La inclusión financiera digital en Colombia crece rápidamente, pero con ella se incrementa la responsabilidad de proteger la información de los usuarios. Para poner orden en este ecosistema dinámico, la Superintendencia de Industria y Comercio (SIC) emitió la Circular Externa No. 001 de 2025 (18 de septiembre de 2025).
Esta regulación no es un obstáculo, sino un marco de confianza que exige a las empresas que ofrecen financiación, depósitos de bajo monto y servicios Fintech actuar con la máxima diligencia en el tratamiento de los datos personales.
La Circular se enfoca en que el tratamiento de datos sea proporcional, legítimo y transparente. Para los líderes de riesgo y compliance en el sector, estos son los cambios fundamentales:
1. Autorización Explícita y Diferenciada
La norma obliga a diferenciar el consentimiento que se pide al titular del dato. Debe haber una distinción clara entre:
- Finalidades necesarias: Datos requeridos exclusivamente para prestar el servicio (ej. autenticación, desembolso).
- Finalidades accesorias: Datos para usos adicionales (ej. publicidad, ofertas de terceros).
El usuario tiene el derecho a negar las finalidades accesorias sin que se le restrinja el acceso al servicio principal. Esto elimina las autorizaciones genéricas que mezclaban todos los usos posibles.
2. La vigilancia reforzada de los datos biométricos
Los datos biométricos (huella, reconocimiento facial, etc.) son información sensible y reciben la mayor protección. La Circular exige una diligencia reforzada para su uso:
- Se debe obtener autorización explícita y adicional para su recolección.
- El tratamiento debe ser proporcional al nivel de riesgo de la actividad.
- Las empresas deben contar con medidas de seguridad adicionales y abstenerse de compartir o alimentar bases de datos biométricos centralizadas o integradas sin consentimiento expreso.
La SIC reitera el principio de minimización de datos. Solo se pueden recolectar y tratar los datos que sean estrictamente necesarios, idóneos y pertinentes para el fin legítimo informado
3. Transparencia en decisiones automatizadas
El titular del dato tiene derecho a recibir una explicación clara y comprensible sobre cualquier decisión automatizada que le resulte desfavorable (como la negación de un crédito o la imposición de un límite). Este punto, que toca directamente los modelos de scoring y analítica, exige que las empresas puedan hacer entendible su algoritmo para el usuario afectado.
Implicaciones para el Sector
La protección de datos y la gestión de riesgo están intrínsecamente ligadas. Una gestión de riesgo eficiente solo es posible si se respetan las normas de compliance. Como señala Asobancaria en sus informes sobre el ecosistema regulatorio, la tendencia global es hacia una mayor protección del consumidor en el ámbito digital.
Para FIGARANTIAS, esta Circular refuerza la importancia de ser un aliado seguro y transparente. Si bien la Garantía Crediticia se enfoca en el respaldo de la cartera, su servicio se basa en la confianza y el cumplimiento normativo de todo el sector financiero. La Circular Externa No. 001 de 2025 es un llamado a la acción. Las Fintechs y las entidades que utilizan tecnología para la financiación deben revisar y ajustar sus procesos de obtención de consentimiento y sus políticas de seguridad de la información. El Compliance ya no es una opción, sino el fundamento legal sobre el que se debe construir cualquier modelo de negocio exitoso en la era digital.
