En Colombia, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa No. 001 de 2025 para regular el manejo de datos personales en el sector fintech. El documento, publicado el último 18 de septiembre, establece 13 instrucciones específicas que deben cumplir las empresas que ofrecen servicios financieros digitales en el país.
¿A quién aplica la norma fintech?
La circular está dirigida a todos los actores del ecosistema fintech vigilados por la SIC que realicen tratamiento de datos personales, incluyendo empresas que otorgan créditos digitales, plataformas de depósitos de bajo monto, billeteras digitales, sociedades especializadas en depósitos y pagos electrónicos (SEDPE), servicios de adquirencia y cualquier empresa que ofrezca financiación directa mediante tecnologías digitales.
Las 13 instrucciones establecidas por SIC en Colombia
1. Finalidades legítimas y tiempo limitado
El tratamiento de datos solo puede realizarse para fines constitucionalmente legítimos y durante el tiempo estrictamente necesario, considerando aspectos administrativos, contables, fiscales e históricos.
2. Principio de minimización
Las aplicaciones deben recolectar únicamente los datos necesarios. Por ejemplo, no pueden acceder a la galería de fotos o lista de contactos del celular para actividades de cobranza.
3. Autorización informada
Se debe obtener la autorización libre, expresa e informada del titular antes de iniciar el tratamiento. Las autorizaciones pueden solicitarse de forma dinámica cuando se use una funcionalidad específica, informando claramente la finalidad en ese momento.
4. Autorización diferenciada
Las empresas deben separar las autorizaciones entre finalidades necesarias (prestación del servicio) y accesorias (publicidad u otros servicios). Los usuarios pueden rechazar las segundas sin perder acceso al servicio principal.
5. Tratamiento especial de datos biométricos
Debido a su naturaleza sensible, requieren autorización explícita ciertas finalidades precisas como prevención de fraude o verificación de identidad, medidas de seguridad adicionales, prohibición de compartir con terceros, y borrado una vez termine la relación contractual.
6. Mecanismos ágiles para derechos
Las empresas fintech deben desarrollar procesos sencillos y permanentemente disponibles para que los usuarios conozcan, rectifiquen, actualicen o supriman sus datos. Estos procedimientos deben ser tan ágiles como los de recolección de datos.
7. Información clara al titular
Se debe informar sobre el uso de la información personal de manera completa, clara y sin barreras técnicas. Se recomienda permitir que los usuarios configuren sus preferencias de privacidad desde el diseño de las aplicaciones.
8. Transparencia en decisiones automatizadas
Los usuarios tienen derecho a recibir explicaciones claras sobre decisiones automatizadas desfavorables, incluyendo la lógica y criterios utilizados. Para sistemas de inteligencia artificial, aplica también la Circular Externa No. 002 de 2024.
9. Medidas de seguridad
Deben adoptarse medidas tecnológicas, humanas, administrativas, físicas y contractuales para proteger los datos. Estos controles deben revisarse periódicamente, estar documentados y ser verificables por las autoridades.
10. Restricciones en cobranza
Las fintech no pueden contactar referencias personales o contactos del dispositivo para gestiones de cobranza, salvo con autorización específica del titular. Este aspecto será objeto de vigilancia especial.
11. Definición de roles
Las empresas fintech deben establecer claramente quién es responsable de los datos (quien decide cómo usarlos) y quién es encargado (quien los procesa siguiendo instrucciones). Cuando compartan información con otras empresas, deben hacerlo mediante contratos formales y con autorización previa del usuario. Si una empresa actúa como encargada pero en la práctica toma las decisiones sobre los datos, será considerada responsable con todas las obligaciones que esto implica.
12. Transferencias internacionales
Para transferir datos a otros países, deben validar que el destino tenga niveles adecuados de protección, verificar excepciones legales o solicitar declaración de conformidad ante la Delegatura para la Protección de Datos Personales.
13. Cláusulas contractuales modelo
Se recomienda suscribir las cláusulas contractuales modelo de la Red Iberoamericana de Protección de Datos para transferencias internacionales como medida efectiva del principio de responsabilidad demostrada.
Contexto normativo
Según la SIC, estas medidas buscan equilibrar la innovación financiera digital con la protección de derechos fundamentales. La entidad reconoce que el sector fintech «tiene un alto impacto democratizador, promueve la inclusión social, económica y financiera, y dinamiza la economía», pero enfatiza la necesidad de respetar la legislación de protección de datos.
La circular se basa en las leyes estatutarias 1266 de 2008 y 1581 de 2012, que regulan el tratamiento de datos personales en Colombia. Estas normas no se aplican a entidades vigiladas por la Superintendencia Financiera de Colombia.
Las empresas fintech vigiladas por la SIC ahora deben adecuar sus procesos y sistemas para cumplir con estos 13 lineamientos específicos.
