responsable y encargado del tratamiento de datos personales antes mencionados, tanto la LFPDP como su Reglamento, comprenden los derechos de acceso, rectificación y cancelación de los datos personales, así como el derecho de oposición al tratamiento de la información personal, todos ellos llamados genéricamente como derechos ARCO y reconocidos en la Constitución Política de los Estados Unidos Mexicanos en el artículo 16. Para el sector privado, a diferencia de lo previsto en la LGPDPPSO aplicable al sector público, no está contemplado el derecho a la portabilidad de los datos en la legislación vigente.
3.2.6. Procedimientos y sanciones
Tanto la LFPDPPP como su Reglamento establecen los procedimientos que podrá llevar a cabo el INAI para lograr la efectividad de los derechos ARCO (mediante el procedimiento de protección de derechos), verificar y, en su caso, sancionar a los responsables del tratamiento de los datos personales que incumplan con los principios, deberes y obligaciones establecidas por la Ley. De tal forma que la efectividad del derecho a la protección de datos personales no sólo redunda en fomentar la confianza de clientes o usuarios de los servicios bancarios o de las empresas de tecnología financiera, sino también es una cuestión de cumplimiento normativo o compliance. Así, el indebido tratamiento de datos personales
3.3. Normativa sectorial
En el ámbito de la privacidad y la protección de datos personales, existen algunas disposiciones en la legislación aplicable al sector financiero en las que se enfatiza (i) el secreto bancario o fiduciario; (ii) el deber de confidencialidad de las instituciones bancarias o que realizan operaciones financieras; y, (iii) los requisitos para llevar a cabo transferencias y remisiones de datos personales a las autoridades competentes, tanto nacionales e internacionales, como a terceros en su carácter de comisionistas o en la prestación de servicios tercerizados.
Así, la Ley de Instituciones de Crédito prevé el deber de confidencialidad de la información como parte de las medidas para proteger los intereses del público (artículo 142). Además, establece los supuestos de carácter limitativo en los cuales las instituciones de crédito, por sí o mediante la intermediación de la CNBV, pueden transferir la información de sus clientes o usuarios hacia otras autoridades competentes. Dichos supuestos comprenden, en términos generales, la actividad jurisdiccional propiamente dicha cuando corresponde a los datos de algunas de las partes en litigio, la persecución de delitos, para fines de cumplimiento de obligaciones fiscales, para el seguimiento de presuntas responsabilidades administrativas o en el ejercicio de recursos públicos.
La transferencia de información entre las instituciones de crédito y las autoridades competentes dentro del sistema financiero debe realizarse con base en un convenio de intercambio de información, en el que se establezca, entre otras cosas, los términos y condiciones en las que se realiza (artículo 97 de la LIC). Asimismo, en esta Ley se establece la posibilidad de realizar transferencias de información que las autoridades financieras hayan obtenido en el ejercicio de sus atribuciones hacia otras autoridades financieras del exterior (artículo 97 de la LIC).
En este mismo ordenamiento, se establece de manera general, y sin mayores especificaciones, la obligación de guardar el deber de confidencialidad por parte de los comisionistas o prestadores de servicios tercerizados contratados por las instituciones de crédito para que realicen alguna de sus operaciones a su nombre y por cuenta de ellas (artículo 146 Bis 1). Es decir, esta Ley establece el deber de confidencialidad para los comisionistas o terceros prestadores de servicios en su carácter de encargados del tratamiento de los datos personales y, por ende, los sujeta, a través de la relación jurídica creada, a la legislación aplicable en la materia, así como a las disposiciones generales de la CNBV.
Con base en estas disposiciones, la CUB desarrolla el procedimiento y los criterios generales que deberán regir las contrataciones con terceros o comisiones que tengan por objeto la realización de procesos operativos o administración de bases de datos y sistemas informáticos. Así, estas Disposiciones resultan aplicables para la contratación de servicios de cómputo en la nube por parte de las instituciones bancarias.
Así, en términos generales, la CUB establece la obligación de notificar a la CNBV sobre la tercerización de servicios de cómputo en la nube. Además, requiere la autorización por parte de este ente regulador cuando se trata de proveedores extranjeros, sujeta a la comprobación por parte de la institución financiera de diversos requerimientos establecidos por la propia Circular y las disposiciones generales aplicables, entre los que se encuentran evaluaciones, resultados de auditorías, reportes de desempeño e informes técnicos. El cúmulo de requisitos impuestos para la contratación de prestación de servicios tercerizados eleva, así, los costos del uso de servicios de cómputo en la nube para las instituciones financieras (IMCO, 2022). Adicionalmente, podemos observar que, además del incremento de costos que implican esos requisitos regulatorios, no necesariamente genera mayor seguridad.
Por su parte, la Ley para Regular las Instituciones de Tecnología Financiera incorpora disposiciones relativas a la confidencialidad de la información de sus clientes, en términos similares a lo dispuesto por la LIC, estableciendo los supuestos de excepción para el intercambio de información con las autoridades competentes y los requisitos que, en su caso, sean necesarios para transferir dicha información (artículos 73 y 74).
De conformidad con esta Ley, la CNBV tiene competencia para emitir disposiciones de carácter general que contemplen medidas de seguridad y políticas de privacidad, tanto por sí sola tratándose de instituciones de financiamiento colectivo, como juntamente con BANXICO en el caso de instituciones de fondos de pago electrónico (artículo 48 de la Ley Fintech).
