Reflexiones para el sector Fintech en Colombia a partir de la Circular Externa 001 del 18 de septiembre de 2025
El ecosistema Fintech en Colombia ha experimentado una evolución acelerada desde su consolidación a partir del año 2016, momento en el cual los principales actores del sector comenzaron a agruparse en Colombia Fintech con el propósito de fortalecer la confianza de los consumidores y legitimar nuevos modelos de negocio financieros basados en tecnología.
Este crecimiento ha venido acompañado de interrogantes relevantes sobre el tratamiento de datos personales, la sostenibilidad de los modelos de bajo costo y el alcance de las obligaciones regulatorias aplicables a un sector caracterizado por la innovación constante. En este contexto, la protección de los datos personales se convierte en un eje estructural para la operación y expansión del sector.
Como respuesta a este escenario, el 18 de septiembre de 2025 la Superintendencia de Industria y Comercio expidió la Circular Externa No. 001, dirigida a los sujetos vigilados que realizan tratamiento de datos personales en el ecosistema Fintech. Su finalidad es garantizar que la innovación en productos de financiación, depósitos de bajo monto, billeteras digitales y servicios cuasi financieros se desarrolle con pleno respeto por los derechos fundamentales de los titulares de la información.
Alcance general de la Circular
La Circular resulta obligatoria para todos los actores Fintech sometidos a la vigilancia de la Superintendencia de Industria y Comercio que, en el desarrollo de sus operaciones, actúen como responsables o encargados del tratamiento de datos personales.
Su marco normativo se sustenta principalmente en la Constitución Política de 1991, la Ley 1266 de 2008 y la Ley 1581 de 2012, reafirmando el carácter fundamental del derecho al habeas data y la necesidad de ajustar las operaciones del sector a los principios de legalidad, finalidad, libertad, veracidad, seguridad y confidencialidad.
La autoridad deja claro que la innovación tecnológica no puede desligarse del cumplimiento de las garantías constitucionales y legales en materia de protección de datos.
Ejes centrales de regulación
Finalidad y temporalidad del tratamiento
El tratamiento de datos personales debe responder a finalidades legítimas, explícitas y previamente informadas al titular, y limitarse a un tiempo razonable y proporcional. Las Fintech deben definir y documentar plazos de conservación acordes con las normas fiscales, contables e históricas aplicables.
Minimización de datos
Solo podrán recolectarse los datos estrictamente necesarios para la operación del servicio. La Circular prohíbe prácticas intrusivas como el acceso a la galería, contactos o información del dispositivo móvil del titular para fines de cobranza.
Autorización previa e informada
La autorización del titular debe ser libre, expresa e informada, especialmente cuando se trate de datos sensibles. No se admiten autorizaciones genéricas ni implícitas.
Finalidades diferenciadas
Las finalidades necesarias para la ejecución del contrato deben diferenciarse claramente de aquellas accesorias, como publicidad o análisis comercial, permitiendo al titular aceptar o rechazar estas últimas de forma independiente.
Tratamiento de datos biométricos
Los datos biométricos son considerados datos sensibles. Su tratamiento exige consentimiento explícito, medidas de seguridad reforzadas y procedimientos claros de eliminación segura una vez finalizada la relación contractual.
Derechos de los titulares
El ejercicio de los derechos de conocer, actualizar, rectificar, suprimir y revocar la autorización debe ser tan sencillo como el mecanismo de recolección de los datos.
Decisiones automatizadas
Los titulares tienen derecho a recibir información clara y comprensible sobre las decisiones automatizadas que les resulten desfavorables, incluyendo los criterios generales que sustentan dichas decisiones.
Gestiones de cobranza
Se prohíbe contactar referencias personales o terceros, así como acceder a contactos del dispositivo del titular, sin una autorización expresa y verificable.
Implicaciones prácticas para las Fintech
El cumplimiento de la Circular exige ajustes estructurales en los modelos de negocio, entre ellos:
-
Definición clara de roles como responsable o encargado del tratamiento.
-
Actualización de políticas de tratamiento de datos personales.
-
Implementación de medidas técnicas, humanas y administrativas de seguridad de la información.
-
Capacitación permanente del personal.
-
Revisión de prácticas de cobranza conforme a la Ley 2300 de 2023.
-
Evaluación de transferencias internacionales y adopción de cláusulas contractuales modelo cuando aplique.
Conclusión
La Circular Externa 001 de 2025 marca un punto de inflexión para el sector Fintech en Colombia, al reforzar el principio de responsabilidad demostrada y avanzar hacia un esquema de responsabilidad reforzada en el tratamiento de datos sensibles y de especial protección, como los datos de niños, niñas y adolescentes.
Más allá de evitar sanciones administrativas por parte de la Superintendencia de Industria y Comercio, su adecuada implementación se traduce en un fortalecimiento de la confianza del usuario, la sostenibilidad del negocio y la legitimidad del ecosistema Fintech en el largo plazo.
