RegTech (II): La regulación oportuna. Escrito por Otilia García-Rivero Gener, socia de ASCOM

UNA OPORTUNIDAD LLAMADA REGTECH

No es pronto para dedicar esfuerzos a entender, desarrollar y adoptar soluciones RegTech. Ni autoridades ni negocios, especialmente los regulados, se pueden permitir llegar tarde

Cumplir es hoy realmente complicado tanto para los modelos de negocio tradicionales como para los llamados disruptivos en cualquier sector de actividad; esta dificultad se multiplica en actividades reguladas. Pero cumplir también hace que los negocios sean más transparentes, fiables, rentables, sólidos y sostenibles en el tiempo. El compliance es la base de la gestión de los riesgos y la reputación de los negocios; no es sólo obligatorio, sino estratégicamente necesario.

En un entorno cambiante e incierto como el actual, es también obligatorio y necesario, tanto para las administraciones como para las empresas, estar alerta, aprovechar las oportunidades y los recursos disponibles para mejorar el presente y definir la visión estratégica del futuro.

El compliance es estratégicamente necesario, pero no es una fuente de ingresos, directa, para las empresas; es una inversión que debe y puede ser optimizada. Las soluciones SupTech/RegTech permiten, ya, racionalizar las normas, mejorar la gestión de los riesgos, la supervisión y el cumplimiento normativo de forma más efectiva y eficiente, liberando recursos que pueden ser empleados en el desarrollo de una mejor regulación y gestión del sistema por parte de las agencias y de mejores productos y servicios, diferenciales y competitivos, sean X-tech o analógicos, por parte de las entidades. No son un capítulo más de ciencia ficción: están siendo impulsadas en el mundo real por muchos reguladores y supervisores.

Reino Unido junto con los EE.UU., Singapur y Australia son los más avanzados:

·         En los EE.UU. la Financial Transparency Act (FTA) quiere impulsar las soluciones RegTech con estándares comunes y datos abiertos, para mejorar el reporting regulatorio.

·         En el Reino Unido, la Financial Conduct Authority (FCA) ha sido el principal promotor de las Infraestructuras Financieras Digitales (Digital Financial Infrastructures -DFI-) y ahora de las regulaciones en formatos legibles y procesables por IA.

·         En Singapur, el uso de IA por la Monetary Authority of Singapore (MAS) ha permitido reducir de dos años a minutos la detección de tramas sospechosas de blanqueo de capitales.

·         En Australia, la Australian Securities and Investments Commission (ASIC) ha desarrollado una plataforma, Market Analysis and Intelligence (MAI), para la supervisión de los mercados de valores en tiempo real.

Otras jurisdicciones, como Austria, India, Italia, Países Bajos, etc. también están dedicando esfuerzos al desarrollo de soluciones SupTech y RegTech.

DE LA ÉTICA PARA ALGORITMOS A LA AUTORREGULACIÓN

Las nuevas tecnologías plantean conflictos para los que todavía no hay una respuesta jurídica clara

Lo relativo a las tecnologías emergentes y la IA en general es aplicable a las soluciones RegTech: surgen nuevos modelos de negocio, colaborativos o basados en nuevas tecnologías que plantean conflictos, reales, para los que no hay una respuesta clara y práctica. Todavía.

Es casi obligado abrir aquí un paréntesis sobre los algoritmos. Cada vez con más frecuencia se nombra toda la tecnología o la IA por una parte, fundamental eso sí: sus algoritmos. Pero no son algo nuevo. Según el diccionario de la Real Academia Española los algoritmos son un “Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema”; es decir, la sucesión de tareas que se deben realizar para conseguir un resultado. No tienen por qué implicar, necesariamente, tareas ni resultados complejos.

Los algoritmos no son seres con inteligencia autónoma, ni tienen convicciones, ni viajan en platillos volantes. Un algoritmo no puede, por sí mismo, ni definir, ni formular, ni practicar la equidad; son tan justos, tan bondadosos o tan perversos como quieran que sean los seres humanos que los formulan. Por tanto, no existe una ética específica para los algoritmos, como no existe una ética específica para las armas: el concepto del bien, los valores y la ética de los seres humanos, estén desarmados, ideando ficciones distópicas o pertrechados con nuevas tecnologías, son los mismos.

