Bogotá D.C., 24 de abril de 2026. La Superintendencia de Industria y Comercio (SIC) impuso una sanción de cierre definitivo de la operación a la sociedad CONSTRUIR COMUNDO S.A.S. en liquidación, administradora de cuatro aplicaciones móviles de crédito —POPCASH, EASTBAY, MOVIL CRÉDITO y VIDA LUJA— que durante años utilizaron los datos personales y los contactos telefónicos de sus usuarios como herramienta de presión y cobro intimidatorio.

La decisión, contenida en la Resolución 6717 de 2026, es el resultado de una investigación administrativa iniciada en agosto de 2022 que acumuló más de 1.500 denuncias de ciudadanos de todo el país afectados por las prácticas de la empresa.

El patrón denunciado era sistemático: las aplicaciones otorgaban créditos por montos inferiores a los aprobados, imponían plazos de pago de apenas siete días y aplicaban intereses que los denunciantes describieron como altos. Cuando los usuarios se retrasaban en el pago, incluso un solo día, la empresa activaba un mecanismo de cobro que iba más allá de lo legal.

Aprovechando los permisos que el usuario otorgaba al instalar la aplicación, la empresa accedía al directorio de contactos del celular del deudor y enviaba por WhatsApp mensajes intimidatorios a personas de sus círculos sociales y laborales. Los mensajes incluían, en varios casos denunciados, fotografías editadas de la cédula de identidad y de la cara del deudor, acompañadas de textos como alertas de fraude o evasión de deuda, dirigidos a personas que nunca habían tenido ninguna relación con la aplicación. «Recibí un mensaje con una foto editada de mi cédula, una selfie y un pantallazo de mis contactos recientes; las primeras dos tenían un texto que indicaba “soy una mala paga, hago préstamos en apps y no pago"», manifestó una ciudadana en su denuncia.

Lo que comprobó la SIC

La investigación estableció infracciones graves a la Ley 1581 de 2012, Régimen de Protección de Datos Personales en Colombia:

En la decisión se precisó que hubo tratamiento inadecuado de datos personales sensibles como las fotografías de los denunciantes y datos de carácter semiprivado al no contar con la autorización previa, expresa e informada de los titulares. En segundo lugar, los usuarios nunca fueron informados acerca de la finalidad real para la cual se recopilaría su información ni de los derechos que les asistían. En tercer lugar, las respuestas de la compañía ante los requerimientos de la SIC resultaron evasivas, dilatorias e injustificadas, incumpliendo el deber legal de atender a la autoridad de control.

Cabe señalar que el vínculo entre CONSTRUIR COMUNDO S.A.S. y las cuatro aplicaciones fue confirmado por la Fiscalía General de la Nación, que atendió un requerimiento de la SIC en el marco de la investigación.

La sanción y sus razones

La Directora de Investigaciones de Protección de Datos Personales, Carolina García Molina, determinó que la sanción procedente es el cierre inmediato y definitivo de todas las operaciones que involucren tratamiento de datos sensibles. Si bien la gravedad de las conductas justificaba también una sanción económica de hasta 2.000 salarios mínimos —como lo permite la ley—, la SIC constató que la empresa se encuentra en proceso de liquidación judicial desde septiembre de 2022, lo que haría ineficaz el cobro de una multa.

La resolución subraya que la vulneración del derecho fundamental a la protección de datos personales no es una cuestión de poca trascendencia: afecta no solo a quienes son víctimas directas, sino que pone en riesgo los derechos fundamentales de toda la sociedad.

La SIC recuerda a la ciudadanía que antes de instalar una aplicación de crédito, se debe:

• Revisar con detalle los permisos que solicita en el dispositivo móvil y desconfiar de plataformas que exijan acceso al directorio de contactos o a la galería de fotos como condición para otorgar un préstamo o que resulten excesivos o injustificados.
• Leer y comprender la política de tratamiento de datos personales.
• Evitar compartir información sensible sin garantías de seguridad de la plataforma.
• Mantener su dispositivo actualizado.
• Estar alerta ante cualquier práctica de presión, amenaza o uso indebido de su información personal, sabiendo que el titular de los datos personales tiene derecho a conocer, actualizar, rectificar y revocar la autorización sobre el tratamiento de sus datos en cualquier momento, salvo que exista un deber legal o contractual de mantenerlos.