Fuente: www.elconfidencial.com/
El fenómeno de las ‘fintech’ está cambiando el sector financiero tal y como lo conocíamos hasta ahora. Según el informe ‘Blurred lines: cómo las fintech están redefiniendo el sector financiero‘, elaborado por PwC, para el año 2020 los bancos perderán el 23% de su negocio por culpa de estas nuevas ‘startups’.
Una ‘fintech’ es, a grandes rasgos, cualquier aplicación o ‘software’ que permite llevar a cabo una operación financiera a través de la tecnología. Actualmente en España hay más de un centenar dedicadas a los medios de pago, financiación bancaria, gestoría, aplazamientos de pago y cambio de divisas, entre otros servicios.
Sin embargo y, debido a su propia actividad y al tipo de clientes a los que se dirigen, estas compañías se enfrentan a una serie de retos y estricta normativa, cuyo obligado cumplimiento no debe pasar por alto el usuario que esté pensando en contratarlas sin por ello asumir ningún tipo de riesgo.
Protección de datos
Debido a la información tan sensible que manejan de sus usuarios, el primer desafío al que se enfrentan las ‘fintech’ es el de la protección de datos. Para cumplir con la normativa estas compañías están obligadas a respetar el principio de calidad de los datos, el de licitud del tratamiento y el de consentimiento informado.
¿Es necesario que una ‘fintech’ conozca tu estado civil o cuál es tu dirección?» En un principio no
Según explica a Teknautas Joaquín Muñoz, abogado del despacho Ontier, «el primero de estos principios se refiere a que no pueden recoger más datos de los necesarios para cumplir con la finalidad para la que han sido contratadas, y la necesidad de que además estos estén actualizados. Por ejemplo, ¿es necesario que una ‘fintech’ conozca tu estado civil o cuál es tu dirección?» En un principio no. Pero no todas las ‘startups’ solicitan datos exclusivamente relacionados con su actividad principal.
«Existen ‘apps’ que requieren acceso a nuestra lista de contactos o galería de fotos», añade el abogado y socio del despacho Abanlex, Pablo Fernández Burgueño. «Por no hablar de la información extra que manejan: saben dónde vivimos y trabajamos por nuestra localización cada vez que la usamos a una hora u otra. También qué otras ‘apps’ tenemos en el móvil, el operador que utilizamos e incluso las operaciones bancarias que realizamos, ya que tienen acceso a nuestra cuenta».
El principio de licitud del tratamiento por su parte, obliga a tratar la información exclusivamente para los fines previstos. Es decir, que si se ha contratado algún tipo de servicio de, pongamos por caso, gestión de gastos, la ‘fintech’ no puede aprovechar para anunciar planes de inversiones a medida o cualquier otro tipo de préstamo.
Para asegurar que un consentimiento es válido en el mundo digital es necesario recurrir a mecanismos de autenticación expresos que le otorguen una mayor credibilidad a la autorización por parte del usuario. Muñoz aclara además que «para que el consentimiento sea informado también es necesario que las condiciones de uso sean comprensibles y utilicen un lenguaje llano. Que en ningún caso den lugar a equívocos».
La mayoría de los expertos consultados recomienda utilizar la doble autenticación, por encima de la tarjeta de coordenadas clásica
De cualquier forma, en mayo de 2018 comenzará a aplicarse el nuevo Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Esta nueva norma actualizará el régimen jurídico de la protección de datos en Europa y será de obligado cumplimiento para todas las compañías que presten servicios ‘fintech’ a personas físicas residentes en la Unión Europea.
Seguridad
Para garantizar la confidencialidad de la información que tratan, las ‘fintech’ también están obligadas a adoptar medidas de seguridad de índole técnica y organizativa. La actual normativa exige aplicar mecanismos de seguridad suficientemente adecuados desde un momento inicial (antes del propio tratamiento), y que la ‘fintech’ sea capaz de demostrar el cumplimiento de todas las obligaciones establecidas. En este sentido, uno de los mayores obstáculos a los que se enfrentan es el de la autenticación de los usuarios.
Las ‘fintech’ utilizan distintos mecanismos que tienen como principal finalidad garantizar que los individuos que utilizan la herramienta son realmente quienes dicen ser, de la misma forma que lo hacen los bancos. Y es que si la necesidad de autenticación es relevante para cualquier plataforma, lo es todavía más para aquellas que se dedican a los servicios financieros.
La mayoría de los expertos consultados recomienda utilizar la doble autenticación, por encima de la tarjeta de coordenadas clásica y sobre todo de las poco recomendables preguntas frecuentes. Según ha explicado a este periódico el director de Innovación en Medios de Pago del Foro de Economía Digital, Jorge Ordovas, «la tarjeta de coordenadas es una tecnología obsoleta. No es segura porque si la pierdes cualquiera puede hacerse pasar por ti. Dejó de tener sentido en el momento en que todos tenemos un smartphone en nuestro bolsillo».