Ante este vacío algunas asociaciones privadas han formulado sus códigos de buena conducta o éticos. Por ejemplo:

  • Asociación Española de FinTech e Insurtech (AEFI) (https://asociacionfintech.es)
  • Association for Computing Machinery (ACM) (https://www.acm.org/)
  • International RegTech Association (https://regtechassociation.org/)
  • Institute for Electrical and Electronic Engineers (IEEE) (https://www.ieee.org/)
  • Partnership on AI. De momento, cuenta con Google, Facebook, Amazon, Apple, Microsoft, IBM y otras 80 entidades, de 13 países (https://www.partnershiponai.org/)

En el ámbito público, destacan:

  • Dos proyectos:
  1. AI4EU, que se lanzó el 9 de enero de 2019 en Barcelona y ya cuenta con la participación de 21 países y 79 partners. En el marco de este proyecto, se ha creado el Observatorio de Ética AI4EU.
  2. CyberSec4Europe, puesto en marcha en febrero de 2019.
  • El Grupo de expertos de alto nivel sobre IA creado por la Comisión Europea (European Commission’s High-Level Expert Group on Artificial Intelligence -AI HLEG-), que publicó un primer borrador con las directrices éticas para generar confianza en la IA, basado en los valores de la UE. El borrador fue sometido a consulta en diciembre de 2018, a principios de abril de este año se lanzó un piloto para comprobar su aplicabilidad práctica y en el futuro se abrirá una fase para el consenso internacional.

Pero ¿pueden la ética o la autorregulación regir aspectos críticos o sectores esenciales? ¿Puede el consenso sustituir a la legalidad y la seguridad jurídica? ¿Son suficientes las declaraciones de principios o los códigos éticos para controlar el mal uso y el abuso de la tecnología? No. Cuando surgen los conflictos ni la ética, ni la autorregulación son suficientes: es necesario el ordenamiento jurídico.

Mientras en la Unión Europea se sigue debatiendo sobre la naturaleza, los valores, los principios, los derechos, las obligaciones e incluso de los sentimientos (sic) de la IA, en los EE.UU. ya han elaborado un primer proyecto de ley: Algorithmic Accountability Act (AAA).

LA REGULACIÓN DE LA IA EN LA UNIÓN EUROPEA Y EN ESPAÑA

Regular por impulsos o hiperregular es tan malo como no regular nada

Necesitamos normas, pero necesitamos que sean mejores: menos, más abiertas, ordenadas y estables

Tras la crisis hemos tenido un auténtico vendaval de nuevas regulaciones para funciones y sectores considerados esenciales o críticos. Ahora, con el péndulo yendo hacia el lado opuesto, soplan vientos para aligerar o incluso eliminar normativas.

El Consejo Europeo celebrado en el año 2000 en Lisboa impulsó un plan de acción para simplificar la regulación comunitaria. En 2015 la Comisión Europea lanzó la plataforma REFIT, dentro del programa Better Regulation, que pretende “conseguir una normativa específica que no vaya más allá de lo necesario para lograr sus objetivos y aportar ventajas al mínimo coste posible”. Ahora el enfoque gira alrededor de prometedores conceptos como smart regulation, basada en métricas y análisis de datos, y robohandbooks para agilizar la forma en la que se traslada al mercado la regulación.

En España, el artículo 129 de Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece los principios de la buena regulación: necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia, y eficiencia. También se debate, desde hace años, sobre la reestructuración de reguladores y supervisores.

Entonces ¿Contamos actualmente con un marco normativo que cumpla estos principios y objetivos? No. Además, la regulación tampoco está evolucionando al ritmo de la innovación. La verdad es que la rapidez en la expansión de las TIC, junto con las lentas burocracias europea y española, la inestabilidad parlamentaria y la (penúltima) crisis han ayudado muy poco.