Con base en lo anterior, tanto las Disposiciones de Carácter General Aplicables a las Instituciones de Tecnología Financiera, como las Disposiciones Aplicables a las Instituciones de Fondos de Pago Electrónico, contemplan de igual forma la contratación de cómputo en la nube para las plataformas financieras digitales. En ellas se comprenden, entre otras cosas, las condiciones para la autorización de CNBV y BANXICO y los aspectos relativos a la confidencialidad y medidas de seguridad, documentación relativa a la infraestructura tecnológica contratada, mecanismos de vigilancia y auditoría, plan de evaluación de cumplimiento y evidencia de política de protección de datos. En el caso de las IFP se añaden mayores requisitos referidos, entre otros, a la residencia de datos, la continuidad de operaciones y mecanismos de solución de incidencias y alteraciones de servicios, todo lo cual conlleva importantes barreras regulatorias que dificultan el acceso a estos servicios de nube de las ITF (IMCO, 2022).
Finalmente, un aspecto a destacar de esta Ley consiste en la obligación de las ITF para resguardar y conservar por un periodo de tiempo (con plazo mínimo de diez años) los registros originales de sus operaciones y los documentos que permitan identificar a quienes han sido sus clientes (artículos 48 y 58).
3.4. Identificación del cliente sin presencia física (onboarding digital)
Desde hace un par de años, el sector financiero digital empezó a utilizar tecnología que permite identificar y verificar la identidad del cliente de forma remota para ofrecer productos y servicios financieros. Además de ser un generador de inclusión financiera ya que permite abrir cuentas y acceder a servicios financieros sin necesidad de ir a la sucursal, esta tecnología también se usa para prevenir y mitigar operaciones fraudulentas y de lavado de dinero. El uso de este tipo de tecnología es conocido como onboarding digital.
De acuerdo con el estudio elaborado por el BID sobre onboarding digital, este se define de la siguiente manera:
“El Onboarding digital es el proceso electrónico que permite la identificación de un consumidor financiero frente a una institución financiera y cuyo resultado genera una confianza equivalente a un proceso presencial. Para que sea efectivo, requiere de una confianza equivalente a la que ofrecen los canales presenciales; es decir, a la identificación realizada históricamente por parte de las instituciones financieras en las oficinas comerciales. El onboarding digital, por tanto, es un proceso que se realiza de forma totalmente remota y exclusivamente mediante el canal en línea”.
Los principales métodos utilizados son los siguientes: (i) verificación de la identidad por medio de imágenes o selfies; (ii) entrevista a través de una videoconferencia; y, (iii) video identificación. Para utilizar estos métodos, se requiere un uso intensivo de tecnología y de datos biométricos (facial, huellas dactilares, iris), de datos personales como fotografías, voz, entre otros, con el objeto de poder corroborar la identidad del cliente y se tenga la certeza de que el cliente es quien dice ser.
3.4.1. Normativa aplicable
El 29 de agosto de 2017, la CNBV publicó en el Diario Oficial de la Federación la “Resolución que modifica las disposiciones de carácter general aplicables a las instituciones de crédito.” Dicha resolución fortalece los procesos de contratación de servicios financieros y de identificación de los clientes a fin de prevenir y mitigar fraudes y suplantación de identidad. En el apartado B de esta resolución, se establecen la forma y los mecanismos para llevar a cabo la identificación del cliente sin presencia física (onboarding digital) y se señalan los requisitos para la celebración no presencial de contratos para la apertura de cuentas bancarias, créditos comerciales a personas físicas con actividad empresarial y créditos al consumo.
Antes de iniciar con este tipo de contrataciones, las instituciones financieras requieren autorización previa de la CNBV. Una vez obtenida la autorización, los clientes inician el procedimiento llenando un formulario que envían de manera electrónica a la institución financiera. El formato requiere información de datos personales y datos personales sensibles del cliente potencial como: fecha de nacimiento, género, país de nacimiento, nacionalidad, CURP, RFC, domicilio, número de teléfono, correo electrónico, ocupación y si requiere apertura de cuenta o crédito comercial. Este formulario debe llevar una leyenda en la que se establezca que el envío del mismo constituye el consentimiento para que su voz e imagen sean grabadas al establecerse una comunicación a través de un medio audiovisual y en tiempo real entre ellas (art. 51 bis 6).
En 2021, para suavizar los efectos de la pandemia, la CNBV emitió Disposiciones Generales para permitir que diversos tipos de instituciones financieras, como las SOFIPO, realicen el onboarding digital. No obstante, aún existen obstáculos para dicho procedimiento. Por ejemplo, actualmente sólo el INE y RENAPO pueden hacer validaciones de identificación oficial para este procedimiento. Esto incrementa los costos de captación de clientes en regiones alejadas, retrasando la inclusión.
Más aún, las cuentas integradas digitalmente por algunas instituciones, como las SOFIPO, tienen un límite en el monto de depósitos o crédito por cliente (por ejemplo, para cuentas de débito es UDI30,000, aproximadamente MXN230,000; para crédito de UDI60,000; y, para préstamos de UDI60,000) . Esto limita la capacidad de estas instituciones de competir con los bancos y reduce los incentivos de utilizar estos mecanismos digitales de captación de clientes, incluso cuando son más eficientes y seguros. Más aún, los requisitos de onboarding digital para bancos son prácticamente los mismos que para otras instituciones como las SOFIPO. Sin embargo, los bancos no tienen la limitación de UDI para su cuenta N4 de nivel superior.
