La Circular Externa 001 de 2025 de la Superintendencia de Industria y Comercio (SIC), emitida el 18 de septiembre de 2025, redefine cómo bancos, fintech y empresas de cobranza deben tratar los datos personales, elevando la transparencia, seguridad y responsabilidad en la gestión de información.

Un paso decisivo hacia la privacidad 

Con esta disposición, la SIC establece un nuevo estándar regulatorio para la protección de datos personales en Colombia. Su objetivo es garantizar que las organizaciones adopten prácticas responsables, seguras y verificables, fortaleciendo la confianza de los usuarios en un entorno cada vez más digital.

La norma incluye 13 instrucciones clave, que exigen a las empresas implementar una cultura de privacidad, donde la protección de los datos deje de ser un trámite administrativo para convertirse en un componente estratégico.

Principales obligaciones de la Circular 

Entre las novedades más relevantes se encuentran:

  • Oficial de privacidad obligatorio: persona encargada de garantizar cumplimiento y servir de enlace con la SIC, distinta del oficial de cumplimiento.
  • Estudios de impacto de privacidad: análisis preventivo de riesgos antes de lanzar productos o servicios que impliquen tratamiento de datos.
  • Consentimiento granular: cada finalidad de uso de los datos debe ser autorizada individualmente por el titular.
  • Registro y trazabilidad: documentar cómo se obtiene, almacena, comparte y elimina la información.
  • Gestión de incidentes: protocolos internos para atender filtraciones, accesos no autorizados o uso indebido de datos.

Privacidad como ventaja competitiva 

Cumplir con la Circular 001 no solo evita sanciones, sino que permite:

  • Reforzar la credibilidad frente al mercado y clientes.
  • Posicionar a la empresa como referente en gestión responsable de datos.
  • Incrementar la eficiencia operativa mediante procesos estandarizados y seguros.

En la economía digital, la protección de datos personales se convierte en un activo estratégico, y la anticipación es clave para liderar el sector.

Graficar esta información en unfogradia.

Superintendencia de Industria y Comercio

Circular Externa No. 01 de 2025

13 instrucciones para el tratamiento responsable de los datos personales en servicios de financiación digitales (Fintech)

  1. Finalidad clara y temporalidad
    Uso de datos solo para fines legítimos, por el tiempo necesario.
  2. Principio de minimización de datos
    Las apps no pueden ingresar a tu galería o lista de contactos.
  3. Autorización informada
    Debe ser previa, libre y explícita.
  4. Finalidades necesarias vs accesorias
    Publicidad no puede ser obligatoria.
  5. Datos biométricos
    Uso limitado, autorización explícita y borrado al terminar relación contractual.
  6. Derechos de los titulares
    Mecanismos ágiles para acceso, rectificación y supresión.
  7. Transparencia
    Informar de manera clara y accesible sobre el uso de datos personales.
  8. Decisiones automatizadas
    Explicar de manera clara las decisiones que afecten al titular.
  9. Medidas de seguridad
    Actualizar protocolos tecnológicos, humanos y administrativos.
  10. Cobranza
    Prohibido usar referencias o contactos sin autorización.
  11. Roles definidos
    Responsables o encargados deben estar documentados.
  12. Transferencias internacionales
    Solo a países con nivel adecuado de protección o con excepciones establecidas en la Ley.
  13. Cláusulas contractuales modelo
    Recomendadas para responsabilidad demostrada.

Contenido por: COLCOB – ASOACIÓN COLOMBIANA DE LA COBRANZA