Las normas actualmente aplicables siguen siendo muchas y dispersas; y se sigue regulando por impulsos. Hay que buscar entre infinidad de Reglamentos, Decisiones y Directivas europeas, así como entre otro gran número de Leyes, Decretos y Reglamentos españoles, generales (Administración electrónica, Ciberseguridad, Comercio electrónico, Documento electrónico, Firma electrónica, Protección de datos de carácter personal, Propiedad intelectual e industrial, Secretos empresariales, etc.) o sectoriales. Estos datos ilustran la situación:

  • Según los datos de Eur-Lex, excluyendo las versiones consolidadas y los corrigenda, actualmente hay en la Unión Europea 901.483 documentos legales. 384.552 están catalogados como Derecho de la Unión Europea, de los que 191.053 son actos jurídicos (se excluyen documentos preparatorios, jurisprudencia, tratados y acuerdos internacionales): 129.768 reglamentos, 39.954 decisiones, 6.881 reglamentos de ejecución y 4.059 directivas (https://eur-lex.europa.eu/advanced-search-form.html). Sin contar con las modificaciones realizadas sobre textos anteriores, durante 2016 la Unión Europea adoptó en proceso ordinario 36 reglamentos, directivas y decisiones y 293 la Comisión. En 2017 fueron 27 y 252 respectivamente. Durante 2018, 29 y 246. En lo que va de 2019, 19 y 62 (https://eur-lex.europa.eu/statistics/2018/legislative-acts-statistics.html)
  • Según los datos la Agencia Estatal Boletín Oficial del Estado (BOE), actualmente en España están en vigor 109.731 normas estatales de distinto rango (https://www.boe.es/legislacion). La Confederación Española de Organizaciones Empresariales (CEOE) publica anualmente un informe sobre la producción normativa en España. El último arroja los siguientes datos: en 2018 se aprobaron 588 nuevas normas estatales (un 13,7% más frente a las 517 de 2017. En 2016 fueron 436). A estos números hay que añadir la actividad legislativa de las 17 Comunidades Autónomas.

Hay algunas herramientas públicas que facilitan la identificación de las normas (además de las proporcionadas por los reguladores de cada sector, en Europa y en España), pero no las reducen:

  • La UNCTAD (United Nations Conference on Trade and Development) publica un mapa mundial sobre la legislación relativa a cibercrimen, transacciones electrónicas, protección de datos y protección del consumidor (https://unctad.org/en/Pages/DTL/STI_and_ICTs/ICT4D-Legislation/eCom-Cybercrime-Laws.aspx).
  • La Comisión Europea publica en su página web toda la legislación europea, agrupada en 32 temas: Sociedad de la información, Lucha contra el fraude, etc. (https://eur-lex.europa.eu/browse/summaries.html)
  • En España, el BOE facilita un buscador (https://www.boe.es/legislacion). El Instituto Nacional de Ciberseguridad (INCIBE) actualiza y publica regularmente un compendio titulado Código de Derecho de la Ciberseguridad (https://www.boe.es/legislacion/codigos/codigo.php?id=173&nota=1&tab=2).

A pesar de toda esta ingente literatura, el debate sigue abierto con relación a ciertas cuestiones, que afectan tanto a los sectores regulados o por regular como a las TIC:

  • ¿Se deben revisar la naturaleza y los perímetros de los sectores regulados? ¿Se deben regular actividades y no empresas?
  • ¿Se deben regular las “info-estructuras” y la IA? ¿Debe haber un supervisor para “info-estructuras” y redes? ¿Se debe concentrar esa supervisión en una sola agencia?
  • ¿Cómo evitar que los algoritmos -las personas que los formulan- tomen decisiones sesgadas o maliciosas contra determinadas regiones, países, sectores, incumbentes, negocios, proveedores, segmentos de clientes, etc.? ¿Quién y cómo evaluará y vigilará la formulación y evolución de los algoritmos? ¿Quién los reformulará o recalibrará?
  • ¿Quién será responsable de la mala configuración, calibración o utilización de soluciones de IA: el desarrollador, el dueño de la plataforma, el supervisor que autoriza una solución, la compañía que compra o contrata servicios de IA?
  • ¿Podrá algún seguro -tendrá la capacidad- de cubrir el daño causado por un mal algoritmo utilizado en una infraestructura o actividad crítica?

 EL SANDBOX REGULATORIO EN ESPAÑA

El sandbox español permitirá adaptar la actuación de reguladores y supervisores al ritmo de la innovación FinTech

El 22 de febrero de 2019 el Consejo de Ministros de España aprobó el Anteproyecto de Ley de medidas para la transformación del sistema financiero, que contempla la creación un banco de pruebas regulatorio, sandbox, en el que se podrán probar los nuevos proyectos FinTech exentos o no sujetos a regulación específica, así como adecuar, actualizar o desarrollar la regulación necesaria, en un entorno cerrado, controlado y seguro. En la Exposición de motivos del Anteproyecto español se dice expresamente que es un instrumento supervisor.