Además, esta disposición limita el acceso de algunos clientes a servicios financieros; por ejemplo, las personas extranjeras no pueden tener un procedimiento digital de captación para algunas instituciones. La regulación para las SOFIPO establece un mecanismo para verificar la información biométrica del solicitante, ya sea con los registros del Instituto Nacional Electoral (INE), la Secretaría de Relaciones Exteriores o con los de cualquier otra autoridad mexicana que brinde un servicio de verificación de información biométrica cuando el monto de la línea de crédito supera las UDI30,000. Adicionalmente, la regulación habla exclusivamente de “nacionalidad mexicana” cuando regula el procedimiento de onboarding digital. Esto impide la identificación no presencial de extranjeros por encima de ese monto, obligando a una entrevista presencial y limitando la oferta de productos y servicios a este y otros segmentos de la demanda.
Esto representa una ventaja competitiva injustificada a favor de los bancos, y debería motivar la revisión de esta regulación secundaria por parte de CNBV, con miras a promover la inclusión financiera a partir de un mayor uso de mecanismos digitales de captación de clientes.
3.4.2. Medidas de seguridad
El proceso y las medidas de seguridad que las instituciones financieras deberán seguir se encuentran en el artículo 51 bis, fracción III. A continuación se enlistan las más relevantes.
(a) El cliente potencial deberá enviar una fotografía a color de su credencial para votar vigente expedida por el Instituto Nacional Electoral (INE), por ambos lados y tomarse una fotografía a color de su rostro, cuya toma únicamente se realice en línea a través de la propia herramienta tecnológica de las Instituciones para ser enviada en ese mismo acto.
(b) Las Instituciones financieras deberán confirmar la existencia de la CURP con el Registro Nacional de Población, así́ como que los datos de esta y los proporcionados en el formulario coincidan entre sí.
(c) Las Instituciones deberán comparar las fotografías de la credencial para votar y del rostro, a fin de hacer el reconocimiento biométrico facial entre estas y, validar los elementos de seguridad de la credencial para votar recibida, a fin de detectar si dicho documento presenta alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.
(d) Las Instituciones deberán verificar la coincidencia de los datos de la credencial para votar expedida por el INE que a continuación se listan, con los registros del propio Instituto: (i) el Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar; (ii) Apellidos paternos, maternos y nombre(s), tal como aparecen en la credencial para votar; (iii) Año de registro; (iv) Clave de elector; y, (v) Número y año de emisión.
Todo el proceso se sigue en tiempo real, deberá ser grabado y conservado sin ediciones. Adicionalmente, las Instituciones financieras deberán observar lo siguiente.
(a) Registrar la hora y fecha de realización de la comunicación.
(b) Verificar que la calidad de la imagen y del sonido permitan la plena identificación del solicitante.
(c) Corroborar, durante la comunicación con el solicitante, la información que este haya enviado en el formulario y requerirle que muestre la demás documentación que se envió juntamente con el formulario.
(d) Requerir al solicitante que muestre su credencial para votar expedida por el Instituto Nacional Electoral, confirmando que esta contenga los mismos datos y fotografía de la credencial que envió.
(e) Tomar imágenes del solicitante y de la credencial para votar presentada, en las cuales se estampará la fecha y la hora en la que fueron tomadas, obtenidas de un servidor de tiempo protegido.
(f) Utilizar tecnología especializada que permita una identificación fehaciente del entrevistado, asegurándose que exista coincidencia entre su rostro, la fotografía y la de la credencial para votar. Lo anterior, será una condicionante para proceder a la etapa de formalización de la apertura de la cuenta de depósito o crédito que se pretenda contratar.
(g) Identificar patrones de conducta sospechosos que pudieran indicar que la persona que se entrevista no es quien dice ser.
La tecnología utilizada para estos procedimientos deberá́ ser aprobada por el comité de riesgos de las Instituciones. En la fracción IV de este mismo artículo, se establecen las situaciones en las que las instituciones financieras deberán suspender el proceso de contratación con el solicitante. A continuación se presentan algunos supuestos.
(a) La imagen o calidad de sonido no permite realizar una identificación plena del solicitante.
(b) El solicitante no presente su credencial para votar; o los datos no coincidan con los registros del INE.
(c) La CURP no coincide con la información del Registro Nacional de Población.
(d) El código de un solo uso requerido al solicitante no sea confirmado.
(e) El personal de la Institución que tenga comunicación en línea identifique una situación atípica o riesgosa, o tenga dudas acerca de la autenticidad de la credencial para votar o de la identidad del solicitante.
(f) Se presenten interrupciones en la conexión.
Una parte medular de esta resolución es que se deja la puerta abierta para que la CNBV pueda aprobar mecanismos de identificación no presencial distintos a los señalados, siempre que las Instituciones acrediten que la tecnología utilizada, a juicio de la propia Comisión, resulte fiable para identificar a la persona física de que se trate y se verifique la existencia de la Clave Única de Registro de Población con el Registro Nacional de Población o de algún otro elemento de identificación que sea verificable contra los registros de alguna autoridad mexicana, así́ como la correspondencia de los datos (artículo 51, bis 8).
En el artículo 51 Bis 7, se impone la obligación para que las instituciones financieras cuenten con los medios necesarios para la transmisión y resguardo de la información, datos, archivos generados que garanticen su integridad, la correcta lectura de datos, la imposibilidad de manipulación así como su adecuada conservación y localización. Es decir, deberán destinar recursos e implementar medidas de seguridad apropiadas.
