Instrucciones sobre el tratamiento de datos personales en sector Fintech
La Circular Externa No. 001 de 2025 de la La Superintendencia de Industria y Comercio (SIC) que imparte instrucciones para el tratamiento de datos personales en la oferta de productos y servicios de financiación, depósitos de bajo monto y otros afines que faciliten la inclusión financiera mediante tecnologías digitales (fintech). La Superintendencia imparte un total de 13 instrucciones, de las cuales se destaca: Puntos clave de la Circular:- Finalidad legítima y temporalidad: El tratamiento de datos personales debe responder a fines constitucionalmente legítimos y realizarse solo durante el tiempo estrictamente necesario.
- Minimización de datos: Solo se deben recolectar datos idóneos y necesarios. Se deben aplicar criterios para minimizar el tratamiento de datos personales.
- Antes de iniciar el tratamiento de datos personales, se debe obtener autorización libre, expresa e informada del titular e informarle qué datos serán recolectados.
- Consentimiento informado y diferenciado: Al solicitar autorización al titular, se debe diferenciar entre finalidades necesarias (prestación del servicio) y accesorias (publicidad, ofertas).
- Protección de datos biométricos: Se exige diligencia reformada, donde se incluye informar al titular sobre el uso de sus datos biométricos, obtener autorización explícita del titular de los datos y aplicar medidas de seguridad reforzadas como no compartir con terceros los datos y eliminarlos en un termino razonable tras la relación contractual con el titular.
- Derechos de los titulares: Se deben facilitar mecanismos ágiles para que los titulares puedan conocer, rectificar, actualizar y suprimir sus datos personales.
- Transparencia y seguridad: Explicar decisiones automatizadas desfavorables y adoptar medidas de seguridad tecnológicas, humanas y administrativas.
- Cuando las tecnologías automatizadas correspondan a sistemas de inteligencia artificial, los responsables y encargados del tratamiento deberán tener en cuenta lo dispuesto en la Circular Externa No. 002 del 21 de agosto de 2024
- Los sujetos obligados deben documentar y definir sus roles en el tratamiento de datos personales, formalizar contratos para transmisiones de datos personales y contar con autorización previa del titular.
- Quienes realicen transferencias internacionales de datos personales deben validar el nivel de protección del país receptor, cumplir excepciones legales y, si corresponde, solicitar declaración de conformidad ante la autoridad.