Entre los requisitos, el artículo 5 del Anteproyecto se refiere a: “1. (…) proyectos que aporten innovación financiera de base tecnológica (…) suficientemente avanzados para probarse. 2. Adicionalmente, (…) deberán aportar (…) potencial valor añadido en (…): a) (…) el cumplimiento normativo mediante la mejora u homogeneización de procesos u otros instrumentos; b) (…) aumento de la protección a la clientela; c) Aumentar la eficiencia de entidades o mercados; o, d) Proporcionar mecanismos para la mejora de la regulación o el mejor ejercicio de la supervisión financiera”.

El esperado Anteproyecto de Ley para el sandbox español ha sido muy bien recibido en el sector financiero, pero aún tiene un camino que recorrer antes de adquirir rango de Ley y ser efectivo:

  • es un borrador de proyecto de ley, pendiente del dictamen del Consejo de Estado, que el próximo Gobierno deberá presentar ante las Cortes Generales para su aprobación; y
  • es necesario dotar a los supervisores afectados con las capacidades y recursos necesarios (está previsto que el sandbox regulatorio español sea coordinado por la Secretaría General del Tesoro, junto con el Banco de España, la Comisión Nacional del Mercado de Valores -CNMV- y la Dirección General de Seguros y Fondos de Pensiones).

Se trataría del primer sandbox español, del y para el sector financiero. Pero, puesto que ya hay soluciones RegTech aplicables a otras actividades, es razonable esperar que en el futuro se articulen bancos de pruebas X-Tech para otros sectores y supervisores.

EL OPTIMISMO INFORMADO

No se puede esperar a que terminen de madurar las TIC y su regulación para incorporar sus beneficios a las actividades de supervisión y compliance

La ética, la autorregulación o las normas imperativas no pueden eliminar todos los riesgos de las tecnologías emergentes. Tampoco de otros muchos ingenios, herramientas y utensilios que hemos usado, usamos y usaremos, porque gracias a ellos progresamos y prosperamos

Las soluciones SupTech y RegTech comenzaron a desarrollarse más tarde que las FinTech, pero ahora están en la vanguardia, porque son realmente necesarias, posibles y cuentan con el respaldo de autoridades en todo el mundo. Sus beneficios son muy claros y los riesgos son compartidos y medidos.

Además de la ética, la autorregulación, las normas imperativas en vigor, el futuro sandbox regulatorio, así como la justicia administrativa y judicial, la principal protección con relación a las TIC es, en primer lugar, utilizar información solvente, preguntar, entender y aplicar el sentido común; y, en segundo, no quedarse ni fuera ni rezagado en la construcción del futuro.

Dejando aparte los de empresas privadas y los de supervisores sectoriales (financieros), referidos al final de este documento y de anteriores publicaciones, muchos organismos públicos, europeos y españoles, ofrecen estudios y consejos muy documentados y actualizados sobre las TIC en general. Estos son algunos, por orden alfabético:

  • Agencia Española de Protección de Datos (https://www.aepd.es/)
  • Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) (http://www.interior.gob.es)
  • Centro Nacional de Inteligencia (CNI) (https://www.cni.es)
  • Comisión Nacional de los Mercados y la Competencia (CNMC) (https://www.cnmc.es/)
  • Consejo y Departamento de Seguridad Nacional (DNS) (https://www.dsn.gob.es)
  • European Union Agency for Network and Information Security (ENISA) (enisa.europa.eu.)
  • Instituto Nacional de Ciberseguridad de España (INCIBE) (https://www.incibe.es) y su Oficina de Seguridad del Internauta (OSI) (https://www.osi.es)
  • es (https://www.red.es) y su Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (https://www.ontsi.red.es)
  • RedIRIS (https://www.rediris.es)

