Con fecha 03 de julio del presente año, la Comisión para el Mercado Financiero (en adelante la “CMF”) dictó la Norma de Carácter General N°514 (en adelante la “NCG” o la “Normativa”) mediante la cual se regula el Sistema de Finanzas Abiertas (en adelante “SFA”)al que se refiere el Título III de la N°21.521 (en adelante la “Ley Fintec”).
La norma se estructura en diferentes secciones, dentro de las cuales destacamos:
1. Perímetro del SFA.
Conforme con lo señalado en los artículos 18,19 y 20 de la Ley Fintec, la NCG establece como participantes del SFA a aquellas entidades que califiquen como: i)Instituciones Proveedoras de Información (IPI); ii) Instituciones Proveedoras de Cuentas (IPC); iii) Proveedores de Servicios Basados en Información(PSBI); y, iv) Proveedores de Servicios de Iniciación de Pago (PSIP).
La Normativa estipula que cada entidad deberá adoptar medidas que permitan la consulta, acceso, entrega e intercambio seguro y expedito de información financiera relacionada con sus clientes y los productos o servicios financieros que estos hayan contratado. Conforme a ello, ya fin de tener claridad ante quien solicitar dicha información, la CMF creará distintas nóminas y registros en las que dichas entidades deberán inscribirse y/o registrarse según el tipo de rol que cumplan en el SFA, entre las cuales están la Nómina de Instituciones Proveedoras de Información y Proveedoras de Cuentas (Nomina IPI y Nómina IPC), el Registro de Prestadores de Servicios Basados en Información (Registro PSBI), y el Registro de Proveedores de Servicios de Iniciación de Pagos (Registro PSIP).
2. Funcionamiento del SFA.
Para el funcionamiento del SFA, la NCG establece que el intercambio de información será por medio de Interfaces de Programación de Aplicaciones (APIs), las cuales deberán cumplir con los estándares y especificaciones técnicas establecidas en la Normativa y, a su vez, serán requeridas para permitir el envío de los datos del SFA solicitados por los PSBI y PSIP alas IPI e IPC.
En este contexto, las entidades fiscalizadas estarán obligadas a utilizar exclusivamente dichas APIs, a menos que la CMF disponga lo contrario permitiendo el uso de un mecanismo alternativo regulado. Asimismo, aunque el desarrollo y mantenimiento de las APIs pueda ser delegado a terceros, la entidad que participa en el SFA será la única responsable ante la CMF por el funcionamiento de estas. Con todo, el intercambio de información entre los participantes del SFA se realizará siempre de manera bilateral, independientemente si se tercerizan los servicios.
3. Seguridad y resguardos del SFA.
En el ámbito de seguridad y resguardos, la NCG establece principios de gestión de riesgos y control interno que las entidades participantes del SFA deben cumplir, estableciéndose como ejes principales: i) La responsabilidad del Directorio; ii) La función de gestión de riesgos como instancia responsable del monitoreo de los controles definidos en las políticas y los procedimientos aplicables; iii) El plan de gestión de riesgos; iv) El riesgo operacional; y, v) La externalización de servicios.
Por medio de este conjunto de directrices, la CMF busca asegurar que las entidades participantes del SFA implementen prácticas efectivas de gestión de riesgos y control interno, con supervisión directa del Directorio y adaptadas a las necesidades específicas de cada entidad según el rol que cumplen en el sistema.
4. Información del SFA.
La Normativa organiza en diversas categorías la información que se compartirá en el SFA, siendo estás: i) Los términos, condiciones y canales de atención; ii) La identificación y registro; iii) Las condiciones comerciales contratadas y el uso o historia de transacciones; y, iv) La iniciación de pagos.
Del mismo modo, en el AnexoN°1 de la NGC se detallan los datos que deben ser suministrados y compartidos, especificando, asimismo, las entidades obligadas a proveer dicha información en el SFA y quienes pueden acceder a la misma.
5. Implementación de la NCG.
Por último, respecto a su implementación, la NCG establece un proceso gradual cuyos plazos dependerán del tipo de entidad a la que aplique la regulación y el tipo o categoría de datos a compartir. Sin perjuicio de lo anterior, el plazo inicial establecido para la entrada en vigencia de la normativa será de 24 meses desde su dictación, es decir, el 4 de julio de 2026, plazo que se otorga para la preparación tecnológica y el desarrollo de tareas necesarias por parte de las entidades participantes y la CMF.
Para cualquier cuestión relacionada con este tema, puede contactar con Javier Edwards y Raúl Aranda Smith