Segunda ronda de comentarios del proyecto sobre lineamientos para el tratamiento de datos personales en el ecosistema Fintech
La SIC publica para segunda ronda de comentarios el Proyecto de Circular externa que proyecta impartir instrucciones sobre el tratamiento de datos personales en la prestación de servicios financieros mediante el uso de tecnologías digitales (Fintech). Aplica para sujetos vigilados por la Superintendencia de Industria y Comercio que realicen tratamiento de datos personales en cualquiera de los roles previstos por la ley (responsable, encargado, fuente o usuario) en el contexto de servicios financieros digitales.Algunas de las novedades de esta segunda versión del proyecto:
- Sobre tratamiento de datos personales (instrucción 2): Se menciona como ejemplo específico de prohibición el acceso a galería o contactos con fines de cobranza.
- Sobre autorización en tratamiento de datos personales (Instrucción 4): Se precisa que los responsables deben solicitar la autorización diferenciando las finalidades al menos en dos grupos: las finalidades necesarias y las finalidades accesorias. Se dan ejemplos concretos (centrales de riesgo, publicidad) y se reconoce el derecho del titular a oponerse en cualquier momento.
- Frente a las instrucciones 6 y 7 de la primera versión, ahora se consolida en una sola instrucción (5): Se exige obtener una autorización adicional y explicita por parte del titular de los datos biométricos, e informarle de manera aquellas finalidades de la recolección de sus datos (se enlistan las respectivas finalidades que pueden considerarse). También, se enlistan diversas responsabilidades tanto para el responsable como el encargado de los datos donde se incluyen medidas de seguridad reforzadas, eliminación de datos cuando cesen las finalidades, y se prohíbe su centralización o uso no consentido.
- Sobre procedimientos para ejercer derechos (Instrucción 6): Se añade que estos procedimientos deben ser igual de ágiles que los de recolección de datos. Los sujetos obligados deben establecer mencaismos disponibles para los titulares en cuanto a conocimiento, actualización y eliminación de sus datos personales.
- Sobre el registro de accesos por terceros, el primera versión se exigía mantener registros detallados de accesos por terceros autorizados (numeral 12). Este numeral fue eliminado en esta segunda versión del proyecto normativo.
- Sobre cobranza y contactos del dispositivo (Instrucción 10): Además de no poder contactar a las referencias personales suministradas por los titulares de los datos, también se prohíbe contactar a personas en la lista de contactos del dispositivo sin autorización expresa.