Como mencionamos, este tipo de contrataciones a través de onboarding digital requieren un uso intensivo de datos personales y de datos personales sensibles, así como de tecnología. La seguridad de los datos es el elemento clave en este proceso por lo que proponemos algunas recomendaciones.
(a) La información debe estar protegida y resguardada con los más altos estándares internacionales de protección, utilizando certificados de seguridad que puedan ser auditados.
(b) El personal responsable de verificar la identidad no presencial deberá contar con capacitación acreditada por una entidad externa o en conjunto con la institución.
(c) La institución financiera deberá contar con personal especializado que verifique el cumplimiento de las medidas de seguridad.
(d) Reportar al INAI vulneraciones a la seguridad y solicitar certificaciones específicas en seguridad.
(e) Establecer canales de cooperación y de comunicación con el INAI con el objeto de dar seguimiento a las recomendaciones que la autoridad haga.
Finalmente, en lo relacionado con las leyes y reglamentaciones en materia de onboarding digital, consideramos que estas se deben robustecer, utilizando los códigos, estándares y comités internacionales como forma de guía para continuar desarrollando la legislación local e impulsar la autorregulación en esta materia.
Si consideramos esta herramienta como un factor de inclusión financiera, también es importante impulsar políticas públicas encaminadas a desarrollar esta tecnología y procedimientos con una visión incluyente haciendo énfasis en la perspectiva de género para que más mujeres, así como personas de la tercera edad y personas que viven en localidades pequeñas o alejadas puedan acceder a los servicios financieros más elementales como el ahorro y el crédito.
Un tema pendiente de análisis y discusión entre la academia, el sector público y privado es el relativo a la creación de un padrón universal de datos biométricos. Aunque este padrón generaría más rapidez en la identificación de las personas, haciendo más eficiente la inclusión financiera y la verificación de los datos, se requiere de una regulación robusta que incluya códigos de ética y manuales de procedimiento rigurosos en el tratamiento de datos personales e información. Adicionalmente, se debe invertir en el desarrollo de sistemas con altos estándares de seguridad que cumplan con esquemas internacionales aplicables y que se estén actualizando frecuentemente para que no puedan ser vulnerados.
3.5. Relevancia de la privacidad y la protección de datos personales en el sector: confianza y cumplimiento
Con respecto a la preocupación de las personas sobre el tratamiento de sus datos personales, en el caso concreto de México, cabe mencionar que según cifras presentadas por el INAI, existe una tendencia relativamente creciente entre los titulares de datos personales para promover el procedimiento de protección de derechos conforme a la LFPDPPP. Sólo entre el periodo de octubre 2020 a septiembre 2021, se promovieron 307 procedimientos, frente a los 179 del periodo 2016-2017 y los 273 del periodo 2017-2018. El año que mayores cifras ha presentado es 2019, con 326 solicitudes. El año 2020 fue excepcional dado el contexto de la pandemia COVID-19, pero en 2021 se observa una paulatina recuperación en las cifras que tiende a modificar a la alza dichas solicitudes. Estas cifras demuestran que las personas, a través del procedimiento de protección de derechos, cada vez más, tienen mayor interés en ejercer cierto poder de control y disposición sobre su propia información mediante el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Asimismo, en cuanto a las actividades desarrolladas por el órgano garante del derecho a la protección de datos personales en México, también es importante destacar que, de conformidad con información derivada de los informes de labores del INAI (2019 y 2021), se observa una reducción en el número de procedimientos de verificación del cumplimiento de los principios, deberes y obligaciones del derecho a la protección de datos personales: de 774 procedimientos de verificación iniciados, tanto para el sector público como para el sector privado, en el periodo 2018-2019, a 127 procedimientos -de los cuales 104 corresponden al sector privado- iniciados en 2020-2021.
Por otra parte, en lo que se refiere a la potestad sancionadora del INAI, también ha habido reducción en el monto total de multas impuestas: de MXP$112’397,139.00 durante el periodo 018- 2019; a MXP$96’295,000.00 en 2020-2021. Pero en ambos casos, y en el histórico desde 2015, el sector financiero y de seguros se ha ubicado entre los dos primeros sectores que mayores cuantías han representado en las multas impuestas.
Cabe advertir que no se cuenta con información que permita determinar cuál es la eficacia del procedimiento de imposición de sanciones, pues las resoluciones del INAI son recurribles por la vía jurisdiccional. Actualmente, no hay información disponible de manera agregada que permita advertir cuántas de esas impugnaciones resultan favorables o no a las determinaciones del órgano garante. Se trata de información desagregada que, si bien es pública, tendría que rastrearse caso por caso.
Finalmente, respecto de los bancos existe el tratamiento e interferencia por parte de BANXICO en relación a los datos personales introducidos en los Sistemas de Pago, por lo que esta autoridad también debe cumplir con la regulación pertinente para la mencionada protección de datos. En consecuencia, les es aplicable la Ley del Banco de México y su Reglamento Interior, así como la Ley Federal para la Protección de Datos Personales en Posesión de los Sujetos Obligados. Todas las instituciones y organizaciones, como cámaras de compensación, transmisores de dinero, agregadores de pago, entre otras, que intervengan en los medios de pago para la operación en SPEI por parte de ITF, API y banca electrónica deben también ajustarse a lo señalado por la LFPDPPP y a los lineamientos de carácter general emitidos por el INAI como autoridad competente en relación a la protección de datos personales.
