Lo que deben saber las empresas que prestan servicios de financiación digital

El 18 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) emitió la Circular Externa No. 001 de 2025, dirigida a todas las entidades vigiladas que realizan tratamiento de datos personales en el ecosistema fintech, es decir, en la oferta de créditos digitales, billeteras, depósitos de bajo monto y otros servicios cuasifinancieros.

Esta circular se convierte en una guía obligatoria sobre cómo manejar datos personales en productos digitales de financiación e inclusión financiera, y marca un punto de inflexión en la forma en que las plataformas tecnológicas deben gestionar la privacidad, la biometría y los procesos automatizados de decisión.

Contexto: la era del crédito digital y la protección de datos

La SIC reconoce que el crecimiento de la industria fintech tiene un alto impacto democratizador: amplía el acceso al crédito, fomenta la competencia y promueve la inclusión financiera.
Pero también señala un riesgo evidente: el uso intensivo de datos personales en operaciones digitales requiere una regulación clara, especialmente frente a biometría, decisiones automatizadas y transferencias internacionales de datos.

Por eso, esta circular no crea nuevas obligaciones, sino que sistematiza y refuerza las ya contenidas en las leyes 1266 de 2008 (habeas data financiero) y 1581 de 2012 (protección general de datos personales), adaptándolas al contexto fintech.

⚙️ Principales instrucciones que deben cumplir las fintech

1️⃣ Finalidades legítimas y limitación temporal

Los datos personales solo pueden tratarse con fines constitucionalmente legítimos, durante un tiempo razonable y necesario.
Esto significa que los datos de un cliente no pueden almacenarse “por si acaso” ni usarse para finalidades distintas a las informadas.

2️⃣ Principio de minimización

Las aplicaciones financieras no pueden acceder a información irrelevante, como la galería o lista de contactos del usuario, con fines de cobranza o mercadeo.
Solo se pueden recolectar datos estrictamente necesarios para el servicio.

3️⃣ Autorización libre e informada

Antes de cualquier tratamiento, se debe obtener una autorización explícita, diferenciando entre:

  • Finalidades necesarias (ej. aprobación del crédito, verificación de identidad).
  • Finalidades accesorias (ej. publicidad, encuestas, marketing).

El usuario puede negarse a las finalidades accesorias sin que eso afecte su acceso al servicio.

4️⃣ Biometría bajo estricta custodia

El uso de datos biométricos —como rostro, voz o huellas— debe cumplir condiciones reforzadas:

  • Finalidades precisas (autenticación, prevención de fraude).
  • Autorización expresa y específica del titular.
  • Prohibición de alimentar bases centralizadas o compartir datos biométricos con terceros.
  • Borrado obligatorio una vez terminada la relación contractual.

5️⃣ Derechos de los titulares y canales de ejercicio

Los usuarios deben contar con mecanismos simples y disponibles para conocer, actualizar, rectificar o eliminar sus datos.
Y estos procedimientos deben ser tan ágiles como el proceso original de recolección.

6️⃣ Explicabilidad de decisiones automatizadas

Cuando una decisión afecta al titular —por ejemplo, el resultado de un scoring crediticio— la empresa debe explicar claramente los factores que influyeron.
El titular tiene derecho a entender la lógica detrás del algoritmo, incluso si no se revelan secretos industriales.

7️⃣ Seguridad reforzada y documentación verificable

Las empresas deben mantener medidas tecnológicas, humanas y administrativas para proteger la información personal, revisar su eficacia periódicamente y poder demostrar su implementación ante la autoridad.

8️⃣ Cobranza responsable

Las fintech deben abstenerse de contactar a referencias o contactos telefónicos del usuario sin su autorización expresa.
Cualquier gestión de cobro debe hacerse solo con el titular, en cumplimiento de las leyes 1266, 1581 y 2300 de 2023.

9️⃣ Transferencias internacionales de datos

Las transmisiones a otros países deben hacerse solo si:

  • El país tiene un nivel adecuado de protección; o
  • Existe una excepción legal; o
  • Se cuenta con autorización de la SIC o cláusulas contractuales modelo aprobadas por la Red Iberoamericana de Protección de Datos.

¿Qué implica para plataformas como Kuenta?

Para Kuenta y las empresas que gestionan identidad, crédito y firma digital, esta circular refuerza la importancia de los principios que ya guían nuestra operación:

  • Privacidad por diseño: las autorizaciones de uso se solicitan de forma dinámica y contextual.
  • Minimización de datos: solo se recolecta lo necesario para validar identidad o evaluar riesgo.
  • Explicabilidad: cada decisión crediticia o antifraude tiene trazabilidad y registro técnico.
  • Borrado seguro: los datos biométricos se eliminan cuando expira la finalidad del tratamiento.
  • Cumplimiento demostrable: toda la trazabilidad está disponible para auditoría de la SIC.

En resumen

La Circular 001 de 2025 no es solo una instrucción técnica; es una declaración de principios sobre cómo debe operar la inclusión financiera digital en Colombia:
con transparencia, proporcionalidad y responsabilidad demostrada.

Las fintech que integren estos lineamientos no solo evitarán sanciones: ganarán confianza, reputación y ventaja competitiva en un mercado que cada día exige más ética y tecnología.

Kuenta: Validación de identidad | Firma electrónica | Créditos.
Cumplimiento, seguridad y tecnología para construir confianza en el crédito digital.