Las preguntas del tipo «¿Cuál es el nombre de tu mascota?» o «¿Cuál es tu actor favorito?» son un punto débil de seguridad informática
Idea compartida por Fernando de la Cuadra, director de Educación de la compañía especializada en ciberseguridad Eset: «Tener una clave escrita en un trozo de papel que sirva para cualquier operación y en cualquier momento es un riesgo». Para el especialista en seguridad sucede lo mismo con las preguntas frecuentes. Las preguntas de seguridad del tipo «¿Cuál es el nombre de tu mascota?» o «¿Cuál es tu personaje de ficción favorito?» son otro de los puntos débiles de startups y grandes compañías.
La doble autenticación sin embargo, parece ser un mecanismo más seguro, siempre y cuando sea por un canal distinto. «No es suficiente recibir un código de verificación en el mismo dispositivo por el que se está intentando entrar a la cuenta, sino que debe hacerse por otro canal. De esta forma, si alguien está intentando acceder a nuestros datos de forma fraudulenta necesitará también disponer de nuestro teléfono u otro terminal», ha añadido de la Cuadra.
Pero, ¿qué pasa si la ‘fintech’ ha sido ‘hackeada’ y los datos de sus usuarios han sido vulnerados? Actualmente las empresas están obligadas a notificar cada incidencia de forma interna, pero no a la Agencia Española de Protección de Datos (AEPD) ni a los usuarios. Esto vale también para las ‘fintech’ y al margen de si los datos sustraídos están encriptados o no. Para Pablo Fernández Burgueño la razón de este despropósito se encuentra en que la normativa que regula este tipo de supuestos de hecho es de 1999. Es decir, que es demasiado antigua.
«La normativa no establece expresamente que sea obligatorio notificar a los afectados. Aunque sí recomienda hacerlo. El artículo 90 del Reglamento de Protección de Datos explica que la empresa que sufra un ataque debe implementar medidas correctoras y una de ellas es notificar a los afectados. Con la nueva ley que se pretende entre en vigor el próximo 2018, se tendrá que informar obligatoriamente a la AEPD y usuarios al margen de si los datos están encriptados o no».
Invalidación del ‘Safe Harbor Agreement’
En octubre de 2015 el Tribunal de Justicia de la Unión Europea dictaminó una sentencia que invalidó el Acuerdo de Puerto Seguro (Safe Harbor Agreement), suscrito entre la Unión Europea y EEUU y que tenía por objeto facilitar la legitimación de las transferencias de información personal a compañías establecidas en el país norteamericano. Esta invalidación afecta a cualquier compañía que transfiera información personal a compañías estadounidenses, entre las que se encuentran los prestadores de servicios ‘fintech.
Actualmente las entidades que realizan transferencias internacionales a compañías estadounidenses están obligadas a legitimarlas por una nueva vía distinta del Acuerdo de Puerto Seguro. Las ‘fintech’ suelen valerse de compañías estadounidenses para cuestiones como el desarrollo o soporte de su sitio web o aplicación móvil, la prestación de servicios de seguridad de la información o, en mayor medida, la utilización de servicios de cloud. Para legitimar dicha transferencia deberán obtener el consentimiento inequívoco del usuario del servicio mediante la aceptación de una versión actualizada de las condiciones de uso o el de la AEPD.
Las ‘fintech’ que gestionan nuestro dinero y ofrecen planes de inversiones deben estar supervisadas por la CNMV e incluidas en la EAFI
«Por consentimiento inequívoco se entiende informar sobre qué datos del usuario se transfieren a EEUU, qué empresa va a disponer de ellos y con qué finalidad. Sin embargo, actualmente no hay ninguna aplicación ‘fintech’ que esté cumpliendo con esta parte de la normativa. La AEPD, organismo encargado de velar por los derechos de los usuarios, dejó claro que sólo actuará si hay denuncia por parte de un usuario. Nunca de oficio. Es como cerrar los ojos ante lo que está pasando», ha añadido Fernández Burgueño.
No obstante, Estados Unidos y la Unión Europea se encuentran en pleno proceso de negociación de un nuevo acuerdo que vuelva a legitimar las transferencias internacionales a este país: el denominado Privacy Shield, cuyo primer borrador ya ha recibido las críticas del Grupo de Trabajo del artículo 29.
Normativa
Por último, otro de los apartados a tener en cuenta por los usuarios interesados en contratar los servicios de una ‘fintech’, es el de que cumpla con la normativa. Y es que las ‘startups’ dedicadas a servicios financieros están obligadas a cumplir con el marco concreto encargado de regular su actividad específica. Por ejemplo, las que además de gestionar nuestro dinero ofrecen planes de inversiones a medidas, deben estar autorizadas y supervisadas por la CNMV, además de estar incluidas en la EAFI. Ocurre lo mismo con las pasarelas de pago, con las cuales se pueden pagar a comercios y particulares, que están obligadas a inscribirse en el registro de operadores de medios de pago del Banco de España.
En todos estos casos lo más recomendable es leer detenidamente las condiciones de uso y la información aparecida en la página web y, en caso de duda, consultar con la propia ‘fintech’.