{"id":1724,"date":"2025-04-02T12:22:23","date_gmt":"2025-04-02T15:22:23","guid":{"rendered":"https:\/\/www.hdgroup.cl\/legal\/?p=1723"},"modified":"2025-04-02T12:24:18","modified_gmt":"2025-04-02T15:24:18","slug":"prensa-articulo-para-la-asociacion-internacional-de-profesionales-de-la-privacidad-iapp","status":"publish","type":"post","link":"https:\/\/www.hdgroup.cl\/legal\/blog\/2025\/04\/02\/prensa-articulo-para-la-asociacion-internacional-de-profesionales-de-la-privacidad-iapp\/","title":{"rendered":"Prensa | Art\u00edculo para la Asociaci\u00f3n Internacional de Profesionales de la Privacidad (IAPP)"},"content":{"rendered":"

Link: https:\/\/iapp.org\/news\/a\/los-desaf-os-de-la-protecci-n-de-datos-personales-en-el-sfa-de-chile<\/a><\/p>\n

Los desaf\u00edos de la protecci\u00f3n de datos personales en el SFA de Chile<\/h2>\n

Por Mat\u00edas Langevin, socio HD, y Juan Pablo Gonz\u00e1lez, director de Protecci\u00f3n de Datos Personales, Ciberseguridad y Nuevas Tecnolog\u00edas HD.<\/p>\n

\n
\n

La Ley N.\u00ba 21.521<\/a>, que promueve la competencia e inclusi\u00f3n financiera a trav\u00e9s de la innovaci\u00f3n y tecnolog\u00eda en la prestaci\u00f3n de servicios, conocida como la \u201cLey Fintech\u201d, en su T\u00edtulo III plantea una especial regulaci\u00f3n del Sistema de Finanzas Abiertas (conocido tambi\u00e9n como \u201cOpen Finance\u201d), estableciendo reglas y principios para la implementaci\u00f3n de un sistema que permite el intercambio de diversos prestadores de servicios de clientes financieros que hayan consentido expresamente, mediante el acceso remoto y automatizado que permite la interconexi\u00f3n y comunicaci\u00f3n directas entre las diversas instituciones, con altos est\u00e1ndares de seguridad. En concordancia con el art\u00edculo 16 de la Ley Fintech, deber\u00e1n cumplir principios como proporcionalidad, calidad, transparencia e informaci\u00f3n al cliente, seguridad y privacidad de los datos, trato no discriminatorio e interoperabilidad entre instituciones participantes.<\/p>\n<\/div>\n<\/div>\n

\n

Los sujetos que participan en el SFA son aquellos: (i) instituciones proveedoras de informaci\u00f3n (IPI); (ii) instituciones proveedoras de cuentas (IPC); (iii) proveedores de servicios basados en informaci\u00f3n (PSBI); y (iv) proveedores de servicios de iniciaci\u00f3n de pagos (PSIP).<\/p>\n<\/div>\n

\n

En conformidad con el art\u00edculo 17 de la normativa en cuesti\u00f3n, el SFA deber\u00e1 comprender: (1) Informaci\u00f3n sobre t\u00e9rminos y condiciones generales de los productos y servicios financieros que ofrezcan al p\u00fablico, m\u00e1s los canales de atenci\u00f3n al p\u00fablico de las IPI; (2) informaci\u00f3n de identificaci\u00f3n y registro de los clientes y sus representantes recabada por las IPI durante el proceso de enrolamiento del cliente, contrataci\u00f3n de los productos y servicios o ejecuci\u00f3n de operaciones; (3) informaci\u00f3n sobre las condiciones contratadas y el uso o historial de transacciones realizadas por los clientes respecto de los productos y servicios financieros que mantengan contratados con IPI; (4) comunicaciones entre proveedores de servicios financieros, para efectos del proceso de portabilidad financiera; (5) datos o informaci\u00f3n necesaria para la prestaci\u00f3n de servicios de iniciaci\u00f3n de pagos; (6) otros datos o informaci\u00f3n relativa a productos o servicios financieros o iniciaci\u00f3n de otro tipo de transacci\u00f3n, sujeto a la autorizaci\u00f3n del cliente, por lo que estos datos ser\u00e1n los que se centrar\u00e1n en el SFA.<\/p>\n<\/div>\n

