Como es conocido, el 9 de marzo del 2018 fue finalmente publicada la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech), tras varios meses de borradores y negociaciones.

Como referencia, recordemos que la Ley Fintech regula dos tipos de instituciones de tecnología financiera o ITFs y un tipo de actividad:

  • Instituciones de financiamiento colectivo
  • Instituciones de fondos de pago electrónico, y
  • Sociedades autorizadas para operar con modelos novedosos (sandbox)

En relación con nuestro tema, debemos indicar que, aunque en la exposición de motivos de la Ley Fintech se indica que en ésta se establecen “los lineamientos para la protección de datos personales”, su texto incluye pocas disposiciones específicas al respecto.

En particular, el artículo 76, fracción III de la ley establece que los llamados “datos transaccionales” deben ser considerados como datos personales y, por lo tanto, sólo podrán compartirse con la previa autorización expresa de los clientes (o sea, de sus titulares); como es obvio, se trata de datos personales clasificables como datos financieros/patrimoniales (cfr. artículo 8 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares —LFPD).

El mismo artículo 76 de la Ley Fintech dispone que los datos transaccionales “son aquellos relacionados con el uso de un producto o servicio, incluyendo cuentas de depósito, créditos y medios de disposición contratados a nombre de los clientes de las entidades mencionadas en el primer párrafo de este artículo (entidades financieras, los transmisores de dinero, las sociedades de información crediticia, las cámaras de compensación a que se refiere la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, las ITFs y las sociedades autorizadas para operar con modelos novedosos), entre otra información relacionada con las transacciones que los clientes hayan realizado o intentado realizar en su infraestructura tecnológica”.

La Ley Fintech (artículo 39, fracción VI) también dispone que las ITFs y las sociedades autorizadas para operar con modelos novedosos deben contar con políticas de seguridad de la información (la cual, obviamente, incluye información considerada como datos personales), políticas de confidencialidad y aportar evidencia de que cuentan con un soporte tecnológico seguro, confiable y preciso para sus clientes y con los estándares mínimos de seguridad que aseguren la confidencialidad, disponibilidad e integridad de la información y prevención de fraudes y ataques cibernéticos.

Tenemos que acudir a las siguientes disposiciones de carácter general para encontrar otras reglas u obligaciones relacionadas con la protección de datos personales y el entorno fintech:

  1. Disposiciones de Carácter General aplicables a las Instituciones de Tecnología Financiera; 
  2. Disposiciones de Carácter General relativas a las Sociedades Autorizadas para Operar Modelos Novedosos a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera y
  3. Disposiciones de Carácter General de la Condusef en Materia de Transparencia y Sanas Prácticas aplicables a las Instituciones de Tecnología Financiera.

Las Disposiciones de Carácter General aplicables a las Instituciones de Tecnología Financiera establecen que los solicitantes de autorizaciones para operar instituciones de financiamiento colectivo deberán entregar evidencia de que sus encargados de datos personales han implementado políticas de protección de datos personales y de confidencialidad de la información que permitan al responsable de los datos (es decir, a la institución de financiamiento colectivo) cumplir con sus propias obligaciones en materia de protección de datos personales (artículo 86, fracción IX).

Las Disposiciones de Carácter General relativas a las Sociedades Autorizadas para Operar Modelos Novedosos a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera establecen que los solicitantes de una autorización para operar modelos novedosos deberán proporcionar Políticas de Gestión de Contingencias Operativas e de Incidentes de Seguridad de la Información, que deberán contener procedimientos de reporte de este tipo de situaciones hacia la Comisión Nacional Bancaria y de Valores (artículo 11).

Las Disposiciones de Carácter General de la Condusef en Materia de Transparencia y Sanas Prácticas aplicables a las Instituciones de Tecnología Financiera incluyen reglas sobre el consentimiento que debemos obtener para poder enviar publicidad a los usuarios o para utilizar la información de estos con fines mercadotécnicos, publicitarios o de cualquier otra índole; al respecto, se establece de manera clara que las 

ITFs “deben obtener la previa autorización del Usuario, a través de su consentimiento expreso independiente al del contrato de adhesión de servicios o productos” (artículo 11, primer párrafo).

