En días pasados, la Superintendencia de Industria y Comercio, publicó para comentarios el Proyecto de Circular Externa con lineamientos sobre el tratamiento de datos personales en el ecosistema fintech y los modelos de negocio, aplicaciones y procesos que utilizan medios tecnológicos para la prestación de servicios financieros.
De esta manera, el tratamiento de datos personales en el ecosistema fintech y los modelos de negocio, aplicaciones y procesos que utilizan medios tecnológicos para la prestación de servicios financieros sólo puede adelantarse para satisfacer finalidades constitucionalmente legítimas. Únicamente se puede realizar tratamiento de datos personales durante el tiempo que resulte razonable y necesario, de acuerdo con las finalidades que lo justifican.
Así, el tratamiento de datos personales en el ecosistema fintech y los modelos de negocio, aplicaciones y procesos que utilizan medios tecnológicos para la prestación de servicios financieros debe limitarse a aquellos datos que sean pertinentes, adecuados y necesarios para cumplir las finalidades constitucionalmente legítimas para la cual hayan sido recolectados. Los actores del ecosistema fintech deben aplicar criterios para minimizar el tratamiento de datos personales. Las aplicaciones por medio de las cuales se accede al servicio o producto no deben solicitar acceso a información innecesaria como la galería de imágenes del dispositivo o la lista de contactos.
Igualmente, el tratamiento de datos personales en el ecosistema fintech debe incluir procedimientos que aseguren, de manera previa a la recolección de los datos, la obtención de la autorización del titular para dicho tratamiento. Asimismo, se debe informar al titular sobre cuáles son los datos personales que serán recolectados y las finalidades específicas que justifican su tratamiento. Por tanto, en las aplicaciones disponibles para descarga, es el titular quien debe decidir si otorga acceso a su información personal, como, por ejemplo, el acceso a la ubicación o a la cámara. En dicho sentido, deberá informarse de manera clara la finalidad de cada acceso, a fin de que el titular pueda tomar una decisión informada sobre el uso de sus datos.
Por último, la autorización para el tratamiento de datos personales la puede expresar el titular de la información por escrito, por un mensaje de datos, de forma oral o mediante conductas inequívocas que permitan determinar de forma razonable que se otorgó la autorización. Para el tratamiento de datos sensibles no procede la autorización mediante conductas inequívocas. Los actores del ecosistema fintech deben contar con evidencia de que el titular de la información efectivamente otorgó su autorización para el tratamiento de sus datos personales. La autorización debe estar disponible para la consulta del titular.
De este modo y debido a las implicaciones que la iniciativa pueda tener para el gremio, lo invitamos a enviar sus comentarios a más tardar el día 13 de mayo de 2025.