Criterios jurídicos para un marco legal de Open Banking en Perú: protección de datos y consentimiento informado

Abstract

Este trabajo busca establecer los criterios jurídicos esenciales para regular el Open Banking en el Perú, poniendo especial énfasis en la protección real de los datos personales de los usuarios. Mediante un enfoque cualitativo y documental, se examinaron detalladamente las normas nacionales e internacionales, las principales sentencias judiciales importantes y la doctrina especializada sobre el tema. El estudio confirma la ausencia de una regulación específica en el país, lo que genera riesgos importantes. Ante esta situación, se propone un marco basado en tres pilares fundamentales. El primero es un consentimiento informado renovable, que exija una finalidad clara, viabilidad técnica, la prohibición expresa del screen scraping y medidas especiales de protección para datos biométricos. El segundo pilar convierte la interoperabilidad en una obligación jurídica, definiendo claramente las responsabilidades de bancos, fintechs y proveedores externos, junto con un registro de acceso verificable. El tercero posiciona la ciberseguridad como elemento central del sistema, incorporando estándares internacionales y el principio de privacidad desde el diseño. La integración adecuada de estos tres pilares resulta indispensable para equilibrar la innovación financiera con la efectiva tutela de los derechos de los usuarios en el contexto del Open Banking peruano.This work seeks to establish the essential legal criteria for regulating Open Banking in Peru, with a special emphasis on the effective protection of users' personal data. Using a qualitative and documentary approach, national and international regulations, key judicial rulings, and specialized doctrine on the subject were examined in detail. The study confirms the absence of specific regulations in the country, which generates significant risks. In response to this situation, a framework based on three fundamental pillars is proposed. The first is renewable informed consent, requiring a clear purpose, technical feasibility, an express prohibition of screen scraping, and special protection measures for biometric data. The second pillar makes interoperability a legal obligation, clearly defining the responsibilities of banks, fintechs, and external providers, along with a verifiable access log. The third positions cybersecurity as a central element of the system, incorporating international standards and the principle of privacy by design. The proper integration of these three pillars is essential to balance financial innovation with the effective protection of users' rights in the context of Peruvian Open Banking.