Reflexiones para el sector Fintech en Colombia, a partir de la Circular Externa No. 001 del 18 de septiembre de 2025.
Luego del surgimiento de las Fintech en Colombia, su maduración que los llevó agruparse en Colombia Fintech de cara a brindar seguridad a los clientes del consumo de este tipo de servicios financieros a partir del año 2016, muchas preguntas se han planteado entorno a los modelos de negocio y el tratamiento de datos que en éste se efectúa, la Superintendencia de Industria y Comercio, establece unas reglas aplicables al sector, que quizás, puedan resultar una carga excesiva, o quizás, puedan permitir lograr la operación de un sector que por su bajo costo en la operación la restricción en el uso de datos personales pueda ser un factor determinante para no expandirse en nuevos canales de servicio.
Como respuesta imperativa de la autoridad de control, el18 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa 01, dirigida a los sujetos vigilados que realizan tratamiento de datos personales en el ecosistema Fintech. El objetivo es garantizar que la innovación en productos de financiación, depósitos de bajo monto, billeteras digitales y servicios cuasi financieros se desarrolle con pleno respeto a la protección de datos personales.
Para el análisis de todos hemos preparado un informe analítico que permitirá visualizar el alcance pretendido por la autoridad de control al emitir este tipo de regulaciones.
- Introducción y Consideraciones
Aspecto clave | Base normativa | Consecuencia práctica |
Dirigida a sujetos vigilados por la SIC que traten datos personales en productos y servicios Fintech. | Constitución (1991), Ley 1266 de 2008, Ley 1581 de 2012. | Ajustar operaciones al régimen de protección de datos, según rol (responsable, encargado, fuente, usuario). |
Impacto democratizador de la innovación Fintech. | Art. 333 C.P.; Art. 45 Ley 1480/2011; Decretos 1074/2015, 222/2020, 1692/2020. | La innovación debe cumplir garantías constitucionales y legales en materia de datos. |
Habeas data como derecho fundamental. | Art. 15 C.P.; Ley 1266/2008, Ley 1581/2012. | Implementar mecanismos para que los titulares conozcan, actualicen, rectifiquen, supriman o revoquen autorización sobre sus datos. |
Cumplimiento de principios de protección de datos. | Ley 1581/2012 (principios de legalidad, finalidad, libertad, veracidad, acceso, seguridad, confidencialidad). | Cumplir refuerza confianza, competitividad y sostenibilidad. |
Rol de vigilancia de la SIC sobre actores Fintech no vigilados por la Superfinanciera. | Art. 17 Ley 1266/2008; art. 21 lit. e Ley 1581/2012. | La Circular es obligatoria; el incumplimiento genera sanciones administrativas. |
- Instrucciones principales de la Circular
a. Finalidades y temporalidad
El tratamiento de datos personales debe responder a finalidades legítimas y limitarse a un tiempo razonable.
- Norma: Art. 15 C.P.; Ley 1581/2012.
- Acción práctica: Definir plazos de retención de acuerdo con normas fiscales, contables e históricas.
- Minimización de datos
Solo pueden recolectarse datos estrictamente necesarios.
- Ejemplo: Está prohibido acceder a la galería o contactos del celular para fines de cobranza.
- Autorización previa e informada
El titular debe dar una autorización libre, expresa e informada, en especial sobre datos sensibles.
- Finalidades diferenciadas
Separar claramente las finalidades necesarias (ejecución de contrato) de las accesorias (publicidad).
- Tratamiento de datos biométricos
Son datos sensibles y requieren consentimiento explícito, medidas de seguridad reforzadas y borrado seguro al terminar la relación contractual.
- Derechos de los titulares
Conocer, actualizar, rectificar, suprimir y revocar autorización debe ser tan fácil como la recolección de datos.
- Transparencia en el uso de datos
El titular debe estar informado de forma clara y accesible sobre cómo se usan sus datos.
- Decisiones automatizadas
Los titulares tienen derecho a explicaciones sobre decisiones automatizadas que les resulten desfavorables.
- Seguridad de la información
Las medidas deben ser tecnológicas, humanas y administrativas, revisadas periódicamente y documentadas.
- Restricción en gestiones de cobranza
Prohibido contactar referencias personales o contactos del celular del titular sin autorización expresa.
- Acción práctica: Ajustar políticas internas y contratos, capacitar al personal y documentar las autorizaciones.
- Definición de roles
Documentar si la entidad actúa como responsable o encargado. Si en la práctica define fines y medios, se considera responsable.
- Transferencias internacionales
Verificar nivel adecuado de protección en el país receptor o aplicar excepciones legales.
- Cláusulas contractuales modelo (TIDP)
Adoptarlas demuestra responsabilidad en transferencias internacionales.
- Sugerencias prácticas para las fintech
Para cumplir la Circular y fortalecer la confianza en el mercado:
- Gobernanza de datos:
- Designar un Oficial de Protección de Datos.
- Mapear el flujo de información y definir roles.
- Políticas y procedimientos:
- Actualizar la Política de Tratamiento de Datos.
- Incluir protocolos de supresión y revocatoria.
- Seguridad:
- Implementar un SGSI (ej. ISO/IEC 27001).
- Usar cifrado, autenticación y borrado seguro.
- Consentimiento y transparencia:
- Diseñar mecanismos dinámicos de autorización.
- Explicar decisiones automatizadas de forma clara.
- Cobranza:
- Prohibir contacto a referencias o terceros sin autorización.
- Capacitar al personal en Ley 2300/2023.
- Transferencias internacionales:
- Verificar nivel adecuado de protección.
- Adoptar cláusulas contractuales modelo.
- Cultura organizacional:
- Capacitar al personal en protección de datos.
- Establecer métricas de cumplimiento y auditorías.
- Conclusión
La Circular Externa 01 de 2025 refuerza la obligación de que los modelos Fintech en Colombia respeten los derechos de los titulares de datos personales y apliquen el principio de responsabilidad demostrada y transiten por el principio de responsabilidad reforzada en el tratamiento de datos sensibles y de especial protección (datos de niños, niñas y adolescentes – NNA).
Cumplir estas instrucciones no solo evita sanciones de la SIC, sino que también fortalece la confianza del usuario y la sostenibilidad del negocio.
Descarga la circular completa en el siguiente enlace: https://sedeelectronica.sic.gov.co/transparencia/normativa/circular-externa-001-del-18-de-septiembre-de-2025
Por, CEO, AMME. Septiembre 2025.