CONCLUSIONES
Y RECOMENDACIONES
La privacidad y la protección de datos personales son esenciales para fomentar la inclusión financiera, a partir de la confianza que brindan a los usuarios de servicios financieros digitales respecto del tratamiento de su información personal. No obstante, de acuerdo con el reporte de resultados de la ENIF 2021, la percepción de los usuarios sobre el nivel de protección y seguridad provisto por parte de las instituciones financieras es baja. Además, de conformidad con CISCO (2021), la falta de confianza en las políticas de privacidad y en cómo se lleva a cabo el tratamiento de su información tiene también un impacto en las decisiones que adoptan los usuarios sobre la contratación de los servicios financieros. A todo lo cual se suma la falta de claridad en los mecanismos para la defensa y ejercicio de derechos ante contingencias o incidentes de seguridad de la información.
Adicionalmente, la normativa en materia de protección de datos personales aplicable al sector se encuentra dispersa en distintos ordenamientos y presenta importantes asimetrías, especialmente dentro del ecosistema de las plataformas financieras digitales. Ello no sólo dificulta su implementación y cumplimiento sino que, además, establece disposiciones regulatorias adicionales, aplicables a las instituciones bancarias y a las ITF reguladas en el marco de la LRITF, que establecen un trato diferenciado dentro del sector. Si bien estas disposiciones específicas se centran en garantizar la confidencialidad y seguridad de la información, lo cierto es que también elevan los costos de cumplimiento. En específico, los requisitos adicionales que establecen tanto la CUB como las Disposiciones de Carácter General Aplicables a las Instituciones de Fondos de Pago Electrónico, para la remisión de datos personales a terceros, en su carácter de comisionistas o como prestadores de servicios tercerizados (lo que incluye la contratación de servicios de cómputo en la nube), pueden obstaculizar el desarrollo de los servicios financieros digitales.
En lo relacionado con las leyes y reglamentaciones en materia de onboarding digital y open banking, consideramos que estas se deben robustecer, utilizando los códigos, estándares y comités internacionales como guía para continuar desarrollando la legislación nacional poniendo como eje rector el derecho a la protección de los datos personales e impulsar la autorregulación en estas materias.
En ese contexto, se plantea la cuestión de poder implementar medidas que permitan, por una parte, fomentar la confianza en los usuarios de servicios financieros digitales con respecto al tratamiento de sus datos personales, especialmente a partir del fortalecimiento de los principios de información y responsabilidad y, por la otra, brindar criterios o regulaciones específicas dentro de este sector que faciliten su cumplimiento y la coordinación entre autoridades, a la vez que promuevan su desarrollo. Ello implica, además, la necesidad de generar mayor certeza y seguridad jurídica respecto de las autoridades a las que podrían acudir los usuarios en caso de alguna contingencia o incidente que afecte su esfera jurídica. Estas medidas tendrían un efecto positivo para la inclusión financiera, toda vez que impactarían tanto en el lado de la oferta de servicios financieros digitales como en la demanda, a través de políticas de privacidad y protección de datos personales más transparentes y accesibles.
Una de las medidas a implementar es que las instituciones financieras pongan especial énfasis en fortalecer procedimientos para el ejercicio de los derechos ARCO ya que es uno de los aspectos básicos que genera confianza en los usuarios, como lo señala el estudio de CISCO (2021), en donde los clientes o usuarios presentan un interés cada vez mayor por ejercer cierto control sobre su propia información; 25% de las personas encuestadas manifestó haber realizado consultas sobre sus datos personales y 17% solicitó alguna rectificación o eliminación de los datos.
Otra medida a implementar es a través de mejorar los mecanismos de información entre los usuarios y las instituciones financieras sobre el tratamiento de los datos personales. Se deberá comunicar de manera efectiva, sencilla y en lenguaje claro, aquellos aspectos relacionados con las medidas organizativas y técnicas que se adoptan para salvaguardar la protección de datos de los usuarios con el objeto de que estos estén bien informados y tengan una comunicación directa con las instituciones financieras sobre la seguridad de sus datos.
Finalmente, mencionamos algunas buenas prácticas y propuestas que se pueden implementar.
(a) La institución financiera deberá capacitar continuamente a personal especializado asignado específicamente para verificar el cumplimiento de la legislación y normativa en materia de datos personales y de que se cumplan con las medidas de seguridad. Este personal deberá reportar directamente al Director General.
(b) Aun cuando el Reglamento establece mecanismos de autorregulación vinculante y prevé esquemas de incentivos, los reguladores deberán impulsar medidas con el objeto de complementar la legislación nacional a través de códigos de buenas prácticas, constancias, certificaciones, capacitación etc.
(c) La emisión de guías y recomendaciones del INAI para el cumplimiento y mejores prácticas en materia de datos personales constituye un área de oportunidad que tendría que ser fortalecida. Permite una regulación ágil y flexible capaz de adaptarse a las necesidades prácticas en sectores específicos y a los cambios tecnológicos, bajo mecanismos de gobernanza que involucren a todos los actores concernidos.
BIBLIOGRAFÍA
Carreón Rodríguez, V.G. y Guajardo Mendoza, M.A. (2022). Desigualdad en el acceso al crédito en las localidades pequeñas. México Exponencial.
https://mexicoexponencial.mx/desigualdad-genero-acceso-ahorro/
CISCO Secure (2021). Encuesta de Privacidad del Consumidor. https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/cisco-cybersecurity-series-2021-cps.pdf ).
