SIC fija nuevas reglas al sector fintech sobre el uso de datos personales en Colombia

La Superintendencia de Industria y Comercio (SIC) anunció el la expedición de la Circular Externa 01, mediante la cual se establecen disposiciones para el manejo de datos personales por parte de las empresas del sector fintech.

El documento busca fijar pautas claras que garanticen la protección de la información de los ciudadanos en un entorno de creciente digitalización de los servicios financieros.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel

De acuerdo con la resolución, la entidad pretende reforzar la intimidad de los usuarios y evitar que terceros hagan un uso indiscriminado de su información. La SIC señaló que este marco regulatorio es esencial en un escenario en el que proliferan modelos de negocio basados en aplicaciones y plataformas tecnológicas que ofrecen alternativas de crédito, financiación, depósitos de bajo monto y billeteras digitales.

En palabras de la Superintendencia, citadas por Semana, “la circular busca garantizar que las actividades de tratamiento de datos personales en este sector se realicen conforme a la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas aplicables.

Estas instrucciones son particularmente relevantes en un contexto de creciente dinamismo en los modelos de negocio y aplicaciones que ofrecen operaciones de crédito, financiación, depósitos de bajo monto y billeteras digitales a través de medios tecnológicos”.

La autoridad de protección de datos indicó que la expansión de la oferta de productos financieros mediante canales digitales ha permitido que más personas accedan a servicios. No obstante, también ha generado situaciones en las que la información personal termina en bases de datos de compañías con las que los titulares no tienen relación comercial previa. Según la SIC, esta práctica facilita la circulación de servicios no solicitados y un uso que no siempre cumple los parámetros legales de confidencialidad.

En este sentido, la Superintendencia recordó que las compañías deben seguir principios específicos para evitar sanciones y garantizar un tratamiento adecuado de los datos. Entre las directrices fijadas por la Circular Externa 01 de 2025 se encuentran la finalidad legítima, la minimización de la recolección, el consentimiento informado y la especial protección de la información biométrica.

El primer punto establece que todo tratamiento debe responder a un propósito constitucionalmente legítimo y que la conservación de la información solo puede mantenerse durante el tiempo necesario para el fin que motivó su recolección. Este criterio impide que los datos se almacenen indefinidamente sin justificación.

En cuanto a la minimización, la SIC explicó que las empresas únicamente podrán recopilar información idónea y estrictamente necesaria. Sobre este aspecto, la entidad precisó que “por ejemplo, las aplicaciones no deben acceder a la galería de imágenes o a la lista de contactos del dispositivo con fines de cobranza”, como se citó en Semana.

El consentimiento informado constituye otro de los pilares de la regulación. Según la circular, cuando una compañía solicite autorización al usuario, debe diferenciar de manera clara entre las finalidades esenciales para la prestación del servicio y aquellas accesorias, como la inclusión en campañas de mercadeo o el ofrecimiento de productos adicionales.

Asimismo, se establecen parámetros rigurosos para la utilización de datos biométricos. La Superintendencia destacó que, por tratarse de información sensible, su tratamiento debe ajustarse a condiciones estrictas que aseguren la protección de la identidad y privacidad de los usuarios en operaciones de crédito, financiación y servicios relacionados.

El organismo de control explicó que estas medidas buscan reforzar la confianza en el ecosistema financiero digital y evitar que se generen prácticas que comprometan la seguridad de la información. La entidad advirtió que las empresas que incumplan lo dispuesto en la circular se exponen a sanciones, en línea con lo que contemplan las leyes vigentes en materia de protección de datos.

De igual forma, la SIC recordó que los desarrollos tecnológicos no pueden ser excusa para desconocer los derechos de los titulares de la información. Según indicó, el marco legal colombiano obliga a todos los responsables del tratamiento de datos a aplicar protocolos de transparencia, seguridad y respeto por los principios de necesidad y proporcionalidad.

El anuncio fue acompañado por la publicación en redes sociales oficiales de la Superintendencia, donde se explicó que la circular establece reglas sobre finalidad legítima, recolección mínima, consentimiento diferenciado, protección de biométricos y transparencia en decisiones automatizadas. El mensaje se difundió con el propósito de que las empresas fintech adopten de manera oportuna los lineamientos exigidos.