Regulación y novedades COVID-19

Protección de datos personales

Aduanero y comercio exterior

Contratación estatal y servicios públicos

Contratos comerciales

Emergencia Sanitaria

Financiero

Infraestructura y derecho urbanístico

Laboral y Seguridad Social

Migratorio

Otros

Procesos judiciales y administrativos

Propiedad intelectual e industrial

Protección al consumidor

Protección de datos personales

Recursos naturales

Sector minero energético

Sector transporte

Sociedades/ Reorganización/ Insolvencia

Tributario

Telecomunicaciones Medios

Comparativo normativo 2025: protección de datos Fintech (sic) vs. open finance (minhacienda) en Colombia

Lineamientos sobre Datos Financieros en el Ecosistema Fintech Colombiano (2025)

Por Daniel Peña Valenzuela, socio de Peña Mancero Abogados

Introducción

En el contexto de la transformación digital del sistema financiero colombiano, la regulación del tratamiento de datos personales adquiere una relevancia estratégica. El 6 de mayo de 2025, la Superintendencia de Industria y Comercio (SIC) publicó un proyecto de circular externa orientado a establecer lineamientos específicos para el manejo de datos personales por parte de actores del ecosistema fintech. Aunque esta iniciativa se presenta como una medida para fortalecer la protección de los derechos de los titulares, su contenido ha suscitado un debate significativo respecto a su compatibilidad con el modelo de finanzas abiertas (open finance) promovido por el Ministerio de Hacienda.

El open finance, como paradigma emergente, busca fomentar la interoperabilidad, la innovación tecnológica y la inclusión financiera mediante el intercambio estandarizado y seguro de datos entre entidades financieras y terceros autorizados. En este marco, el proyecto de decreto del Ministerio de Hacienda propone una arquitectura regulatoria basada en el consentimiento digital, la automatización de procesos y una gobernanza multisectorial liderada por la Superintendencia Financiera de Colombia (SFC).

La coexistencia de estos dos marcos regulatorios plantea tensiones normativas que podrían obstaculizar el desarrollo armónico del ecosistema financiero digital. A través del siguiente cuadro comparativo, se analizan las principales divergencias entre ambos proyectos, con el fin de evidenciar los puntos de fricción y proponer una reflexión crítica sobre la necesidad de una regulación coherente, moderna y alineada con los principios del open finance.

 

Proyecto de Circular de la SIC Proyecto de Decreto del Ministerio de Hacienda (Open Finance)
Decisiones Automatizadas Exige revisión humana cuando las decisiones afecten significativamente al titular, limitando el uso de algoritmos e IA. Promueve el uso de algoritmos e inteligencia artificial para ampliar el acceso a servicios financieros.
Mecanismos de Consentimiento Requiere autorizaciones previas, explícitas y escritas, especialmente para datos sensibles o procesamiento automatizado. Establece un consentimiento digital gestionado mediante APIs y dashboards interactivos, con registros electrónicos auditables.
Principio de Minimización de Datos Refuerza una interpretación restrictiva del principio de minimización, limitando el acceso a datos no estrictamente necesarios. Permite al titular compartir voluntariamente su historial financiero completo para servicios personalizados y benchmarking.
Gobernanza e Interoperabilidad Se basa en el modelo tradicional de responsable/encargado del tratamiento sin considerar la estructura multisectorial. Establece un esquema de gobernanza liderado por la SFC con mesas técnicas, estándares de integración y reglas de reciprocidad.
Rol del Consumidor Asume un enfoque paternalista, considerando al consumidor como pasivo y vulnerable. Considera al consumidor como actor activo, dueño de sus datos, con capacidad de decidir con quién compartir su información.
Objetivo General Busca proteger los derechos de los titulares de datos personales en el ecosistema fintech. Busca aumentar la competencia, eficiencia e inclusión financiera mediante el intercambio estandarizado de datos.
Participación Obligatoria No establece una obligación generalizada para los actores del ecosistema. Obliga a entidades vigiladas por la SFC a participar como proveedores de datos en el sistema de finanzas abiertas.
Esquema de Gobernanza No contempla una instancia de coordinación multisectorial. Crea una instancia de coordinación público-privada con autoridad decisoria (SFC), secretaría técnica y grupos de trabajo.

Una década de protección de datos personales en Colombia: diez años de la ley 1581 de 2012

Por Daniel Peña Valenzuela, socio de Peña Mancero Abogados

El 2022 es un momento de celebración y de balance; de memoria y de pensar en el futuro de la protección de datos personales en Colombia. Se cumple una década de la Ley 1581 de 2012 que convirtió a la Data Protection y al Habeas Data en uno de los ejes normativos del uso de información personal en el ámbito estatal, empresarial e individual.  La Ley 1581 definió normativamente el derecho fundamental previsto en el artículo 15 de la Constitución de 1991 que tenía para ese momento un desarrollo jurisprudencial  significativo mediante sentencias de tutela de la Corte Constitucional y ha sido el pilar de la hoja de ruta para la cultura de la protección de la información personal en Colombia, así como un ejemplo a seguir para varios países de la región.