En estas mismas disposiciones, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros indica que las ITFs“se abstendrán de utilizar, con fines mercadotécnicos o publicitarios, la información de los usuarios que estén inscritos en el REUS, a menos de que éstos les hubiesen otorgado su autorización para tales efectos, con posterioridad a su inscripción en el mismo (artículo 11, tercer párrafo).

Consideramos relevante mencionar que estas disposiciones de la Condusef abordan de manera directa la aplicación de la LFPD a las actividades de las ITFs, al indicar de manera expresa, en el penúltimo párrafo del citado artículo 11, lo siguiente: “En cualquier caso, para el uso de datos personales, las instituciones de tecnología financiera estarán a lo previsto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares”.

Finalmente, y debido a su directa relación con el cumplimiento de diversos principios relativos al tratamiento de datos personales, debemos destacar que en el artículo 52 de las disposiciones de la Condusef a que hacemos referencia, se indica que las siguientes conductas se apartan de las sanas prácticas y usos relativos al ofrecimiento y comercialización de las operaciones y servicios financieros por parte de las ITFs:

  • Hacer uso de cookies sin contar con el consentimiento expreso del usuario
  • Dar por aceptada cualquier notificación o aviso cuando el usuario siga visualizando el contendió del sitio o de la página web, por tiempo o por pulsaciones
  • Evitar que los usuarios puedan acceder a los avisos de privacidad, términos y condiciones de uso de la plataforma, políticas de cookies de la página de Internet, y
  • Obstaculizar cualquier información relevante, ligas de interés, términos o condiciones o aviso de privacidad, política de cookies o cualquier otro tipo de información de interés al usuario por cualquier ventana emergente.

Lo anterior, desde luego, sin perjuicio de que las conductas mencionadas puedan ser violatorias de la LFPD por sí mismas.

Ley Federal de Protección de Datos Personales en Posesión de los Particulares:

Ningún “jugador” del entorno fintech mexicano puede pasar por alto que, además de cumplir con la ley y con las disposiciones de carácter general que cada autoridad financiera pueda emitir en el ámbito de sus respectivas competencias, todos y cada uno de ellos deberán observar (al menos) las disposiciones aplicables de la siguiente normativa:

  • LFPD
  • Reglamento de la LFPD
  • Lineamientos del aviso de privacidad
  • Parámetros de Autorregulación en materia de Protección de Datos Personales
  • Recomendaciones en materia de seguridad de datos personales.

En este orden de ideas, todas las ITFs y las sociedades autorizadas para operar modelos novedosos deberán cumplir con los ocho principios relativos al tratamiento de datos personales: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

En cuanto al principio de información (o sea, uno de los ocho principios antes indicados), todas las 

ITFs y las sociedades autorizadas para operar modelos novedosos deberán proporcionar los avisos de privacidad que resulten necesarios, incluyendo aquellos que sean aplicables a sus clientes/usuarios, empleados, candidatos u otros titulares de datos.

Otros aspectos relevantes que deberán ser abordados por las ITFs y las sociedades autorizadas para operar modelos novedosos para cumplir con la normativa de protección de datos personales incluyen:

  • El consentimiento de los titulares (y cualquier posible excepción)
  • La designación de la persona o del departamento de datos personales
  • Los medios para atender solicitudes de ejercicio de derechos ARCO
  • Medidas de seguridad
  • Políticas de conservación, bloqueo y cancelación de los datos personales
  • Transferencias y remisiones de datos personales
  • Encargos de datos personales

Todo esto significa que las ITFs y las sociedades autorizadas para operar modelos novedosos deberán ser especialmente cuidadosas con el cumplimiento de su normativa especializada, pero también con el cumplimiento de una ley que ha estado en vigor en nuestro país muchos años antes de que la Ley Fintech fuese publicada.

El autor es socio en BGBG Abogados.

[email protected]