Otilia García-Rivero Gener, socia de ASCOM

Glosario de términos

  • Algoritmo: en informática es el ordenamiento o secuencia de pasos, instrucciones o reglas para ejecutar un proceso, con el fin de tomar una decisión o resolver un problema. Su formulación es previa a la programación e independiente del lenguaje de programación.
  • Artificial Intelligence (AI o IA en español): son sistemas informáticos que realizan de forma automática funciones que, en principio, requieren capacidades humanas (p.e.: aprender -Machine Learning-, hacer preguntas, proponer y probar hipótesis, tomar decisiones, etc.). Se basan en el análisis de grandes conjuntos de datos.
  • Big data: se refiere a la disponibilidad de grandes volúmenes de datos, tanto estructurados como no estructurados, que pueden ser analizados y utilizados por los nuevos sistemas, potenciados por el aumento de la capacidad de almacenamiento y procesamiento.
  • FinTech (Financial Technology): se refiere a productos, servicios y modelos de negocio financiero innovadores, basados en el uso intensivo de nuevas tecnologías. Las compañías FinTech normalmente se centran en un solo producto o servicio (agregadores, comparadores, pagos móviles, préstamos, crowdfunding / crowdlending / crowdequity, criptomonedas, etc.) y, en función de estos, pueden necesitar cumplir algunos requisitos mínimos y estar supervisadas. A diferencia de los neobancos, las compañías FinTech no son bancos: no disponen de una ficha bancaria, por lo que no pueden gestionar cuentas bancarias.
  • RegTech (Regulatory Technology): soluciones, que utilizan de forma intensiva las nuevas tecnologías, para facilitar la gestión de compliance. El término también se refiere a las empresas que ofrecen estas soluciones.
  • Sandbox regulatorio: son entornos de pruebas, cerrados y restringidos, para comprobar el funcionamiento de nuevos modelos de negocio aún no enteramente protegidos por una regulación específica, controlados y supervisados por el regulador.
  • SupTech (Supervisory Technology): el término se refiere tanto a las nuevas tecnologías desarrolladas para las autoridades supervisoras, como a las compañías que las desarrollan.
  • X-Tech (X Technology): se trata de nuevos modelos de negocio y gestión, basados en el uso intensivo de nuevas tecnologías, aplicados en un sector o actividad (financiero, asegurador, regulación y cumplimiento, etc.).

Referencias

Fuentes de información utilizadas como soporte para la elaboración de este documento y otros estudios de interés, por orden alfabético de autor:

  • Accenture: RegTech for Regulators. Re-Architect the System for Better Regulation, febrero 201
  • Asociación Española de FinTech e Insurtech (AEFI): Código de Buenas Prácticas para las Fintech e Insurtech, mayo 2018
  • Asociación Española de FinTech e Insurtech (AEFI): Libro Blanco de la Regulación Fintech en España, febrero 2017
  • Bank for International Settlements – Financial Stability Institute: Innovative technology in financial supervision (suptech) – the experience of early users, julio 2018
  • BBVA research: Financial Regulation Outlook 4Q18 y 1Q19
  • Comisión Nacional de los Mercados y la Competencia (CNMC): E/CNMC/001/18 Estudio sobre el impacto en la competencia de las nuevas tecnologías en el sector financiero (Fintech), septiembre 2018
  • Confederación Española de Organizaciones Empresariales (CEOE): La producción normativa en 2018, febrero 2019
  • Confederación Española de Organizaciones Empresariales (CEOE): Legislar menos, legislar mejor, 1/2015
  • de la Quadra Salcedo, Tomás: Sociedad digital y derecho (Boletín Oficial del Estado Ministerio de Industria, Comercio y Turismo y RED.ES), noviembre 2018
  • European Commission’s High-Level Expert Group on Artificial Intelligence: Ethics Guidelines for Trustworthy AI, diciembre 2018
  • European Union Agency for Network and Information Security (ENISA): National cyber security strategies (NCSS) Good Practice Guide, noviembre 2016
  • Foro Europa Ciudadana: Hiperregulación en la Unión Europea, 2013
  • International RegTech Association (IRTA): Principles for Regtech Firms, octubre 2018
  • Ministerio de Economía y Empresa: Anteproyecto de Ley de medidas para la transformación digital del sistema financiero, 2018
  • Transatlantic Policy Working Group: The Future of RegTech for Regulators – Adopting a Holistic Approach to a Digital Era Regulator, junio 2017

* * * * * * * * *

Enlace a RegTech (I): La aplicación de las nuevas tecnologías en compliance: https://www.asociacioncompliance.com/regtech-la-aplicacion-de-las-nuevas-tecnologias-en-compliance-escrito-por-otilia-garcia-rivero-gener-socia-de-ascom/