De manera paulatina, en Colombia se ha generado conciencia del valor de los datos personales y del necesario respeto en el procesamiento y uso de los mismos con el fin de lograr un cumplimiento de la ley y la sostenibilidad de los modelos de negocios que tienen como base la información o aquellos que de manera marginal hacen uso de la misma. La Ley 1581 incorpora de manera expresa las reglas y principios que se deben cumplir para el uso de la información personal.

En los últimos década, de manera coincidente con la puesta en funcionamiento de la Ley 1581, las Tecnologías de la Información y las Comunicaciones TIC ha evolucionado de manera acelerada y se han introducido nuevas y disruptivas maneras de procesar información como el Internet de las Cosas, Computación en la Nube, Inteligencia Artificial y Blockchain, así como una transformación digital prácticamente en todos los negocios que tienen en la actualidad un componente digital; así mismo los referentes mundiales en manera regulatoria como la OECD,  la Unión Europea, Los Estados Unidos han introducido cambios y modificaciones a sus modelos normativos siempre evidenciando la relevancia de una adecuada e integral protección a los datos personales.

En Colombia, la Superintendencia de Industria y Comercio de Colombia como autoridad nacional de protección de datos personales, encargada de la aplicación de la normatividad (Ley 1581, Decretos reglamentarios y Circulares, entre otras) ha tenido un papel preponderante en la guía de  implementación práctica, en la interpretación de este régimen jurídico especializado así como en la investigación y sanción a quienes lo vulneren. La autorización debida para el uso de datos personales, la finalidad de la explotación, el cumplimento de los deberes y obligaciones de encargados y responsables y el respeto del derecho de los titulares son tópicos que se repiten en el contexto práctico a escala empresarial. Así mismo la transferencia y transmisión de los datos personales a países distintos a Colombia así como las políticas de privacidad  se han convertido en temas del día a día de empresarios y ciudadanos.

El equilibrio entre el uso de información personal por el Estado colombiano con diferentes propósitos por ejemplo estadísticos, seguridad ciudadana o protección de la salud pública frente a las garantías constitucionales del derecho de protección de datos de los ciudadanos es un tema fundamental que ha acompañado esta década de implementación y es la columna vertebral para la construcción democrática del Estado social de derecho en el marco de la Sociedad de la Información y la Economía Digital que se establece como elemento fundante de la Constitución Colombiana con el rol tutelar de la Corte Constitucional.

A escala empresarial, este régimen normativo se ha convertido en un elemento fundamental de las obligaciones de cumplimiento legal para mitigar riesgos de sanciones y de interrupción o alteración de actividades productivas y comerciales. Las empresas colombianas cada vez con más frecuencia nombran oficiales de cumplimiento y adoptan políticas y prácticas encaminadas a lograr un adecuado nivel de protección para la información que se procesa internamente y de terceros. El cumplimiento debe ser no solamente un requisito teórico en papel sino una vivencia, una cultura y una experiencia de cumplimiento.

Es claro que la Ley 1581 no es un texto definitivo sino sujeto a evolución económica, tecnológica y social. Desde ya se debe reflexionar en cambios y reformas normativas para lograr varios fines, entre otros:

  1. Que la protección de datos esté acorde con la evolución tecnológica y los cambios económicos y sociales locales e internacionales
  2. Que el impacto económico y regulatorio de la protección de datos no afecte la economía en general y la economía digital
  3. Que la garantía constitucional vaya de la mano con la competitividad, productividad y realidad de nuestra economía
  4. Que las decisiones de las Cortes y los jueces respecto de las controversias en datos personales sean claras, precisas y establezcan una interpretación adecuada de la Constitución y el corpus normativo y regulatorio
  5. Que las empresas logran la responsabilidad demostrada y el cumplimiento normativo suficiente e idóneo
  6. Que la Superintendencia permita la evolución paulatina del régimen normativo en la búsqueda de un equilibrio entre los intereses en juego
  7. Que las sanciones tengan una tasación adecuada, proporcional y correcta
  8. Que se avance en la indemnización respecto de los perjuicios individuales y colectivos que se causan con la infracción a este régimen legal

Es tiempo de aniversario, de balance y de prospectiva del futuro. La Ley 1581 ha sido un paso en un camino a seguir para lograr construir en Colombia una sociedad de la información justa y equilibrada, una economía digital prospera y avanzada, las garantías adecuadas para los ciudadanos respecto de los datos personales y la seguridad jurídica necesaria para locales e inversionistas internacionales  en medio de una creciente transformación digital del Estado, las empresas y en general la sociedad colombiana.

Principio de finalidad en el tratamiento de datos personales “Habeas Data”

Concepto Jurídico N° 21-70693 de 2021. Superintendencia de Industria y Comercio

Todo manejo de datos personales debe regirse por la Ley 1581 de 2012, aun cuando los datos sean de interés público. En estos casos, si bien esta característica exime al Responsable y/o Encargado de recolectar la autorización del titular previo a realizar tratamiento, no lo libera de los demás deberes legales que tiene como Responsable y/o Encargado. Dentro de estas responsabilidades legales, se encuentra la de garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. Para cumplir con esta obligación, el Responsable y/o Encargado del tratamiento deberá respetar los principios anotados en el presente concepto, dentro de los cuales se encuentran, entre otros, el principio de finalidad; que indica que el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.