La Superintendencia de Industria y Comercio (SIC) les recordó a las empresas que operan en el creciente mercado fintech del país, entre estas las billeteras digitales como Daviplata, dale!, Nequi; operadoras de crédito y financiación; depósitos de bajo monto, de inversión y finanzas personales, entre otras, la importancia de acatar y respetar las normas relacionadas con el tratamiento de datos personales.
Para ello, expidió la Circular Externa No. 01 de 2025, con el fin de instruir sobre el tratamiento de datos personales en la oferta de productos y la prestación de servicios de financiación, depósitos de bajo monto y otros afines que faciliten la inclusión financiera, mediante el uso de tecnologías digitales.
LEA TAMBIÉN
Según el más reciente informe de este sector ‘Finnovista Fintech 2025 Radar Colombia, en la actualidad operan en el país más de 678 startups de esta naturaleza, de las cuales más de 410 son locales y el resto, unas 267, extranjeras. Hasta el año pasado figuraban cerca de 400.
Sus ingresos estimados para el cierre del 2025 estarán rondando los 3.500 millones de dólares, mientras que en el siguiente año superarían los 5.280 millones.
Según la autoridad del mercado, ante el creciente auge de estas plataformas que son usadas por millones de personas en sus actividades diarias, es necesario “garantizar que las actividades de tratamiento de datos personales en este sector se realicen conforme a la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas aplicables”.
Agregó la SIC que: “Estas instrucciones son particularmente relevantes en un contexto de creciente dinamismo en los modelos de negocio y aplicaciones que ofrecen operaciones de crédito, financiación, depósitos de bajo monto y billeteras digitales a través de medios tecnológicos”.
No podía creer el valor que le habían transferido. Foto:iStock
Finalidad
Bajo ese escenario, la nueva circular establece 13 instrucciones que deben ser tenidas en cuenta por los actores del ecosistema fintech para proteger los datos personales de sus usuarios.
“Es importante resaltar que el ecosistema fintech tiene un alto impacto democratizador; promueve la inclusión social, económica y financiera, y dinamiza la economía. También agrega valor y estimula la competencia”, insiste la autoridad del mercado.
Por eso, insiste, sobre la importancia del tratamiento de datos personales propio de estas actividades y el respeto de los derechos fundamentales.
“Con esta circular, la Superintendencia de Industria y Comercio concreta su misión de velar por el cumplimiento de la legislación, en materia de protección de datos personales, promoviendo una cultura de responsabilidad y transparencia en el entorno digital”, precisa.
LEA TAMBIÉN

Instrucciones
- Finalidad legítima y temporalidad: El tratamiento de datos personales debe responder a finalidades constitucionalmente legítimas, y realizarse solo durante el tiempo estrictamente necesario.
- Principio de minimización: Solo deben recolectarse datos idóneos y necesarios para los fines establecidos. Algunos de estos es que las aplicaciones no deben acceder a la galería de imágenes o a la lista de contactos del dispositivo, con fines de cobranza.
- Consentimiento informado y diferenciado: Al solicitar la autorización del titular, se debe diferenciar entre finalidades necesarias (prestación del servicio) y finalidades accesorias (envío de publicidad u oferta de otros servicios).
- Protección de datos biométricos: El tratamiento de datos biométricos para la prestación de servicios de financiación, operaciones de crédito y otros afines debe cumplir reglas estrictas en virtud de la naturaleza sensible de la información. Cuando se realice, se debe:– Informar al titular las finalidades precisas para las cuales se tratarán sus datos biométricos y por qué la recolección de estos datos es necesaria.– Obtener la autorización explícita del titular para el tratamiento de sus datos biométricos.– Abstenerse de utilizar estos datos para finalidades no autorizadas por el titular.– Contar con medidas de seguridad adicionales que garanticen la protección de los datos biométricos.– Tomar las medidas razonables para asegurar que el tratamiento de datos biométricos sea proporcional al nivel de riesgo de la actividad de la que se trate.– Abstenerse de compartir con terceros los datos biométricos recolectados y de alimentar bases de datos biométricos centralizadas o integradas.– Proceder al borrado de estos datos en un término razonable cuando haya terminado la relación contractual con el titular y no subsistan las finalidades para las cuales se autorizó su tratamiento.
