En una cosa hay coincidencia total en el sector financiero, desde la banca tradicional hasta las fintech: estas leyes eran necesarias y cubren aspectos clave para un buen desarrollo del mercado y, especialmente, el cuidado de los consumidores y la fe pública. Es que indudablemente, el desarrollo tecnológico ha superado todas las expectativas, y nadie habría podido adelantarse a las interrogantes que generaría, como ha ocurrido, por ejemplo, con la inteligencia artificial. Por lo mismo, las leyes han ido elaborándose a posteriori y con el riesgo de quedar obsoletas a poco de ser promulgadas.

Pero Chile se ha ido poniendo al día en aspectos relevantes. El problema es que la dinámica legislativa llevó a que se promulgaran, en muy poco tiempo, distintas normas que tienen amplias repercusiones a todo nivel, incluyendo a las empresas, en general, y al sistema financiero, en particular. Este 1 de marzo entró en vigencia la Ley Marco de Ciberseguridad (21.663), que crea la Agencia Nacional de Seguridad (ANCI), y en diciembre pasado se publicó la Ley de Protección de Datos Personales (21.719), que entrará en vigencia el 1 de diciembre de 2026, y cuyo cumplimiento será supervisado por una futura agencia ad hoc.

En el sector de las finanzas digitales, esto se suma a la Ley Fintech, que entrega un marco de funcionamiento a las compañías del sector, aún en proceso de implementación (en lo que se refiere al sistema de finanzas abiertas, SFA), y que será supervisada por la Comisión para el Mercado Financiero (CMF).

Además, en mayo de 2024 ingresó a trámite en la Cámara de Diputados el proyecto de ley que regulará los sistemas de inteligencia artificial (IA) —tecnología clave para el futuro del sector financiero— y que encargará su fiscalización y sanciones a la agencia de protección de datos personales.

El enjambre legal

Se está dando, así, una convergencia de normas relativas a aspectos que están interrelacionados, pero que no se confeccionaron coordinadamente desde la base, por lo que la gran duda es qué pasará cuando se superpongan atribuciones, requerimientos de reportería o multas por el mismo hecho en diferentes leyes.

“En los últimos años ha salido un enjambre regulatorio, donde a veces se olvida que cada norma debe formar parte de un sistema integral”, afirma Raúl Arrieta, socio de GA Abogados. Ejemplifica que cuando se estaba elaborando la Ley Fintech (que incluye el SFA), aún no se había dictado la ley de datos personales, por lo que se incluyeron normas al respecto. Y, por otro lado, “la ciberseguridad también se cruza con la protección de datos”, dice.

“Lo relevante es que hoy las fintech están sujetas a un horizonte regulatorio cada vez más amplio, con normativas que impactan directamente su capacidad operacional y la eficiencia con la que entregan productos y servicios innovadores a las personas. Cada nueva regulación conlleva costos, procesos de adaptación y requerimientos de reportería, factores que deben ser considerados para evitar frenar el desarrollo del ecosistema”, afirma Josefina Movillo, directora ejecutiva de FinteChile.

Las superposiciones

La representante gremial explica que “más que la duplicidad de normas, el gran desafío que enfrentará el sector fintech es la superposición de reguladores en materias específicas. Un caso claro es la protección de datos, donde la Agencia de Protección de Datos Personales y la CMF podrían intervenir simultáneamente en casos de vulneraciones dentro del sistema de finanzas abiertas”.

El ejemplo más representativo de esta superposición se daría “en la notificación de brechas en el sistema financiero, donde actualmente existen tres procedimientos distintos para reportar un mismo incidente: uno en protección de datos, otro en ciberseguridad y otro en el SFA. Esta fragmentación genera una carga operativa innecesaria y puede derivar en inconsistencias en la gestión de incidentes”, dice Movillo.

Y agrega que “es posible establecer soluciones para estos casos, pero eso requiere un examen atento y disposición para evitarlos”.

Las multas

Esta superposición o duplicidad se podría presentar también en caso de aplicación de multas.

Raúl Arrieta explica que la Ley de Protección de Datos contempla sanciones que pueden alcanzar a las 20.000 UTM en casos dolosos. En infracciones “más chicas, que son cosas que le pueden pasar a cualquiera, las multas quedaron hasta las 5.000 UTM. Aunque es un máximo, ese es un monto que revienta a cualquier persona o empresa”, estima.

A ello se suman las leyes de ciberseguridad y datos personales, también con multas que pueden llegar a 20.000 UTM; y a 40.000, si se trata de operadores de importancia vital en incidentes de ciberseguridad. “Más aún, en la Ley de Datos, la reincidencia es castigada con hasta el 2% o 4% de los ingresos anuales, dependiendo de si son infracciones graves o gravísimas”, detalla el abogado.

