Protección de datos en la era digital financiera: Guía para el ecosistema Fintech
Protección de datos en la era digital financiera
Lo anterior, en razón al crecimiento y expansión del ecosistema Fintech, que ha identificado la Superintendencia de Industria y Comercio. De allí, surge la necesidad de instruir a los actores que operan en este ecosistema sobre los deberes existentes en materia de datos personales.
A continuación, se presentan las principales directrices emitidas por la Superintendencia de Industria y Comercio, las cuales deben ser acatadas por todos los actores que conforman el sector Fintech.
Instrucciones sobre el tratamiento de datos personales para el ecosistema Fintech
Autorización previa obligatoria por parte del titular:
1. El tratamiento de datos personales debe dirigirse exclusivamente a aquellos datos que sean pertinentes, adecuados y necesarios para cumplir las finalidades para las cuales han sido recolectados. Estas finalidades deben ser constitucionalmente legítimas.
2. El tratamiento de datos personales en Fintech debe obtener autorización previa del titular. Así mismo, se deberá informar al titular sobre los datos recolectados y la finalidad específica de su uso. Por tanto, en las aplicaciones disponibles para descarga, el titular tendrá la libertad de decidir si permite acceso a su información personal, como acceso a la ubicación o cámara, informándose claramente la finalidad de cada acceso para una decisión informada.
Forma de la autorización
3. La autorización para el tratamiento de datos personales la puede expresar el titular de la información por escrito, por un mensaje de datos, de forma oral o mediante conductas inequívocas que permitan determinar de forma razonable que se otorgó la autorización. Para el tratamiento de datos sensibles no procede la autorización mediante conductas inequívocas. De igual manera, los actores del ecosistema Fintech deben contar con la evidencia de la autorización otorgada por el Titular.
Finalidades diferenciadas
4. La autorización para tratar datos personales con fines adicionales al servicio debe otorgarse de manera diferenciada. En estos casos, se sugiere que la autorización use palabras sencillas y expresiones breves que sean comprensibles para los titulares. Son ejemplos de finalidades diferenciadas las siguientes:
• Perfilamiento y mejor conocimiento de los gustos y necesidades.
• Para activar alianzas con comercios aliados.
• Para compartir con entidades vinculadas con fines comerciales y/o publicitarias.
• Para realizar contacto con fines comerciales y/o publicitarios.
Recolección de datos personales sensibles
5. Está prohibido condicionar la realización de actividades financieras o el acceso a servicios y productos financieros a través de medios tecnológicos al suministro de datos personales sensibles, en especial, al suministro de datos biométricos.
6. La recolección y el tratamiento de datos personales sensibles, en especial de datos biométricos, requiere una diligencia reforzada por parte del responsable del tratamiento. Por ello, el responsable del tratamiento deberá informar al titular:
• Que por tratarse de datos sensibles no está obligado a autorizar su tratamiento; y
• Cuáles de los datos que serán objeto de tratamiento son sensibles y cuáles son las finalidades específicas de dicho tratamiento, por cada tipo de dato personal sensible.
Tratamiento automatizado
7. Ningún titular será sometido a decisiones automatizadas sin ser informado previamente, y podrá impugnarlas por los canales habilitados, especialmente si afectan negativamente, como en el rechazo de un crédito o servicio financiero.
Acceso a datos personales y ejercicio de los derechos de los titulares
8. Deben existir mecanismos simples y accesibles para los titulares, así como procedimientos que mantengan registros detallados de accesos por terceros autorizados, incluyendo identidad del solicitante, origen, destinatario, finalidad y fechas.
9. Responsables y encargados deben aplicar estrategias de diseño legal, como la presentación por capas, para facilitar la comprensión del uso de datos personales. Deben habilitar mecanismos visibles e intuitivos para que los titulares gestionen su privacidad y decisiones sobre el acceso de terceros. El tratamiento debe ser transparente, informando claramente sobre los terceros involucrados y su rol. Invertir en estas estrategias puede considerarse parte del cumplimiento del principio de responsabilidad demostrada
Transferencias o transmisiones internacionales de datos
10. Si se realizan transferencias o transmisiones internacionales de datos personales mediante medios tecnológicos en servicios financieros, el responsable en territorio nacional deberá:
• Validar que el encargado o responsable destinatario esté ubicado en un país que cuente con un nivel adecuado de protección de datos personales, de acuerdo con los lineamientos de la SIC.
• En caso de que la transferencia y transmisión se realice a un país que no cuente con un nivel adecuado de protección de datos personales, el responsable del tratamiento deberá validar que la operación se encuentre dentro de las excepciones establecidas en el artículo 26 de la Ley 1581 de 2012.
• Si la transferencia no se encuentra en el escenario anterior, deberá solicitar declaración de conformidad ante la Delegatura para la Protección de Datos Personales.
¿Cómo podemos ayudarlo?
En Forvis Mazars, contamos con un equipo de profesionales expertos en el cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013, la Ley 1266 de 2008 y demás normativas vigentes en materia de protección de datos personales. Si necesitas apoyo en la implementación o cumplimiento de las instrucciones contenidas en este boletín, no dudes en ponerte en contacto con nosotros. Estamos aquí para ayudarte a garantizar la protección de los datos personales de tus clientes y a cumplir con todas las regulaciones aplicables.
