Volver
Natalia Garzón
Redactora freelance
Cumplimiento
5 min read

SIC y el tratamiento de datos para las Fintech

Publicado
December 9, 2025
Conoce con quien haces negocios
Valida identidad, reputación y riesgos en un informe completo y confiable.
Conoce ya
¿Tu empresa está protegida?
Valida automáticamente listas restrictivas y cumple normativas nacionales e internacionales
Descrubre cómo
Suscríbete a nuestro boletín
Al suscribirte, aceptas nuestra Política de Privacidad y das tu consentimiento para recibir actualizaciones de nuestra empresa.
Gracias, hemos recibido tu información de forma correcta
¡Ups! Algo salió mal al enviar el formulario
Share

Colombia se ha consolidado como un país con diversas posibilidades para las startups, sobre todo para las Fintech que llegan a brindar posibilidades a las personas que se sentían un poco limitadas por las opciones de banca tradicionales. Según datos de Finnovista Fintech Radar Colombia 2025, en Colombia operan 678 startups, 410 colombianas y 268 extranjeras. Este panorama es positivo y demuestra un sector fortalecido y que puede seguir creciendo en el país. Sin embargo, como todo lo novedoso, las regulaciones han ido surgiendo poco a poco y aún queda camino por recorrer para establecer los límites de estas startups. A continuación, revisamos las nuevas disposiciones de la Superintendencia de Industria y Comercio (SIC) frente a las Fintech y la importancia de la protección de datos en estas organizaciones. 

Worldcoin y el derecho de habeas data 

En 2024, Worldcoin llegó al país con una propuesta revolucionaria vinculada a una criptomoneda que prometía valorizarse cuando el sistema creciera. Era normal encontrar en las calles de las ciudades principales locales que ofrecían esta retribución a las personas a cambio de permitir que les escanearan el iris para convertir las particularidades de sus ojos en códigos alfanuméricos. Lo que al principio parecía una propuesta innovadora, alertó pronto a los expertos en protección de datos, ya que no se explicaba cómo iban a ser usados esos datos que son considerados altamente sensibles. Worldcoin aterrizó en Colombia y ya cargaba con un lastre de prohibiciones en otros países y alertó a las autoridades nacionales que pusieron a la empresa bajo la lupa. 

Fue así que, en octubre de 2025, un mes después de que la SIC expidiera nuevas disposiciones para las Fintech respecto a la protección de datos, esta misma entidad ordenó en primera instancia “el cierre definitivo e inmediato” de las operaciones de la empresa en el país y ordenó suprimir todos los datos, incluidos los códigos alfanuméricos. La SIC explicó que la empresa carecía de políticas de tratamiento de datos, procedimientos para atender reclamos de los usuarios, medidas de seguridad y autorizaciones. Además, aseguró que la organización no les brindó a los participantes información clara, transparente y sencilla sobre las finalidades específicas del tratamiento. 

Disposiciones de la SIC 

El 18 de septiembre de 2025, por medio de la CIRCULAR EXTERNA No. 001 DE 2025, la SIC expidió instrucciones sobre el tratamiento de datos para Sujetos vigilados por la Superintendencia de Industria y Comercio que realicen tratamiento de datos personales en cualquiera de los roles previstos por las leyes de protección de datos personales (responsable, encargado, fuente o usuario) en el contexto de la oferta de productos y prestación de servicios de financiación, depósitos de bajo monto y otros afines que faciliten la inclusión financiera mediante el uso de tecnologías digitales (Fintech).

Aunque es claro que estas entidades se rigen por el derecho consignado en la Constitución Política de Colombia, la entidad quiso sistematizar y reiterar algunos derechos, principios y deberes, presentados de forma sencilla y contextual. La SIC aclaró que estas disposiciones no son aplicables a los sujetos vigilados por la Superintendencia Financiera y presentó trece disposiciones que determinan los derechos y deberes de la protección de datos. Entre las más relevantes se encuentran:

