Guía para entender las APIS y el Open Finance

Hoy en día no podríamos imaginar el funcionamiento de aplicaciones financieras sin el uso de las APIS. Entre otros aspectos, de acuerdo con un artículo publicado en la revista Harvard Business Review,[2] principalmente se han identificado los siguientes beneficios comerciales:

1. Las APIS pueden atraer complementos de gran éxito. Por ejemplo, en un principio GoogleMaps no se volvió un activo principal para la compañía sino hasta que una aplicación de terceros le permitió mostrar ubicaciones de bienes raíces en un mapa; y

2. Las APIS son ventanas para nuevos ecosistemas. Por ejemplo, el caso de Watson, la plataforma de inteligencia artificial desarrollada por IBM y que se encuentra abierta al público con la finalidad de atraer nuevas ideas e incrementar el potencial de uso.[4]

¿Qué dice la Ley?

En términos de la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) las entidades financierass están obligadas a establecer APIS y a permitir su acceso a terceros, de tal suerte que:

Ello implica que por ley, los Proveedores de Datos tienen la obligación de establecer APIS que posibiliten la conectividad y acceso de otras interfaces desarrolladas por los Solicitantes de Datos.

¿Qué tipo de datos pueden ser objeto de intercambio?

Los datos e información que se pueden compartir a través de las APIS, son los siguientes:

• Datos financieros abiertos, es decir, aquéllos que no contienen información confidencial, como la información de productos y servicios que se ofrecen al público general; así como, en su caso, la ubicación de oficinas y sucursales.

• Datos agregados, es decir, información estadística relacionada con las operaciones realizadas, sin que se puedan identificar los datos personales o sus transacciones. Para su acceso se atenderá a los mecanismos de autenticación que determinen las disposiciones secundarias.

• Datos transaccionales, son los más sensibles, puesto que son los datos que están relacionados con el uso de un producto o servicio. Al contener datos personales, éstos sólo podrán compartirse previa autorización expresa de los clientes y, por ende, dicha información sólo podrá ser utilizada para los fines autorizados por los mismos.

¿Qué ocurre con el secreto bancario o financiero?

Un aspecto fundamental a tener en consideración en el intercambio de información a través de las APIS, es que de acuerdo con la Ley Fintech, dicho intercambio no puede considerarse como una violación a las obligaciones de confidencialidad que las leyes respectivas le imponen a cada una de las entidades financieras.

¿Qué otros aspectos deben tomarse en cuenta?

Los Proveedores de Datos deben interrumpir el acceso tan pronto:

1. El titular de la información retire su consentimiento;

2. Existan vulnerabilidades que pongan en riesgo la información de sus clientes; o

3. El tercero incumpla con los términos y condiciones pactados para el intercambio de datos.

Por su parte, para el acceso a la información los Solicitantes de Datos deben tener autorización previa de su respectiva Comisión Supervisora (descritas más adelante) o de Banco de México tratándose de Sociedades de Información Crediticia y de Cámaras de Compensación.

Asimismo, es importante tener en cuenta que Banco de México y la Comisión Nacional Bancaria y de Valores (CNBV), en sus respectivos ámbitos de competencia, cuentan con facultades para emitir disposiciones de carácter general para regular el intercambio de datos e información que se puede compartir. En ejercicio de dichas facultades:

1. El 4 de junio de 2020, la CNBV publicó las "Disposiciones de Carácter General Relativas a las Interfaces de Programación de Aplicaciones Informáticas Estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera", dirigidas a las Entidades Financieras, ITF, sociedades autorizadas por la CNBV para operar con Modelos Novedosos y transmisores de dinero. 

2. El 10 de marzo de 2020, Banco de México publicó la "Circular 2/2020" en materia de APIS para Sociedades de Información Crediticia y Cámaras de Compensación.

Por otra parte, además de la CNBV, la Ley Fintech considera a la Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR) y a la Comisión Nacional de Seguros y Fianzas (CNSF) como "Comisiones Supervisoras" y por lo tanto también facultadas para emitir disposiciones en materia de APIS (inclusive el régimen transitorio de la Ley Fintech les fijó un plazo que venció el 10 de marzo de 2020).[6] Sin embargo, al día de hoy dichas Comisiones (a excepción de la CNBV) no han emitido disposiciones especificas en la materia.[8]

Asimismo, dichas Comisiones y, en su caso, Banco de México, deben autorizar las contraprestaciones que se cobren con motivo del intercambio de información, las cuales deberán ser equitativas y transparentes, y registrarse ante las autoridades antes señaladas.

¿Cuando se vuelven obligatorias?

Los sujetos regulados por las Disposiciones de la CNBV tienen un plazo máximo hasta el 5 de junio de 2021 para implementar las APIS, es decir, 12 meses después de la entrada en vigor de la regulación secundaria.

Por su parte, los sujetos regulados por la Circular de Banxico tienen un plazo máximo de hasta 360 días a partir de la entrada en vigor de la misma (que a su vez ocurrirá 360 días después de su publicación en el Diario Oficial de la Federación) para obtener la autorización correspondiente.

Finalmente, de acuerdo a la Ley Fintech, las entidades financieras supervisadas por la CONSAR y la CNSF, estarán obligadas a establecer las APIS en un plazo que no exceda de 12 meses, contado a partir de la entrada en vigor de las disposiciones secundarias que dichas autoridades emitan.[9]