\n
\n
<\/div>\n
Entre los aspectos claves para el funcionamiento del SFA\u2014y acorde al art\u00edculo 22 de la ley\u2014se encuentran est\u00e1ndares de seguridad que deber\u00e1n adoptar los proveedores adem\u00e1s de las medidas necesarias para cumplir con los est\u00e1ndares m\u00ednimos de seguridad de la informaci\u00f3n, ciberseguridad y pol\u00edticas de gesti\u00f3n de riesgos, control interno que permita resguardar la confidencialidad, integridad y disponibilidad de los datos y la informaci\u00f3n para prevenir riesgos que se produzcan de manera inherente por el tipo de informaci\u00f3n, as\u00ed como la calidad del dato sensible que se intercambie en los procesos de transacciones. En el caso de vulnerabilidades de las medidas de seguridad adoptadas, deber\u00e1n ser reportadas a la Comisi\u00f3n para el Mercado Financiero, teniendo en cuenta la normativa espec\u00edfica (ej. RAN 20-8 sobre informaci\u00f3n de incidente operacionales<\/a>).<\/div>\n<\/div>\n<\/div>\n
\n

Los art\u00edculos 23 y 24 de la normativa establecen algunos aspectos asociados con el consentimiento y la responsabilidad de las instituciones en cuanto a los procesos de transacci\u00f3n que se realicen; que si bien son abordados con profundidad, durante el 2024, la Comisi\u00f3n para el Mercado Financiero, dict\u00f3 la\u00a0Norma de Car\u00e1cter General N.\u00ba 514<\/a>, aplicable a las IPI, IPC, PSBI y PSIP debiendo aplicar medidas de seguridad, y para ello, adoptar interfaces de programaci\u00f3n de aplicaciones (API, por sus siglas en ingl\u00e9s) que realicen procesos de seguridad, es decir: (i) monitorear la informaci\u00f3n de las API; (ii) contar con resguardos y respaldos adecuados de la informaci\u00f3n, (iii) mantener un registro actualizado de los eventos propios del SFA, espec\u00edficamente los eventos realizados a trav\u00e9s de las API, dentro de un plazo de 5 a\u00f1os, (iv) eliminar correctamente la informaci\u00f3n una vez que venzan los plazos m\u00e1ximos legales.<\/p>\n<\/div>\n

\n

En materia de autentificaci\u00f3n y verificaci\u00f3n, la norma se\u00f1ala que: (i) se deben cumplir con est\u00e1ndares m\u00ednimos de autenticaci\u00f3n y confirmaci\u00f3n de clientes: se utilizar\u00e1 el est\u00e1ndar de\u00a0Open ID Connect<\/a>\u00a0sobre el est\u00e1ndar de autorizaci\u00f3n de acceso a lectura o escritura de datos OAuth 2.0; es decir, un protocolo que permite a los usuarios registrarse en las aplicaciones usando un solo set de credenciales; (ii) autenticaci\u00f3n del cliente financiero por parte de IPI e IPC: se requerir\u00e1 una autenticaci\u00f3n reforzada del cliente para la consulta de datos, y se puede solicitar informaci\u00f3n de autorizaci\u00f3n de acceso y confirmaci\u00f3n en el caso de cargos que busquen iniciaci\u00f3n de pagos; (iii) certificado digital por parte del PSBI e PSIP: se utilizar\u00e1 un certificado digital que permita la autentificaci\u00f3n de identidad y que permita comparar y confirmar los permisos\/roles indicados por el certificado versus los autorizados por el directorio que lleva la comisi\u00f3n para estos efectos.<\/p>\n<\/div>\n

\n

En materia de consentimiento, se se\u00f1ala:<\/p>\n<\/div>\n

\n
    \n
  1. La necesidad de contar con la voluntad de manera expresa, en el caso de las personas naturales, una autorizaci\u00f3n para el tratamiento y transmisi\u00f3n de los datos para iniciar pagos; y de personas jur\u00eddicas a trav\u00e9s de sus representantes legales o apoderados autorizados, ya sea para actuar conjunta o separadamente, para el tratamiento y transmisi\u00f3n de datos;<\/li>\n
  2. La implementaci\u00f3n de mecanismos de gesti\u00f3n del consentimiento, por ejemplo, mediante paneles;<\/li>\n
  3. El almacenamiento de la voluntad en soporte duradero, es decir, que re\u00fana los requisitos de seguridad, integridad y acceso, adem\u00e1s de permitir acreditar las condiciones, que fue otorgado de manera \u201clibre, informada, expresa y espec\u00edfica\u201d, en relaci\u00f3n con el tipo de informaci\u00f3n requerido, la finalidad y el per\u00edodo m\u00e1ximo de validez;<\/li>\n
  4. En el caso del consentimiento para la transmisi\u00f3n, tratamiento o cesi\u00f3n de datos, o iniciaci\u00f3n de pagos, se debe informar de manera precisa y clara:<\/li>\n<\/ol>\n<\/div>\n
    \n
      \n
    1. \n
        \n
      1. \n
          \n
        1. Los datos sobre los cuales consiente el intercambio, tratamiento, cesi\u00f3n o iniciaci\u00f3n de pagos;<\/li>\n
        2. La instituci\u00f3n a la que confiere la autorizaci\u00f3n o que permite iniciar y cursar los pagos;<\/li>\n
        3. El per\u00edodo o frecuencia;<\/li>\n
        4. La finalidad de la actividad.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/div>\n
          \n
            \n
          1. La vinculaci\u00f3n con la finalidad respectiva, especialmente, en posibles procesos de fiscalizaci\u00f3n y, por ende, el cumplimiento con el principio de finalidad, cuando sean datos personales de personas naturales;<\/li>\n
          2. La manera en que se presente la obtenci\u00f3n del consentimiento debe ser en lenguaje sencillo, claro, preciso y evitando tecnicismos, salvo en los que resulte estrictamente necesario;<\/li>\n
          3. La existencia del panel de control y la forma en que se podr\u00e1 acceder al mismo, mediante el cual se podr\u00e1 conocer, verificar y revocar los consentimientos otorgados; usualmente, se ha promovido el uso de paneles que permiten gestionar directamente el consentimiento;<\/li>\n
          4. Y, por \u00faltimo y no menos importante, los mecanismos de autentificaci\u00f3n del titular o cliente conforme a los requerimientos antes indicados.<\/li>\n<\/ol>\n<\/div>\n
            \n

