Rohit Chopra, director de la Oficina de Protección Financiera del Consumidor (Foto AP/Jacquelyn Martin, Archivo)
OBSERVACIONES DEL TANQUE SNARK FINTECH
La Oficina de Protección Financiera del Consumidor (CFPB, por sus siglas en inglés) emitió una regla remaining para implementar la Sección 1033 de la Ley de Protección Financiera del Consumidor de 2010. Aclamada por muchos en la industria bancaria por traer la “banca abierta” a los EE. UU., la regla exige que las instituciones financieras proporcionen a los consumidores con acceso a sus datos financieros personales previa solicitud. Los datos deben compartirse de forma segura y confiable con consumidores o terceros autorizados. Las disposiciones clave de la regla incluyen:
- Accesibilidad de datos. Los bancos y las cooperativas de crédito deben poner a disposición de los consumidores o sus terceros autorizados los historiales de transacciones financieras y la información de las cuentas en un formato electrónico estandarizado.
- Obligaciones de terceros. Las entidades que acceden a los datos de los consumidores deben cumplir con estándares específicos de privacidad y seguridad, garantizando que los datos se utilicen de manera adecuada y estén protegidos contra el acceso no autorizado.
- Estandarización e interoperabilidad. La norma promueve el desarrollo y uso de formatos estandarizados para compartir datos, facilitando la interoperabilidad entre instituciones financieras y proveedores externos.
- Derechos del consumidor. Los consumidores están facultados para controlar sus datos financieros, incluido el derecho a acceder, compartir y revocar el acceso a su información como mejor les parezca.
Por qué la Regla 1033 no alcanzará su objetivo
La norma 1033 de la CFPB tiene como objetivo empoderar a los consumidores otorgándoles acceso y management sobre sus datos financieros. Pero eso supone que tenemos el conocimiento, los recursos y la capacidad para gestionar responsabilidades tan complejas. Esta suposición es problemática por varias razones:
1) Brecha educativa. La gestión de datos financieros implica comprender aspectos como la seguridad de los datos, las credenciales de proveedores externos y los acuerdos de consentimiento. Pero, como a mucha gente aquí le gusta señalar, tenemos un problema de alfabetización (o analfabetismo) financiera en Estados Unidos. Muchos consumidores carecen de educación formal en educación financiera o ciberseguridad, lo que los hace vulnerables a la explotación o la mala gestión de sus datos.
2) Volumen de datos y proveedores. Muchos consumidores (especialmente los más jóvenes) interactúan con más de cien proveedores financieros. Monitorear, autorizar y renovar constantemente el consentimiento de múltiples proveedores creará una carga insostenible para el consumidor promedio. Revocar el acceso a los datos requiere conocimiento del proceso y vigilancia para garantizar que terceros ya no tengan los datos. Muchos consumidores simplemente no dedican tiempo a realizar un seguimiento de estas actividades.
3) Vulnerabilidad a los riesgos de privacidad de datos. Muchos consumidores desconocen cómo se pueden utilizar sus datos una vez compartidos. La PII ya ni siquiera es necesaria para que los especialistas en advertising and marketing puedan identificar con precisión a los consumidores individuales. Los proveedores podrían utilizar datos para fines como publicidad dirigida o elaboración de perfiles, violando potencialmente las expectativas de los consumidores.
4) Incapacidad para abordar las violaciones de datos. Si bien hoy en día existen algunas buenas herramientas, la mayoría de los consumidores carecen de los recursos para rastrear y resolver problemas de violación de datos. La recuperación financiera, la restauración de la identidad y el seguimiento crediticio requieren experiencia y tiempo que muchos consumidores no tienen.
Abordar las deficiencias del 1033
Para abordar estos desafíos, la industria necesita:
- Certificaciones estandarizadas. Si bien la regla 1033 requiere el manejo e intercambio seguro de los datos de los consumidores, no incluye un proceso de certificación formal ni un requisito de licencia.
- Protecciones predeterminadas mejoradas. En lugar de responsabilizar a los consumidores, los bancos deberían implementar medidas de seguridad como la caducidad automática del consentimiento y configuraciones de acceso granular.
- Procesos de consentimiento simplificados. Si bien la regla enfatiza el consentimiento explícito del consumidor y medidas de seguridad sólidas, deja la implementación y verificación de estos requisitos en manos de las instituciones financieras y los destinatarios de los datos. Los marcos de consentimiento deben diseñarse para que sean fácilmente comprensibles, utilizando ayudas visuales cuando sea necesario.
Las consecuencias no deseadas de la banca abierta
Si bien la Sección 1033 aspira a otorgar management a los consumidores, impone a las personas una carga excesiva para gestionar responsabilidades complejas relacionadas con los datos.
Sin salvaguardias y medidas educativas adicionales, la norma corre el riesgo de empoderar sólo a los consumidores más informados y con más recursos, dejando a otros (es decir, a aquellos para los que la 1033 fue diseñada para ayudar más) más vulnerables, no menos.
Para respaldar esa afirmación, un estudio académico, titulado “Datos abiertos y adopción de API en los bancos estadounidenses”, encontró que:
“La banca abierta y la portabilidad de datos bancarios podrían tener consecuencias no deseadas para la competencia bancaria y fintech y el bienestar de los prestatarios. Permitir la portabilidad voluntaria de datos por parte de los consumidores puede llevar a un posible desmoronamiento (es decir, los clientes se ven obligados a compartir datos ya que los proveedores percibirán negativamente la no divulgación) y a una externalidad de datos negativa para los clientes que no comparten datos. La pérdida de información de los clientes debido a la competencia de las fintech puede alterar la difusión de información dentro de los bancos (por ejemplo, mediante el uso de datos de pago para conocer la calidad crediticia de los consumidores)”.
Los defensores de la banca abierta nunca parecen abordar estas consecuencias no deseadas.