Protección de Datos Personales en el Entorno Tecnológico Financiero
¿Qué son las ITF o FinTech?
Las Instituciones Tecnológicas Financieras (ITF), más conocidas como FinTech, son empresas que utilizan la tecnología para brindar asistencia financiera de manera eficiente, ágil, cómoda y confiable. Estos servicios están al alcance de quienes tengan un dispositivo móvil y conexión a internet, cumpliendo con los principios de la Ley para Regular las Instituciones de Tecnología Financiera (LRITF) de inclusión e innovación financiera.
La ayuda financiera, en el entorno tecnológico, tiene sus antecedentes en diversos servicios electrónicos que iniciaron el camino para las FinTech como las conocemos ahora. Entre otras: Confinity, que se convertiría en PayPal (1998); Alipay, plataforma de pagos de Alibaba (2004); Kiva, plataforma de Crowdfunding (2005); Kickstarter, financiera de proyectos creativos y Bitcoin (ambos de 2009); Transferwise, transferencia de dinero (2011); Ant Financial Services Group, la FinTech de Alibaba (2014). En gran medida, a la vez que aumentó el comercio electrónico, se abrió el camino para el uso de pagos electrónicos que evolucionaron en FinTech con el desarrollo de las tecnologías.
Desde la publicación de la LRITF, expedida el 9 de marzo de 2018, “la Comisión Nacional Bancaria y de Valores (CNBV), tiene identificadas más de 500 plataformas que operan en México, de las cuales 201 operan bajo las figuras que reconoce la LRITF”. La creciente participación de usuarios que utilizan los servicios de la ITF no parece disminuir sino todo lo contrario; de ahí la importancia de la industria FinTech en México.
¿Cómo converge con la protección de datos personales?
Las ITF, al igual que todos los servicios electrónicos, se alimentan de los datos personales de sus usuarios para prestar sus servicios y mejorar sus plataformas digitales. Deben cumplir con los principios y obligaciones de la Ley Federal de Protección de Datos en Posesión de los Particulares (LFPD), el Reglamento y demás normativas vigentes en la materia.
Las plataformas de los servicios de la ITF utilizan diversas clasificaciones de datos personales, entre otros: datos de identificación, contacto y de carácter financiero o económico. La categoría de datos financieros no son datos personales sensibles, pero requieren mayor protección porque su indebido tratamiento puede causar un perjuicio grave al patrimonio del titular.
Nos enfocaremos en la normativa de datos personales en México, pero no se descarta que las ITF deban cumplir con la normativa de protección de datos de la Unión Europea (Reglamento General de Protección de Datos RGPD). Además, deberán observar la normativa de protección de datos personales de otras jurisdicciones de Europa e Iberoamérica.
¿Cómo cumplen las ITF con las obligaciones en materia de protección de datos?
El debido cumplimiento del principio de información es el primer punto de partida de los Responsables, se logra poniendo a su disposición el Aviso de Privacidad.Entre otras cosas, el Aviso de Privacidad deberá incluir las transferencias nacionales e internacionales. Existen transferencias de datos, específicamente de datos personales sensibles, que requieren del consentimiento de sus titulares. Se habla de transferencias, porque el entorno de prestación de servicios de las ITF facilita los flujos de datos trasfronterizos; situación que no les exime de la responsabilidad que tienen de informar dichas transferencias.
Las relaciones jurídicas, que pueden tener los Responsables con sus prestadores de servicios, pueden referirse a transferencias o encargos del tratamiento de datos personales. Por una parte, el encargo del tratamiento limita el uso solamente a lo que indique el Responsable; mientras que las transferencias se refieren a la comunicación de datos a terceros distintos de los encargados.
Es importante definir entre una relación y otra, ya que existen obligaciones, conforme a la LFPD y su reglamento, de regularlas con cualquier instrumento jurídico. Esto permite establecer obligaciones de cada una de las partes y obliga contractualmente a cumplir con lo dispuesto por la LFPD respecto de los datos personales de los titulares.
El Reglamento de la LFPD establece como obligación de los Responsables elaborar y mantener un inventario de datos personales y de los sistemas de tratamiento. El cumplimiento de esta obligación le permite a los Responsables del ITF, entregar a la Comisión Nacional Bancaria y de Valores (CNBV) la relación de convenios o contratos con otras ITF o proveedores de servicios tecnológicos, que establece el artículo 39 de la LRITF.
La materia de protección de datos personales está estrechamente ligada a la actividad de las ITF, también proporciona un nivel mínimo de cumplimiento en materia de Seguridad de la Información (SSII). La protección de datos personales, no se puede aislar como un tema independiente. Al cumplir con obligaciones de la LFPD, las ITF tienen elementos para satisfacer algunos requisitos que exige la LRITF y hacer más seguro el entorno digital.
Medidas de seguridad técnicas
Los Responsables de datos personales tienen la obligación de mantener medidas de seguridad físicas, técnicas y administrativas. Las medidas de seguridad técnicas se refieren al conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:
- Solamente usuarios identificados y autorizados tengan acceso a las bases de datos lógicas.
- El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las tareas que requiere con motivo de sus funciones.
- Se incluyan acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros.
- Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
Cada Responsable tiene la libertad de establecer las medidas técnicas de seguridad que considere pertinentes. No obstante, se recomienda tomar en consideración los siguientes elementos antes de establecer dichas medidas de seguridad: el giro de negocio, entornos de tratamiento de datos personales, categorías de datos personales (sensibles, biométricos o geolocalización).
Los Responsables tienen como obligación realizar un registro de los medios de almacenamiento de datos personales. Así comprobará que cuenta con la infraestructura tecnológica, controles internos, políticas, procedimientos, manuales y demás documentación que exige la LRITF.
Puntos a considerar
Las ITF han aumentado su actividad y no parece disminuir con la entrada en vigor de la LRITA. Por este motivo, deben contar con un equipo fuerte de consultoría que les brinde respuestas en materia de protección de datos y SSII. El cumplimiento de la normativa de protección de datos personales permitirá a las ITF tener elementos para cumplir con la LRITF.
Las medidas de seguridad técnicas están sujetas a aprobación por los Responsables del tratamiento de datos personales. Este cumplimiento puede facilitar documentación que las ITF deberán entregar a la CNBV para su aprobación.
En el entorno de la economía digital, la protección de nuestros datos personales se vuelve imprescindible, pues se utilizan como base para determinar si los usuarios tienen o no acceso a sus servicios.