            Para la gesti\u00f3n del consentimiento obtenidos, las instituciones que son parte del FA deben contar (i) con un panel de control para conocer, verificar y revocar los consentimientos que se hayan otorgado; (ii) se debe preservar los accesos e interacciones a lo menos 5 a\u00f1os; adem\u00e1s de la visualizaci\u00f3n de los consentimientos, otorgados, revocados o caducados durante los 5 a\u00f1os, (iii) si no hay acceso por parte del cliente al panel de control dentro de 1 a\u00f1o calendario, se debe enviar un calendario informando al respecto (dentro de los 5 d\u00edas h\u00e1biles posterior a cumplir 1 a\u00f1o de inactividad).<\/p>\n<\/div>\n

            \n

            Para concluir, hasta la fecha la CMF no ha dictado los est\u00e1ndares t\u00e9cnicos para las medidas de seguridad que deban adoptar las instituciones y, frente a la pronta entrada en vigor de la\u00a0Ley N.\u00ba 21.719<\/a>, que reform\u00f3 la Ley N.\u00ba 19.628 sobre Protecci\u00f3n de Datos Personales, ha inhibido el avance del SFA, debiendo promover una necesaria coordinaci\u00f3n entre las instituciones.<\/p>\n<\/div>\n

            \n

            Como se expone, el desaf\u00edo para los participantes del SFA es de una importante exigencia en medidas y gestiones tecnol\u00f3gicas, de protecci\u00f3n de datos y de la seguridad de los mismos, lo que implica un trabajo riguroso y complejo de aquellos que formen parte del SFA, en especial aquellas instituciones financieras que por la regulaci\u00f3n est\u00e9n obligados a participar, pero que sin embargo, no se encuentren hoy bajo el cumplimiento de las mencionadas medidas adecuadas de protecci\u00f3n de datos y ciberseguridad.<\/p>\n<\/div>\n

            \n

            Mat\u00edas Langevin Correa es abogado, Socio de HD Group y lidera el \u00e1rea de Fintech.<\/em><\/p>\n<\/div>\n

            \n

            Juan Pablo Gonz\u00e1lez Guti\u00e9rrez es abogado, Director de HD Group en materia de protecci\u00f3n de datos personales y ciberseguridad; y acad\u00e9mico.<\/em><\/p>\n

            \"\"<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

            Link: https:\/\/iapp.org\/news\/a\/los-desaf-os-de-la-protecci-n-de-datos-personales-en-el-sfa-de-chile Los desaf\u00edos de la protecci\u00f3n de datos personales en el SFA de Chile Por Mat\u00edas Langevin, socio HD, y Juan Pablo Gonz\u00e1lez, director de Protecci\u00f3n de Datos Personales, Ciberseguridad y Nuevas Tecnolog\u00edas HD. La Ley N.\u00ba 21.521, que promueve la competencia e inclusi\u00f3n financiera a trav\u00e9s de la innovaci\u00f3n y tecnolog\u00eda en la<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[70],"tags":[],"class_list":["post-1724","post","type-post","status-publish","format-standard","hentry","category-going-on"],"acf":[],"lang":"es","translations":{"es":1724,"en":1723},"meta_box":{"news_pdf":[],"team_posicion-imagen":false,"team_taxonomy":false,"listado_categorias":false,"gp_limit":false,"gp_taxonomia":false},"pll_sync_post":{"en":true,"es":true},"_links":{"self":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts\/1724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/comments?post=1724"}],"version-history":[{"count":0,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts\/1724\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/media?parent=1724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/categories?post=1724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/tags?post=1724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}