La SIC le pone alto al uso indiscriminado de datos personales: sector ‘fintech’ debe cumplir nuevas reglas

Los datos personales deben ser utilizados bajo las leyes constitucionales del país.

Manuel Santiago Sánchez González

20 de septiembre de 2025, 12:06 a. m.
En la tarde del 19 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) emitió una nueva resolución en la cual establece los parámetros para el tratamiento de datos en el sector fintech.

Esta resolución busca proteger la intimidad de los usuarios del sistema financiero y comercial del país, con el objetivo de que sus datos personales no puedan ser utilizados libremente por terceros.

Contexto: Ordenan a conjunto residencial de Bogotá borrar datos biométricos de residentes: deberá implementar otros mecanismos de ingreso

“La circular busca garantizar que las actividades de tratamiento de datos personales en este sector se realicen conforme a la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012 y demás normas aplicables. Estas instrucciones son particularmente relevantes en un contexto de creciente dinamismo en los modelos de negocio y aplicaciones que ofrecen operaciones de crédito, financiación, depósitos de bajo monto y billeteras digitales a través de medios tecnológicos”, señaló la entidad.

Junto a esto, la SIC señala que, desde hace algún tiempo, se presenta una ampliación del portafolio de productos de financiación, crédito, depósitos de bajo monto y otros afines, mediante nuevos actores, medios e infraestructuras tecnológicas, lo que permite a la ciudadanía acceder a más y mejores servicios.

Contexto: Apple en la mira de la SIC: la poderosa tecnológica es investigada por abuso de posición de dominio. ¿De qué se trata?

Razón por la cual las personas han visto cómo sus datos personales terminan en bases de datos de marcas con las cuales no han tenido lazos comerciales. Además, se ofrecen servicios de manera indiscriminada por medio de la información obtenida.

Los datos personales deben ser utilizados con sumo cuidado. | Foto: Getty Images/iStockphoto

La SIC emitió una serie de consideraciones que deben ser asumidas por los comercios del país, con el objetivo de evitar sanciones por el uso indebido de datos personales.

¿Cuáles son las normas que deben seguir los comercios?

  1. Finalidad legítima y temporalidad: el tratamiento de datos personales debe responder a finalidades constitucionalmente legítimas y realizarse solo durante el tiempo estrictamente necesario.
  2. Principio de minimización: solo deben recolectarse datos idóneos y necesarios para los fines establecidos. “Por ejemplo, las aplicaciones no deben acceder a la galería de imágenes o a la lista de contactos del dispositivo con fines de cobranza”, destaca la SIC.
  3. Consentimiento informado y diferenciado: al solicitar la autorización del titular, se debe diferenciar entre finalidades necesarias (como la prestación del servicio) y finalidades accesorias (como el envío de publicidad o la oferta de otros servicios).
  4. Protección de datos biométricos: el tratamiento de datos biométricos para la prestación de servicios de financiación, operaciones de crédito y otros afines debe cumplir reglas estrictas, en virtud de la naturaleza sensible de esta información.