  1. El tratamiento debe limitarse a aquellos datos que sean idóneos o necesarios para cumplir las finalidades constitucionalmente legítimas para las cuales se recolectan. Es decir que, las aplicaciones (Fintech) no pueden acceder a la galería de imágenes del dispositivo o a la lista de contactos del dispositivo con fines de cobranza. 
  2. El tratamiento debe incluir la autorización libre, expresa e informada del titular antes de iniciar el tratamiento, salvo en las excepciones establecidas en la ley. Y cuando las aplicaciones estén disponibles para instalación, el titular debe decidir si otorga acceso a información como ubicación o cámara. Y debe informarse en el momento la finalidad del acceso para que el titular tome una decisión informada. 
  3. El tratamiento de datos biométricos es particularmente crítico para la adecuada prestación de servicios de financiación, operaciones de crédito, depósitos de bajo monto y otros afines. Por su carácter de datos sensibles, la recolección y el tratamiento está especialmente regulada por la Ley y requiere una diligencia reforzada, por tanto:
    • Al momento de la recolección, el responsable del tratamiento debe informar de manera específica las finalidades precisas para las cuales se tratarán sus datos biométricos y por qué la recolección es necesaria. Entre las finalidades precisas y necesarias pueden argumentarse prevención del fraude, autentificación o verificación de identidad, controles de acceso, actualización de datos personales, validación de transacciones consideradas de riesgo alto y el trámite de reclamaciones relacionadas con la ejecución del contrato. Y debe obtener del titular, la autorización explícita para la recolección y tratamiento de sus datos biométricos, de acuerdo con la necesidad y finalidades precisas informadas. 
    • Durante el ciclo del tratamiento, tanto el responsable como el encargado deben: 
      • Abstenerse de utilizar los datos biométricos para finalidades no consentidas por el titular.
      • Contar con medidas de seguridad adicionales.
      • Tomar las medidas razonables para asegurar que el tratamiento de datos biométricos sea proporcional al nivel de riesgo de la actividad de la que se trate.
      • Abstenerse de compartir con terceros los datos biométricos recolectados y de alimentar bases de datos biométricos.
      • Proceder al borrado de los datos biométricos en un término razonable una vez haya terminado la relación contractual con el titular y no subsistan las finalidades precisas para las cuales se autorizó su tratamiento.
  4. Cuando las tecnologías automatizadas correspondan a sistemas de Inteligencia Artificial (IA) los responsables y encargados deberán tener en cuenta lo dispuesto en Lineamientos sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial de la SIC. 
  5. Los sujetos obligados que realicen transferencias o transmisiones internacionales de datos deben validar que el encargado o responsable destinatario está ubicado en un Estado con un nivel adecuado de protección de datos personales y de no ser así, seguir unos procedimientos establecidos por la SIC para garantizar la protección de los mismos. 

Validación y protección de datos 

Las disposiciones de la SIC crean unas rutas para llenar vacíos relacionados con datos altamente sensibles como los biométricos y enfatizan una vez más en la importancia de una recolección de datos que sea responsable, informada y segura. Las Fintech están obligadas a ser cada vez más responsables en el tratamiento, pero también a cuidar los datos recabados en los procesos de validación correspondientes a labores de cumplimiento. Es por eso que, para llevar a cabo procedimientos de debida diligencia o validaciones requeridas dentro del SARLAFT, las Fintech deben recurrir a empresas que garanticen una recolección de datos conforme a la ley como Tusdatos. Con el servicio que brindamos para las empresas, no solo aseguramos un tratamiento adecuado de los datos recolectados en los procesos de validación, sino que garantizamos la protección de datos de nuestros clientes, avalados por la certificación ISO 27001:2022

Etiquetas

Protección de Datos
Validación de Antecedentes
Cumplimiento

Artículos relacionados

Explora más contenido que podría interesarte

Ver todo
Cumplimiento
5 min read

Formas más comunes de lavar dinero y cómo evitarlo en tu empresa

Descubre las técnicas más comunes utilizadas para lavar dinero en empresas y las mejores prácticas para proteger tu organización de estos riesgos.
Leer
Cumplimiento
5 min read

El rol de la UIAF en la lucha contra el LAFT

Descubre cómo la UIAF, en colaboración con el GAFI, previene el lavado de activos y la financiación del terrorismo en Colombia, con mecanismos como el ROS y la identificación de tipologías delictivas.
Leer
Cumplimiento
5 min read

AML: Qué es, cuál es su importancia y cómo implementarlo en tu empresa

Conoce todo sobre el Anti-Money Laundering (AML), su importancia en la prevención del lavado de activos y cómo implementarlo para cumplir con las regulaciones globales y proteger tu empresa.
Leer
Cumplimiento
5 min read

¿Cómo presentar el Informe 75 SAGRILAFT y PTEE?

Conoce la importancia del Informe 75 y los detalles de cómo hacer frente a este nuevo proceso
Leer
Cumplimiento
5 min read

Guía del Capítulo X: SAGRILAFT y medidas mínimas

¿Qué es SAGRILAFT y el Régimen de Medidas Mínimas? Conozca los sectores obligados por SuperSociedades (APNFD) y el deber de consultar listas GAFI.
Leer
Cumplimiento
5 min read

Contratación efectiva y remota: claves para lograrlo con éxito

Conoce cómo agilizar el proceso de contratación en tu empresa, ahorrar 80% del tiempo y asegurar la validación de seguridad como primer filtro
Leer

¿Quieres modernizar tus procesos de validación de personas y empresas?

Acelera tus procesos de vinculación tomando decisiones rápidas y seguras con tecnología avanzada

Habla con un expertoQuiero comprar