Bogotá D.C., 19 de septiembre. La Superintendencia de Industria y Comercio (SIC), como autoridad nacional de protección de datos personales, expidió la Circular Externa No. 01 de 2025, con el fin de instruir sobre el tratamiento de datos personales en la oferta de productos y la prestación de servicios de financiación, depósitos de bajo monto y otros afines que faciliten la inclusión financiera, mediante el uso de tecnologías digitales.
La circular busca garantizar que las actividades de tratamiento de datos personales en este sector se realicen conforme a la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas aplicables. Estas instrucciones son particularmente relevantes en un contexto de creciente dinamismo en los modelos de negocio y aplicaciones que ofrecen operaciones de crédito, financiación, depósitos de bajo monto y billeteras digitales a través de medios tecnológicos. 

Principales instrucciones de la Circular 01 de 2025:

La circular establece trece instrucciones que deben ser tenidas en cuenta por los actores del ecosistema fintech. Entre ellas se destacan:

1. Finalidad legítima y temporalidad: El tratamiento de datos personales debe responder a finalidades constitucionalmente legítimas, y realizarse solo durante el tiempo estrictamente necesario.

    

2. Principio de minimización: Solo deben recolectarse datos idóneos y necesarios para los fines establecidos. Algunos de estos es que las aplicaciones no deben acceder a la galería de imágenes o a la lista de  contactos del dispositivo, con fines de cobranza.

    

3. Consentimiento informado y diferenciado: Al solicitar la autorización del titular, se debe diferenciar entre finalidades necesarias (como la prestación del servicio) y finalidades accesorias (como el envío de publicidad o la oferta de otros servicios).

    

4. Protección de datos biométricos: El tratamiento de datos biométricos para la prestación de servicios de financiación, operaciones de crédito y otros afines debe cumplir reglas estrictas en virtud de la naturaleza sensible de la información. Cuando se realice, se debe: 
   a.  Informar al titular las finalidades precisas para las cuales se tratarán sus datos biométricos y por qué la recolección de estos datos es necesaria.
   b. Obtener la autorización explícita del titular para el tratamiento de sus datos biométricos.
   c. Abstenerse de utilizar estos datos para finalidades no autorizadas por el titular.
   d. Contar con medidas de seguridad adicionales que garanticen la protección de los datos biométricos. 
   e. Tomar las medidas razonables para asegurar que el tratamiento de datos biométricos sea proporcional al nivel de riesgo de la actividad de la que se trate.
   f. Abstenerse de compartir con terceros los datos biométricos recolectados y de alimentar bases de datos biométricos centralizadas o integradas. 
   g. Proceder al borrado de estos datos en un término razonable cuando haya terminado la relación contractual con el titular y no subsistan las finalidades para las cuales se autorizó su tratamiento.

    

5. Transparencia en decisiones automatizadas: El titular tiene derecho a recibir una explicación clara y comprensible sobre cualquier decisión automatizada que le resulte desfavorable. 

Es importante resaltar que el ecosistema fintech tiene un alto impacto democratizador; promueve la inclusión social, económica y financiera, y dinamiza la economía. También agrega valor y estimula la competencia. Sin embargo, es importante que el tratamiento de datos personales propio de estas actividades respete los derechos fundamentales. Con esta circular, la Superintendencia de Industria y Comercio concreta su misión de “velar por el cumplimiento de la legislación, en materia de protección de datos personales”, promoviendo una cultura de responsabilidad y transparencia en el entorno digital.

Puede consultar la Circular 01 de 2025 dando clic aquí.