“En hipótesis, en una empresa del sistema financiero podría producirse un incidente de ciberseguridad que genere una filtración de datos personales. Si hay que reportarlo a la ANCI, la Agencia de Protección de Datos y la CMF, puede darse que todas hagan sus investigaciones y, eventualmente, todas estén pidiendo información. En el mejor de los casos, podría terminar siendo sancionada solo por una. Pero también podría producirse que, si bien el hecho haya sido el mismo, los bienes jurídicos tutelados sean distintos y termine sancionada por más de una”, explica Arrieta.

Los recursos

Otra inquietud es la carga de trabajo y recursos que implicarán las leyes: “Si bien la mayoría de estos cuerpos normativos se justifican plenamente, existe una gran preocupación en la industria por el trabajo que demandará implementar este conjunto de normas en un mismo y acotado período de tiempo”, explica Claudio Ortiz, presidente de la Asociación de Empresas del Retail Financiero.

La explicación es que, al interior de las compañías, “son los mismos equipos quienes deberán duplicar sus funciones para continuar cumpliendo su labor y, al mismo tiempo, responder a las exigencias de los reguladores, debiendo además participar en procesos de capacitación a nivel nacional. Todo ello, en un contexto que requerirá implementar significativas modificaciones en los sistemas operativos y de información de las empresas”, añade Ortiz.

A su juicio, este proceso está generando “un alto nivel de estrés entre las empresas, que enfrentan el desafío de equilibrar el tiempo que dedican al cumplimiento regulatorio, versus el que destinan a innovar, a desarrollar nuevos productos y servicios y a mejorar los sistemas de posventa”.

Josefina Movillo puntualiza que, “dado este escenario, es clave revisar la institucionalidad actual y evaluar cómo avanzar hacia una mejor armonización regulatoria. Es necesario encontrar mecanismos que fortalezcan la coordinación entre reguladores y aseguren una supervisión eficiente, evitando cargas excesivas y redundancias normativas que puedan afectar la competitividad del ecosistema fintech”, subraya.

Para Claudio Ortiz es fundamental que los reguladores estén conscientes del impacto que pudiera generar el impulso de numerosas normativas en un mismo período de tiempo y con un escaso margen de gradualidad para su implementación. “Esto es aún más relevante ante el lento crecimiento que está teniendo la economía y que obliga a las empresas a reducir sus gastos operacionales”, dice.

La voz de la CMF

En principio, para evitar las superposiciones o duplicidades, la ley establece los principios de “coherencia regulatoria”, e indica que “los organismos se tienen que coordinar a la hora de dictar actos administrativos de alcance general que produzcan efecto en otras áreas”, explica Arrieta.

Más concretamente, los actores del sistema confían en que se mantendrá el rol articulador que ha desempeñado la CMF, y su disposición a analizar el desarrollo del ecosistema financiero, con diversos mecanismos de consultas.

Lo confirma Claudia Sotelo, jefa del Centro de Innovación Financiera de la CMF, quien recuerda que el actual marco de la Ley Fintech es fruto “del trabajo colaborativo entre la CMF y la industria, mediante mesas consultivas y procesos de consulta pública”. Y agrega que el organismo evalúa permanentemente la normativa “para garantizar un cumplimiento riguroso del marco regulatorio, que resguarde la estabilidad financiera y los intereses de los inversionistas y usuarios, pero sin perder de vista la realidad de las diferentes categorías de actores del ecosistema fintech en nuestro país”.

En cuanto a la superposición de normas o agencias, Sotelo destaca que la CMF “tiene una amplia experiencia en la coordinación con otras instituciones públicas para evitar redundancias y brindar claridad a los regulados. Este modelo se replicará, por ejemplo, con la futura Agencia de Protección de Datos Personales y con otras instituciones públicas que se requiera”, afirma.

Claudia Sotelo confirma que en el ámbito fintech “se han identificado áreas que requieren coordinación, como materias de protección de datos y de ciberseguridad. Para abordar estos casos se establecen criterios claros sobre la información a reportar y la entidad competente, promoviendo eficiencia y minimizando cargas innecesarias. Esta coordinación es clave para una supervisión efectiva y equilibrada, sin perjuicio de las sanciones que cada ente regulador esté facultado para aplicar por infracciones específicas dentro del marco normativo de su competencia”, explica.

Frente a la posibilidad de que se produjera un efecto acumulativo agobiante, que complique a las compañías y dificulte el desarrollo de las pequeñas y medianas empresas o startups, Claudia Sotelo recuerda que el principio de proporcionalidad es clave en la Ley Fintech, la cual contempla requisitos diferenciados según tipo de entidad, nivel de operaciones, número de clientes y su nivel de riesgo. “Este enfoque permite que empresas más pequeñas o en etapas tempranas cumplan con la normativa sin incurrir en costos excesivos”, puntualiza.