De la Fuente Rodríguez, J. (2007). Tratado de Derecho Bancario y Bursátil. México: Editorial Porrúa.
Comisión Nacional Bancaria y de Valores (2021). Encuesta Nacional de Inclusión Financiera 2021. Reporte de resultados. https://www.cnbv.gob.mx/Inclusión/Anexos%20Inclusin%20Financiera/Reporte_Resultados_ENIF_2021.pdf-.
Comisión Nacional Bancaria y de Valores e Instituto Nacional de Estadística y Geografía. Encuesta Nacional de Inclusión Financiera 2021. Tabulados. Confianza y protección: estimaciones puntuales. https://www.inegi.org.mx/programas/enif/2021/#Tabulados.
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Informes de Labores 2017, 2018, 2019, 2020 y 2021. https://micrositios.inai.org.mx/informesinai/.
Instituto Mexicano para la Competitividad y AWS Institute (2022). Cómputo en la Nube para el Sector Financiero: Oportunidades para México. https://imco.org.mx/wp-content/uploads/2022/09/Computo-en-la-nube-para-el-sector-financiero_Documento.pdf
Nabalón, I., Herrera, D. y Vadillo, S. (2021). Onboarding digital. BID. https://publications.iadb.org/es/onboarding-digital
Legislación y Tratados internacionales consultados
Constitución Política de los Estados Unidos Mexicanos, publicada en el DOF (5 de febrero de 1917), última reforma publicada en el DOF (28 de mayo de 2021). https://www.diputados.gob.mx/LeyesBiblio/pdf/CPEUM.pdf.
Código de Comercio, publicada en el DOF (7 de octubre al 13 de diciembre de 1889), última reforma publicada en el DOF (28 de marzo de 2018). https://www.diputados.gob.mx/LeyesBiblio/pdf_mov/Codigo_de_Comercio.pdf
Ley de Ahorro y Crédito Popular, publicada en el DOF (4 de junio de 2001), última reforma publicada en el DOF (20 de mayo de 2021). https://www.diputados.gob.mx/LeyesBiblio/pdf/17_200521.pdf
Ley del Banco de México, publicada en el DOF (23 de diciembre de 1993), última reforma publicada en el DOF (10 de enero de 2014). https://www.diputados.gob.mx/LeyesBiblio/pdf/74.pdf
Ley de la Comisión Nacional Bancaria y de Valores, publicada en el DOF (28 de abril de 1995), última reforma publicada en el DOF (1 de mayo del 2022). https://www.diputados.gob.mx/LeyesBiblio/pdf/LCNBV.pdf
Ley de Fondos de Inversión, publicada en el DOF (4 de junio del 2001), última reforma publicada en el DOF (20 de mayo del 2021). https://www.diputados.gob.mx/LeyesBiblio/pdf/69_200521.pdf
Ley de Instituciones de Crédito, publicada en el Diario Oficial de la Federación (18 de julio de 1990), última reforma publicada en el DOF (11 de marzo de 2022). https://www.diputados.gob.mx/LeyesBiblio/pdf/LIC.pdf
Ley General para la Protección de Datos Personales en Posesión de Sujetos Obligados, publicada en el Diario Oficial de la Federación (26 de enero de 2017). https://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación (5 de julio de 2010). https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
Ley de Protección y Defensa al Usuario de Servicios Financieros, publicada en el Diario Oficial de la Federación (18 de enero de 1999), última reforma publicada en el DOF (9 de marzo del 2018). https://www.diputados.gob.mx/LeyesBiblio/pdf/64_090318.pdf
Ley de Protección al Ahorro Bancario publicada en el DOF (19 de enero de 1999). https://www.diputados.gob.mx/LeyesBiblio/pdf/LPAB.pdf
Ley para Regular las Instituciones de Tecnología Financiera. Publicada en el DOF (9 de marzo de 2018). https://www.diputados.gob.mx/LeyesBiblio/pdf/LRITF_200521.pdf
Ley de Sistemas de Pago, publicada en el DOF (12 de diciembre de 2002). https://www.diputados.gob.mx/LeyesBiblio/pdf/255.pdf
Convenio No. 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, aprobado en Estrasburgo el 28 de enero de 1981, y su Protocolo Adicional, promulgado en México mediante Decreto del Ejecutivo, publicado en el DOF (28 de septiembre de 2018).
