Acuerdo Marco Para Captura De Datos Y Open Banking En Chile

Junio 29, 2022

La Asociación de Bancos y el gremio FinteChile han informado que se ha firmado un Acuerdo Marco para la captura de datos, dando con ello el primer pasoen lo que es el primer avance concreto para el Open Banking en Chile. 

Javier Edwards Renard

Aspectos Generales 

En este Acuerdo Marco (“AM”), el que también ha sido suscrito por Banco Estado, se establecen:

  • Estándares de responsabilidad, y
  • Mecanismos de captura de datos de clientes de las instituciones que participen del pacto de manera controlada vía web scraping

Lo anterior, con el objeto de servir de marco de acción mientras se establecen otros mecanismos de captura, y sin perjuicio de los cambios normativos que se aprueben en el futuro.

De acuerdo con los término de este AM, a él podrán adherir los bancos y las entidades que formulen consultas a través de los mecanismos y condiciones en él pactadas. Asimismo, este AM serácomplementado por contratos bilaterales (CB) que deberán acordar las instituciones participantes. En todo aquello que no esté expresamente regulado en los BC se estará a lo estipulado en el AM.

Asimismo, se establece que será de responsabilidad de las instituciones que consultan a este AM, el contar con la autorización explícita de sus clientes para el acceso, uso, almacenamiento y tratamiento de la información que se obtenga a través de la captura de datos vía web scraping.

Medidas de seguridad

La captura de datos personales se regirán bajo siete principios:

  • Finalidad,
  • Proporcionalidad,
  • Calidad,
  • Seguridad,
  • Transparencia,
  • Responsabilidad, y
  • Confidencialidad

Los estándares de seguridad deben estar alineadas de acuerdo al Capítulo 20-10 de la Recopilación Actualizada de Normas de la Comisión para el Mercado Financiero (“CMF”)

Así, las entidades participantes tendrán que:

  • Considerar un modelo de gestión de incidentes de seguridad y ciberseguridad.
  • Establecer mecanismos y protocolos de intercambio de información con las instituciones que proveen datos sobre los incidentes de ciberseguridad o situaciones que puedan afectar la continuidad operacional.
  • Implementar un modelo de información oportuna a las entidades que proveen sobre cualquier evento anómalo, vulnerabilidades técnicas de categoría crítica o eventos de fraude identificados en la infraestructura de la institución que consulta por los datos, y que afecte la seguridad de la información de los clientes o de la empresa que provee.

Respecto de la responsabilidad de las entidades participantes se resolvió que “la verificación del cumplimiento de los estándares definidos en materia de seguridad, así como también la notificación de cualquier evento o vulnerabilidad en ningún caso significará la adopción de algún tipo de responsabilidad por parte de la institución que provee frente a eventos anómalos o vulnerabilidades”.

Prevención de fraudes

 Asimismo, el AM aborda la prevención de fraudes. Para estos efectos, las entidades participantes tendrán que implementar mecanismos ante casos de alertas o incidentes, como también de vulnerabilidades técnicas de categoría crítica o eventos de fraude identificados en la infraestructura de la institución que consulta, y afecte la seguridad de la información de los clientes o de la entidad que provee.

Por su parte, las empresas que proveen información “podrán bloquear los accesos de las instituciones que consultan, en caso de que éstas presenten vulnerabilidades críticas o estén bajo un ciberataque o amenaza de éste, exista fuga de información, se incumplan los protocolos de seguridad previamente establecidos, u otro evento que pudiese afectar la seguridad de la información o la continuidad operativa”. 

Para prevenir estas situaciones, se definió un procedimiento simplificado para determinar la responsabilidad de las partes por operaciones desconocidas realizadas por clientes de las instituciones.

De concretarse un fraude, las entidades que consultan datos – autorizadas por sus clientes para realizar actividades de captura de datos- serán responsable y se obligarán a reembolsar a la institución que proveyó la información por los montos que estas últimas hayan soportado o en que deban incurrir a favor de sus clientes en conformidad a la ley con ocasión del fraude, cuando exista una causa imputable a la empresa que realiza la consulta.

Asimismo deberán asumir su responsabilidad en caso de errores en sus plataformas o vulnerabilidades en sus sistemas, que permitan el acceso no autorizado por terceros o produzcan la divulgación de credenciales o información de clientes.

Previo al inicio de cualquier acción judicial,  “las entidades participantes del acuerdo deberán analizar de buena fe y realizar sus mejores esfuerzos para determinar el origen de un fraude que hayan sufrido clientes de las instituciones que proveen”.  El plazo para estos efectos será de Se doce (12) días hábiles corridos desde la notificación entre las partes. En caso de no alcanzarse un acuerdo dentro del referido plazo, toda diferencia, dificultad, o controversia que surja entre entidades participantes respecto de un evento de fraude sufrido por algún cliente, será sometido a conocimiento y resolución de una comisión arbitral.

Tribunal arbitral

Esteserá integrado por tres miembros, quienes resolverán en única instancia y como tribunal arbitral mixto. Todos los miembros de la comisión arbitral deberán ser abogados.

Cada entidad tendrá derecho a designar libremente a un miembro, dentro de aquellos que figuren en el listado del cuerpo arbitral del Centro de Arbitrajes y Mediación de la Cámara de Comercio de Santiago. El tercer miembro, quien presidirá la comisión arbitral, será designado por el mismo Centro a petición escrita de cualquiera de las partes.

https://ednabogados.cl/wp-content/uploads/2020/08/LOGO-RECTANGULAR-245.png
Estamos a tu disposición cuando nos necesites
Lunes a Domingo: 08 am a 08:00 pm
info@ednabogados.cl

Síguenos

EDN Abogados SpA

Copyright ©EDN Abogados 2022