El 18 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa No. 001 de 2025, mediante la cual imparte instrucciones sobre el tratamiento de datos personales en la oferta de productos y la prestación de servicios de financiación, depósitos de bajo monto y otros El 18 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa No. 001 de 2025, mediante la cual imparte instrucciones sobre el tratamiento de datos personales en la oferta de productos y la prestación de servicios de financiación, depósitos de bajo monto y otros servicios afines que facilitan la inclusión financiera a través del uso de tecnologías digitales.

Si bien la Circular tiene un impacto significativo en el sector fintech, su alcance no se restringe únicamente a este, pues cobija también a todas las personas naturales o jurídicas que realicen actividades crediticias, depósitos o servicios cuasifinancieros utilizando medios tecnológicos, incluso cuando no estén bajo la vigilancia de la Superintendencia Financiera de Colombia.

La Circular surge como respuesta al crecimiento de las operaciones financieras y cuasifinancieras mediadas por la tecnología, un fenómeno que, aunque promueve la inclusión y la competencia, plantea retos importantes en materia de privacidad, transparencia y seguridad de los datos personales.

De esta manera, la SIC busca armonizar la innovación tecnológica con la garantía efectiva de los derechos fundamentales y la responsabilidad demostrada de los actores que tratan información personal.

Principales medidas y obligaciones

La Circular No. 001 de 2025 introduce ajustes estructurales que deberán ser incorporados por todos los sujetos vigilados que realicen tratamiento de datos personales en el marco de actividades financieras o afines.

Entre las medidas más relevantes se destacan:

• Finalidades legítimas y conservación limitada: los datos solo pueden tratarse mientras subsistan finalidades constitucionalmente legítimas. Se deben definir tiempos de conservación y eliminación.
• Autorizaciones diferenciadas: se exige separar las finalidades necesarias (ejecución contractual) de las accesorias (publicidad o mercadeo), permitiendo al titular oponerse a estas últimas.
• Tratamiento de datos biométricos: requiere autorización expresa, medidas reforzadas y eliminación una vez termine la relación contractual.
• Ejercicio de derechos: deben existir mecanismos ágiles para actualizar, rectificar o suprimir datos, visibles en la política de tratamiento y en los formularios de PQRS.
• Decisiones automatizadas: si se usan algoritmos o inteligencia artificial, el titular tiene derecho a recibir una explicación clara sobre los criterios aplicados.
• Seguridad y responsabilidad demostrada: las medidas de protección deben revisarse periódicamente y documentarse.
• Cobranza y contactos: no se pueden usar listas de contactos ni referencias sin autorización del titular.
• Transferencias internacionales: solo se permiten hacia países con nivel adecuado de protección o bajo cláusulas contractuales modelo.

Implicaciones para las organizaciones vigiladas

Las entidades deberán actualizar su marco de cumplimiento, incluyendo:

• Revisión del Manual Interno de Protección de Datos.
• Ajuste de los textos de autorización y políticas públicas.
• Revisión de contratos con encargados y proveedores internacionales.
• Documentación de medidas de seguridad y revisiones periódicas.

La Circular Externa No. 001 de 2025 constituye un avance clave en la consolidación de la cultura de protección de datos personales en el ámbito financiero y tecnológico colombiano.

Más que imponer obligaciones, promueve confianza, transparencia y gestión responsable de la información, elementos indispensables en una economía digital centrada en los usuarios.

Redacción por: Jennifer Fonnegra | Abogada

Para mantenerse al tanto en actualidad jurídica puede seguirnos en nuestras redes sociales Linkedin e Instagram.Si requiere más información puede comunicarse con nosotros a través del correo comunicaciones@quip.legal