Reglamentos
Estatuto Orgánico del Instituto para la Protección al Ahorro Bancario, publicado en el DOF (27 de marzo de 2014). https://www.diputados.gob.mx/LeyesBiblio/regla/n52.pdf
Reglamento Interior del Banco de México, publicado en el DOF (30 de septiembre de 1994). https://www.banxico.org.mx/marco-normativo/d/%7B1E86F717-3BAD-946D-5BF7-0DD22495D326%7D.pdf
Reglamento Interior de la CNBV, publicado el 12 de noviembre de 2014. https://www.cnbv.gob.mx/Normatividad/Reglamento%20Interior%20de%20la%20Comisi%C3%B3n%20Nacional%20Bancaria%20y%20de%20Valores.pdf
Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, publicado en el DOF (21 de diciembre de 2011). https://www.dof.gob.mx/nota_detalle.php?codigo=5226005&fecha=21/12/2011#gsc.tab=0
Circulares
CIRCULAR 3/2012, Disposiciones aplicables a las operaciones de las Instituciones de Crédito, las Sociedades Financieras de Objeto Múltiple reguladas que mantengan vínculos patrimoniales con Instituciones de Crédito y la Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero, emitida por el Banco de México. Publicada en el DOF (2 de marzo de 2012), última modificación (23 de marzo de 2022). https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-3-2012/%7B4E0281A4-7AD8-1462-BC79-7F2925F3171D%7D.pdf
Circular 3/2022, dirigida a las Instituciones de Crédito y otras empresas que presten de manera profesional el servicio de transferencia de fondos, relativa a las Modificaciones a la Circular 13/2017 (Participación indirecta y Temas Misceláneos), emitida por el Banco de México. Publicada en el DOF (15 de marzo de 2022). https://www.dof.gob.mx/nota_detalle.php?codigo=5646520&fecha=23/03/2022#gsc.tab=0
Circular 1/2022 emitida por el Banco de México. Publicada en el DOF (23 de marzo de 2022). https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-14-2017/%7B33EFD864-87F6-89BF-9F19-35E4D80E4CF4%7D.pdf
Circular 5/2019 emitida por el Banco de México. Publicada en el DOF (8 de marzo de 2019). https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-5-2019/%7B341F3815-9123-F1EC-DA2B-D58EB41EFAFC%7D.pdf
Disposiciones de Carácter General de la CONDUSEF en Materia de Transparencia y Sanas Prácticas aplicables a las Instituciones de Tecnología Financiera. (DCG-CONDUSEF-ITF) emitida por la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros. Publicada en el DOF (9 de julio de 2019). https://www.dof.gob.mx/nota_detalle.php?codigo=5565233&fecha=09/07/2019#gsc.tab=0
Disposiciones de Carácter General aplicables a las Instituciones de Tecnología Financiera. Publicada en el DOF (10 de septiembre de 2018), última modificación (15 de diciembre de 2021). https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20aplicables%20a%20las%20instituciones%20de%20tecnolog%C3%ADa%20financiera.pdf
Disposiciones de Carácter General aplicables a las Instituciones de Crédito. Publicadas en el DOF (2 de diciembre de 2005), última modificación (2 de septiembre de 2022). https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20aplicables%20a%20las%20instituciones%20de%20cr%C3%A9dito.pdf
Disposiciones de Carácter General relativas a las Sociedades Autorizadas para Operar Modelos Novedosos a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera. Publicadas en el DOF (19 de marzo de 2019). https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20relativas%20a%20las%20sociedades%20autorizadas%20para%20operar%20modelos%20novedosos%20a%20que%20hace%20referencia%20la%20Ley%20para%20Regular%20las%20Instituciones%20de%20Tecnolog%C3%ADa%20Financiera.pdf
Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera. Publicada en el DOF (4 de junio de 2020). https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20relativas%20a%20las%20interfaces%20de%20programaci%C3%B3n%20de%20aplicaciones%20inform%C3%A1ticas%20estandarizadas%20a%20que%20hace%20referencia%20la%20Ley%20para%20Regular%20las%20Instituciones%20de%20Tecnolog%C3%ADa%20Financiera.pdf
Disposiciones aplicables a las instituciones de Fondos de Pago Electrónico a que se refieren los artículos, 48, segundo párrafo, 54, primer párrafo y 56 primer y segundo párrafos de la Ley para Regular las Instituciones de Tecnología Financiera. Publicadas en el DOF (28 de enero de 2021). https://www.cnbv.gob.mx/Normatividad/Disposiciones%20aplicables%20a%20las%20instituciones%20de%20fondos%20de%20pago%20electr%C3%B3nico%20a%20que%20se%20refieren%20los%20art%C3%ADculos%2048,%20segundo%20p%C3%A1rrafo;%2054,%20primer%20p%C3%A1rrafo%20y%2056,%20primer.pdf
Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-B, las Operaciones Relevantes, Operaciones Inusuales y Operaciones Internas Preocupantes están definidas en el artículo 1 fracciones XXV, XXVI y XXVII. https://www.gob.mx/cms/uploads/attachment/file/672524/Compilado_DCG_PLDFT_SOFOMES.pdf y sus modificaciones https://www.dof.gob.mx/nota_detalle.php?codigo=5629270&fecha=09/09/2021#gsc.tab=0
Disposiciones de Carácter General Aplicables a las Entidades de Ahorro y Crédito Popular, Organismos de Integración, Sociedades Financieras Comunitarias y Organismos de Integración Financiera Rural, a que se refiere la Ley de Ahorro y Crédito Popular. Publicadas en el DOF (18 de diciembre de 2006), última modificación publicada en el DOF (2 de diciembre de 202). https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20carácter%20general%20aplicables%20a%20las%20entidades%20de%20ahorro%20y%20crédito%20popular,%20organismos%20de%20integración,%20sociedades%20financieras%20comunita.pdf
Resolución que modifica las disposiciones de carácter general aplicables a las instituciones de crédito. Publicada en el DOF (29 de agosto de 2017. https://www.dof.gob.mx/nota_detalle.php?codigo=5495299&fecha=29/08/2017#gsc.tab=0
Jurisprudencia y criterios de interpretación
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, Criterio de Interpretación, Segunda Época, emitido el 14 de julio de 2022. http://criteriosdeinterpretacion.inai.org.mx/Pages/resultsfil.aspx?k=(Vigente%3D%22Si%22)#k=(Vigente%3D%22Si%22)#s=31
Suprema Corte de Justicia de la Nación, Décima Época, Jurisprudencia 2a./J. 10/2021 (10a.), Semanario Judicial de la Federación, Libro 84, Vol. II, marzo 2021, p. 2021. https://sjf2.scjn.gob.mx/detalle/tesis/2022917.
