La SIC expide nueva reglamentación para tratar datos personales en servicios “Fintech”

La Superintendencia de Industria y Comercio (“SIC”), en su calidad de autoridad de protección de datos personales, expidió la Circular Externa 001 de septiembre de 2025 que establece instrucciones sobre el tratamiento de datos personales en la oferta de productos y la prestación de servicios de financiación, depósitos de bajo monto y otros afines que faciliten la inclusión financiera mediante el uso de tecnologías digitales (fintech).

A continuación, destacamos las principales instrucciones emitidas por la SIC a través de la Circular, en complemento a las regulaciones vigentes de protección de datos:

1. El tratamiento de datos personales debe incluir procedimientos que aseguren la obtención de la autorización libre, expresa e informada del titular. En las aplicaciones disponibles para instalación es el titular quien debe decidir si otorga acceso a la información personal a través de su dispositivo, como, por ejemplo, el acceso a su ubicación o a la cámara. La autorización podrá solicitarse de forma dinámica, cuando el titular utilice una funcionalidad que requiera dicho acceso.
2. Los responsables deben solicitar la autorización presentando de forma diferenciada las finalidades al menos en dos grupos: las finalidades necesarias y las finalidades accesorias. Por ejemplo, son finalidades accesorias, el envío de publicidad o la oferta de otros servicios. El titular tiene el derecho a oponerse, en cualquier momento, al tratamiento de sus datos personales que haya sido autorizado para la realización de finalidades accesorias a la ejecución del contrato o la prestación del servicio, sin que su negativa afecte la continuidad del (o el acceso al) servicio principal.
3. Los sujetos obligados deben informar al titular sobre el uso que se le dará a su información personal e implementar medidas para la adecuada comprensión del titular sobre cómo se realiza el tratamiento de sus datos personales. Se recomienda adoptar mecanismos en los que los titulares puedan configurar sus preferencias de privacidad y decidir sobre la entrega de sus datos personales a terceros desde el diseño de las aplicaciones.
4. El titular tiene derecho a recibir una explicación clara y comprensible sobre cualquier decisión automatizada que le resulte desfavorable. Esta explicación incluirá, como mínimo, una descripción general de la lógica y criterios principales utilizados por el sistema, así como los factores más frecuentes que puedan influir en el resultado.
5. Los sujetos obligados que adelanten gestiones de cobranza de forma directa, por medio de terceros o por cesión de la obligación, deben abstenerse de contactar tanto a las referencias personales suministradas por los titulares, como a las personas relacionadas en la lista de contactos de los dispositivos de los titulares, salvo que para ello se cuente con la debida autorización del titular de los datos.
6. La información relacionada con tratamientos automatizados de datos personales que tengan la vocación de generar un impacto significativo, entendido como aquel que pueda afectar de manera relevante los derechos e intereses de los titulares, deberá estar disponible de forma clara y accesible en la Política de Tratamiento de Datos, así como en los términos y condiciones.
7. El tratamiento de datos biométricos es particularmente crítico para la adecuada prestación de servicios de financiación, operaciones de crédito, depósitos de bajo monto y otros afines que faciliten la inclusión financiera mediante tecnologías digitales. Por su carácter de datos sensibles, la recolección y el tratamiento de datos biométricos está especialmente regulada por la Ley y requiere de una diligencia reforzada, por tanto la SIC emite recomendaciones adicionales en la materia.

En resumen, esta nueva circular refuerza las obligaciones de las empresas del sector fintech para garantizar una gestión de datos transparente y ética. Las instrucciones de la Superintendencia buscan que la inclusión financiera digital se construya sobre la base del consentimiento informado y el respeto por los derechos de los usuarios, asegurando que sus datos personales sean tratados de forma responsable y segura en todo momento.