La Superintendencia de Industria y Comercio (SIC) de Colombia ha emitido la Circular Externa 01 de 2025, que introduce regulaciones sobre el tratamiento de datos personales por parte de las empresas del sector fintech. Esta medida busca establecer pautas para proteger la información de los usuarios en un contexto de creciente digitalización de los servicios financieros.
La resolución tiene como objetivo reforzar la privacidad de los ciudadanos y evitar el uso inapropiado de su información por parte de terceros. Según la SIC, este nuevo marco regulatorio es crucial dado el auge de modelos de negocio que se basan en aplicaciones y plataformas tecnológicas que ofrecen diversas alternativas de crédito y servicios financieros.
De acuerdo con las declaraciones de la Superintendencia, citadas por Semana, “la circular busca garantizar que las actividades de tratamiento de datos personales en este sector se realicen conforme a la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas aplicables”. Este enfoque es especialmente relevante en un entorno donde proliferan aplicaciones que facilitan el acceso a servicios financieros.
La SIC destaca que el crecimiento de la oferta de productos financieros digitales ha permitido una mayor inclusión, pero también ha generado situaciones donde la información personal de los usuarios se encuentra en bases de datos de empresas con las que no tienen relación comercial. Esta situación puede llevar a la recepción de servicios no solicitados y a un uso de datos que no cumple con los estándares de privacidad establecidos por la ley.
Para abordar estos problemas, la Circular Externa 01 de 2025 establece diversas directrices que las empresas deben seguir. Estas incluyen la necesidad de un propósito legítimo para el tratamiento de datos, la minimización en la recolección de información y la obtención de un consentimiento informado. Por ejemplo, se precisa que las aplicaciones no deben acceder a información no necesaria, como la galería de imágenes o la lista de contactos del dispositivo, para actividades de cobranza.
Además, el consentimiento informado es un pilar fundamental de la regulación. Las empresas deben diferenciar claramente entre las finalidades esenciales para la prestación de servicios y las finalidades accesorias, como el marketing o la oferta de productos adicionales. Asimismo, se establecen criterios estrictos para el manejo de datos biométricos, dado que esta información es considerada sensible.
La SIC también señala que estas medidas buscan aumentar la confianza en el ecosistema financiero digital y prevenir prácticas que pongan en riesgo la seguridad de la información. Las empresas que no cumplan con las disposiciones de la circular estarán sujetas a sanciones, conforme a las leyes vigentes sobre protección de datos. La entidad enfatiza que los avances tecnológicos no deben ser excusa para ignorar los derechos de los titulares de la información, y todos los responsables del tratamiento de datos deben seguir protocolos de transparencia y seguridad.
El anuncio fue acompañado por publicaciones en las redes sociales oficiales de la Superintendencia, donde se explicaron las nuevas reglas sobre finalidad legítima, recolección mínima, consentimiento diferenciado, protección de datos biométricos y transparencia en decisiones automatizadas. El objetivo es que las empresas fintech implementen adecuadamente estas directrices.