- Transparencia en decisiones automatizadas: El titular tiene derecho a recibir una explicación clara y comprensible sobre cualquier decisión automatizada que le resulte desfavorable.
Autoridades recomiendan verificar antes los sitios donde se ingresan datos sensibles de productos. Foto:iStock
Obligaciones
6. Establecer mecanismos sencillos y ágiles, que se encuentren permanentemente disponibles, para el ejercicio de los derechos de los titulares a conocer, rectificar, actualizar y suprimir sus datos personales.
7. Deben informar al titular sobre el uso dado o que se le dará a su información personal. Deben implementar medidas para la adecuada comprensión del titular sobre cómo se realiza el tratamiento de sus datos personales. La información debe ser completa, clara y de fácil lectura, sin barreras técnicas que impidan su acceso.
8. El titular tiene derecho a recibir una explicación clara y comprensible sobre cualquier decisión automatizada que le resulte desfavorable. Esta explicación incluirá, como mínimo, una descripción general de la lógica y criterios principales utilizados por el sistema, así como los factores más frecuentes que puedan influir en el resultado.
9. Deben adoptar medidas de seguridad razonables para la protección de los datos personales sometidos a tratamiento. Por tanto, deben adoptar medidas tecnológicas, humanas, administrativas, físicas, contractuales y de cualquier otra índole para evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información personal.
10. Los sujetos obligados que adelanten gestiones de cobranza de forma directa, por medio de terceros o por cesión de la obligación, deben abstenerse de contactar tanto a las referencias personales suministradas por los titulares, como a las personas relacionadas en la lista de contactos de los dispositivos de los titulares, salvo que para ello se cuente con la debida autorización del titular de los datos.
11. Deben definir sus roles en el tratamiento de datos personales, conforme a lo dispuesto en la Ley 1581 de 2012, la Ley 1266 de 2008 y sus normas reglamentarias. Cuando se realicen transmisiones de datos personales, en el marco del principio de responsabilidad demostrada, estas deben formalizarse mediante el respectivo contrato de transmisión de datos personales.
12. Los sujetos obligados que realicen transferencias o transmisiones internacionales de datos personales deben:
– Validar que el encargado o responsable destinatario esté ubicado en un Estado que cuente con un nivel adecuado de protección de datos personales, conforme al numeral 3.2 del Título V de la Circular Única de la Superintendencia de Industria y Comercio.
– En caso de que la transferencia o transmisión se realice a un Estado que no cuente con un nivel adecuado de protección de datos personales conforme el párrafo anterior, el responsable del tratamiento debe validar que la operación se encuentre dentro de las excepciones establecidas en el artículo 26 de la Ley 1581 de 2012.
– En caso de que no se encuentre dentro de las excepciones de la Ley, debe verificar que el Estado al que se transfieren o transmiten los datos personales cumpla con los estándares fijados en el numeral 3.1 del Título V de la Circular Única de la Superintendencia de Industria y Comercio.
– Si la transferencia no se encuentra en el escenario anterior, debe solicitar declaración de conformidad ante la Delegatura para la Protección de Datos Personales, en los términos del numeral 3.3 del Título V de la Circular Única de la Superintendencia de Industria y Comercio.
13. Suscribir y adecuar la conducta a las cláusulas contractuales modelo incluidas en la “Guía de implementación de cláusulas contractuales modelo para la Transferencia internacional de Datos personales (TIDP)” de la Red Iberoamericana de Protección de Datos y su anexo “Modelo de Cláusulas Contractuales” constituye una medida apropiada y efectiva para demostrar la implementación del principio de responsabilidad demostrada en las transferencias internacionales de datos personales.

