El 18 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) de Colombia aprobó mediante Circular Externa No. 001 de 2025 las instrucciones sobre el tratamiento de datos personales en servicios fintech.
La circular establece 13 instrucciones principales para actores del ecosistema fintech que procesan datos personales:
- Finalidades legítimas: Solo tratar datos para fines constitucionalmente válidos y por tiempo razonable
- Minimización: Limitar el tratamiento a datos necesarios e idóneos
- Autorización informada: Obtener consentimiento libre, expreso e informado antes del tratamiento
- Diferenciación de finalidades: Separar finalidades necesarias de accesorias en la autorización
- Datos biométricos: Protección especial con autorización explícita y medidas de seguridad adicionales
- Derechos de titulares: Establecer mecanismos ágiles para ejercer derechos de acceso, rectificación y supresión
- Transparencia: Informar claramente sobre el uso de datos personales
- Decisiones automatizadas: Explicar decisiones automatizadas desfavorables al titular
- Medidas de seguridad: Implementar protecciones técnicas, administrativas y físicas apropiadas
- Cobranza: No contactar referencias sin autorización del titular
- Definición de roles: Documentar roles como responsable/encargado del tratamiento
- Transferencias internacionales: Validar nivel adecuado de protección en países destino
- Cláusulas contractuales modelo: Usar las cláusulas de la Red Iberoamericana de Protección de Datos (RIPD)
La circular concluye recomendando suscribir las cláusulas contractuales modelo de la RIPD como medida efectiva para transferencias internacionales. Estas cláusulas modelo ya fueron previamente aprobadas por Argentina, Perú y Uruguay, consolidando un marco regional armonizado para la protección de datos en transferencias internacionales.
