El 18 de septiembre de 2025, la Superintendencia de Industria y Comercio de Colombia emitió la Circular Externa Nº 001 de 2025 (en adelante, la “Circular”), mediante la cual se imparten instrucciones sobre el tratamiento de datos personales en la oferta y prestación de servicios fintech.
La Circular es aplicable a todas las entidades que ofrezcan productos o presten servicios de financiación, depósitos de bajo monto u otros instrumentos que promuevan la inclusión financiera a través de tecnologías digitales. En este marco, la norma refuerza la aplicación de los principios de tratamiento previstos en la Ley Estatutaria 1581 de 2012, que rige el tratamiento de datos personales en Colombia. Así, recuerda que el tratamiento debe responder a finalidades lícitas y limitarse a los datos pertinentes, adecuados y estrictamente necesarios para cumplirlas.
Sin embargo, cabe destacar ciertas obligaciones innovadoras que la Circular introduce en este marco. En primer lugar, establece que, salvo las excepciones contempladas en la Ley Estatutaria 1581, deberá obtenerse el consentimiento expreso e informado del titular, diferenciando entre las finalidades necesarias para la ejecución del contrato o prestación del servicio y aquellas accesorias, como el envío de promociones u ofertas de otros productos. Asimismo, la norma agrega que el titular conserva el derecho de oponerse a que sus datos sean tratados con fines accesorios.
En relación con los datos biométricos, la Circular exige a responsables y encargados implementar medidas de seguridad reforzadas para garantizar su protección.
Asimismo, reconoce el derecho del titular a obtener una explicación sobre cualquier decisión automatizada que le resulte desfavorable, incluyendo la lógica y los criterios empleados por el sistema, salvo que su divulgación comprometa secretos comerciales, derechos de propiedad intelectual u obligaciones legales. En esos casos, la información deberá suministrarse de forma general o agrupada por tipos de factores.
Finalmente, la Circular dispone que las entidades que realicen gestiones de cobranza deberán abstenerse de contactar a las referencias personales o a terceros relacionados con el titular, salvo que éste haya otorgado su autorización expresa.
Para acceder al texto completo de la Circular, consulte aquí.