REFERENCIAS
1 Profesora e Investigadora de la División de Estudios Jurídicos del CIDE
2 Profesora e Investigadora de la División de Estudios Jurídicos del CIDE
3 Encuesta Nacional de Inclusión Financiera 2021. Reporte de resultados. CNBV, 2021. https://www.cnbv.gob.mx/Inclusión/Anexos%20Inclusin%20Financiera/Reporte_Resultados_ENIF_2021.pdf-.
4 Encuesta de Privacidad del Consumidor, 2021. Disponible en: https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/cisco-cybersecurity-series-2021-cps.pdf ).
5 De la Fuente Rodríguez, Jesús. Tratado de Derecho Bancario y Bursátil (México: Editorial Porrúa, 2007) pp. 83.
6 Ley de Instituciones de Crédito, publicada en el DOF el 18 de julio de 1990; Ley del Banco de México, publicada en el DOF el 23 de diciembre de 1993, Reglamento Interior del Banco de México, publicado en el DOF el 30 de septiembre de 1994, Ley de Protección al Ahorro Bancario publicada en el DOF el 19 de enero de 1999, Ley de la CNBV, Reglamento Interior de la CNBV, publicados el 12 de noviembre de 2014, Estatuto Orgánico del Instituto para la Protección al Ahorro Bancario, publicada en el DOF el 27 de marzo de 2014, Ley para Regular las Instituciones de Tecnología Financiera, publicada en el DOF el 9 de marzo de 2018.
7 Publicadas en el DOF, 2 de diciembre de 2005, última modificación 2 de septiembre de 2022. https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20aplicables%20a%20las%20instituciones%20de%20cr%C3%A9dito.pdf
8 Disponible en: https://www.cecoban.com/blog/que-es-el-open-banking-y-como-funciona/
9 De acuerdo con Ley de Ahorro y Crédito Popular, las SOFIPO operan de acuerdo a 4 niveles de operación que son determinados por el tamaño de los activos totales, conforme a lo siguiente: NIVEL 1: Activos iguales o inferiores a 15 millones de UDIS; NIVEL 2: Activos superiores a 15 millones de UDIS e iguales o inferiores a 50 millones de UDIS; NIVEL 3: Activos superiores a 50 millones de UDIS e iguales o inferiores a 280 millones de UDIS; y NIVEL 4: Activos superiores a 280 millones de UDIS.
10 Disposiciones de Carácter General a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5377892&fecha=31/12/2014#gsc.tab=0
11 Artículo 2 de la Ley de Instituciones de Crédito publicada en el Diario Oficial de la Federación el 18 de julio de 1990, cuya última reforma fue publicada en el Diario Oficial de la Federación el 11 de marzo de 2022, disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/LIC.pdf.
12 https://www.bdvanguardia.com/transformacion-digital-en-el-sector-sofom-mexico/.
13 Artículos 87-B y 87-K de la Ley General de Organizaciones y Actividades Auxiliares del Crédito (LGOAAC) publicada en el Diario Oficial de la Federación el 14 de enero de 1985, cuya última reforma fue publicada en Diario Oficial de la Federación el 9 de marzo de 2018, disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/139_090318.pdf.
14 De acuerdo con las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-B, las Operaciones Relevantes, Operaciones Inusuales y Operaciones Internas Preocupantes están definidas en el artículo 1 fracciones XXV, XXVI y XXVII, disponible en: https://www.gob.mx/cms/uploads/attachment/file/672524/Compilado_DCG_PLDFT_SOFOMES.pdf y sus modificaciones https://www.dof.gob.mx/nota_detalle.php?codigo=5629270&fecha=09/09/2021#gsc.tab=0.
15 https://www.dof.gob.mx/nota_detalle.php?codigo=5554779&fecha=21/03/2019#gsc.tab=0
16 Nos referimos a empresas extranjeras como aquellas que no están constituidas en México.
17 Suprema Corte de Justicia de la Nación, Décima Época, Jurisprudencia 2a./J. 10/2021 (10a.), Semanario Judicial de la Federación, Libro 84, Vol. II, marzo 2021, p. 2021. Disponible en: https://sjf2.scjn.gob.mx/detalle/tesis/2022917.
18 Disponibles en: https://home.inai.org.mx/?page_id=3420.
19 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, Criterio de Interpretación, Segunda Época, emitido el 14 de julio de 2022, Disponible en: Criterios
20 La Ley de Ahorro y Crédito Popular (LACP) establece, en términos similares a lo previsto por la LIC, disposiciones relativas a la confidencialidad de la información de la que disponen las Sociedades Financieras Populares respecto de sus clientes y usuarios, los terceros contratados por estas como comisionistas, así como los supuestos de carácter limitativo en los cuales se realizan transferencias de la información a las autoridades competentes y los convenios de intercambio de información con las autoridades financieras competentes (artículos 34 y 36 Bis 3 de la LACP).
21 Nabalón Iván, Herrera Diego y Vadillo Sonia (2021). Onboarding digital. BID.
22 Informes de Labores del INAI, (2017, 2018, 2019, 2020 y 2021). Disponibles en: https://micrositios.inai.org.mx/informesinai/