En días pasados, la Superintendencia de Industria y Comercio, publicó para comentarios el Proyecto de Circular Externa con las Instrucciones sobre el tratamiento de datos personales en la prestación de servicios financieros mediante el uso de tecnologías digitales (fintech).
De esta manera, el tratamiento de datos personales en el contexto de la prestación de servicios financieros y la oferta de productos financieros mediante el uso de tecnologías digitales sólo puede adelantarse para satisfacer finalidades constitucionalmente legítimas. Únicamente se puede realizar tratamiento de datos personales durante el tiempo que resulte razonable y necesario, de acuerdo con las finalidades que lo justificaron.
Así, el tratamiento de datos personales debe limitarse a aquellos datos que sean idóneos y necesarios para cumplir las finalidades constitucionalmente legítimas para las cuales se recolectan. Los responsables del tratamiento deben aplicar criterios para minimizar el tratamiento de datos personales, conforme al principio de necesidad. Por ejemplo, las aplicaciones por medio de las cuales se accede al servicio o producto no podrán acceder a la galería de imágenes del dispositivo o a la lista de contactos del dispositivo con fines de cobranza.
Igualmente, el tratamiento de datos personales debe incluir procedimientos que aseguren, de manera previa a la recolección de los datos, la obtención de la autorización libre, previa, expresa e informada del titular para dicho tratamiento. Asimismo, se debe informar al titular sobre cuáles son los datos personales que serán recolectados y las finalidades específicas que justifican su tratamiento. Por tanto, en las aplicaciones disponibles para descarga, es el titular quien debe decidir si otorga acceso a la información personal a través de su dispositivo, como, por ejemplo, el acceso a su ubicación o a la cámara. En dicho sentido, deberá informarse de manera clara la finalidad de cada acceso, a fin de que el titular pueda tomar una decisión informada sobre el uso de sus datos.
Por último, los sujetos obligados deben adoptar medidas de seguridad razonables para la protección de los datos personales sometidos a tratamiento. Por tanto, deben adoptar medidas tecnológicas, humanas, administrativas, físicas, contractuales y de cualquier otra índole para evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información.
De este modo y debido a las implicaciones que la iniciativa pueda tener para el gremio, lo invitamos a enviar sus comentarios a más tardar el día 24 de julio de 2025.