Proyecta lineamientos sobre el tratamiento de datos personales en el ecosistema Fintech

Establecería lineamientos sobre el tratamiento de datos personales en el ecosistema Fintech y los modelos de negocio, aplicaciones y procesos que utilizan medios tecnológicos para la prestación de servicios financieros. Obligaciones de Cumplimiento Normativo

1. Finalidades legítimas: El tratamiento de datos debe ser para finalidades constitucionalmente legítimas.
2. Minimización de datos: Limitar el tratamiento a datos pertinentes, adecuados y necesarios.
3. Autorización del titular: Obtener autorización previa e informar claramente las finalidades del tratamiento.
4. Tratamiento de datos sensibles: Requiere autorización escrita y medidas de seguridad adicionales.
5. Transparencia: Informar claramente sobre el uso de tecnologías automatizadas.
6. Seguridad: Adoptar medidas para proteger los datos personales contra accesos no autorizados.
7. Derechos del titular: Facilitar el acceso, rectificación, actualización y supresión de datos personales.

Fechas y Plazos para Cumplir con las Obligaciones Las obligaciones deben cumplirse de manera continua y adaptarse a la evolución de los riesgos y el estado del arte en seguridad de la información. Sanciones y Multas El incumplimiento de las obligaciones puede ser objeto de vigilancia y control por parte de la Delegatura para la Protección de Datos Personales, conforme a las leyes 1266 de 2008, 1581 de 2012 y 2300 de 2023, y la Circular Externa 001 del 26 de junio de 2024. Disposiciones Importantes

• Prohibición de condicionar servicios: No se puede condicionar el acceso a servicios financieros al suministro de datos personales sensibles.
• Mecanismos de transparencia: Informar claramente sobre el uso de tecnologías automatizadas y permitir la impugnación de decisiones automatizadas.
• Transferencias internacionales: Validar el nivel de protección de datos en el país destinatario y cumplir con las excepciones legales.

Se recibirán comentarios hasta el 21 de mayo de 2025.