Heidy Balanta
Abogada y consultora en protección de datos personales

Hay mucho que decir sobre el Decreto 368 de 2026, sobre el sistema de finanzas abiertas, en adelante, el sistema. Quiero detenerme en la autorización para el tratamiento de datos personales. La autorización deja de ser un texto que acompaña al sistema y pasa a ser parte del sistema mismo. Esa diferencia, que parece sutil, lo cambia todo, es privacidad por diseño en sentido estricto. (Lea Gobierno reglamenta sistema obligatorio de finanzas abiertas)

Tradicionalmente, los negocios diseñan un texto legal que cumpla con lo que dice la ley y dejan evidencia tanto de la autorización como de la verificación de identidad del titular. Lo que introduce el decreto para el sistema son varias capas nuevas, en las cuales el titular conserva el control sobre el dato a lo largo del tiempo. En un esquema en el que el texto lo podía todo, ahora ese texto deberá conversar con la arquitectura que dirá qué se faculta y qué no. Para que ese control sea real, el nivel de granularidad del sistema deberá ser alto. A partir de allí, el sistema deberá tener en cuenta:

Las personas naturales y jurídicas son titulares de los datos personales. En el marco de la Ley 1581 de 2012, el titular del tratamiento es solo la persona natural. Sin embargo, en el marco de la Ley 1266 de 2008, el titular es tanto la persona natural como jurídica. En dicho sentido, el decreto acoge la definición de titular de esta última. Distinguir cuál es cuál, y a quién corresponde la autorización en cada caso, no es solo un reto jurídico, también es un reto de diseño.

Cumplimiento simultáneo de dos regímenes de autorización. El decreto establece que se debe satisfacer, a la vez, los requisitos de la Ley 1581 de 2012 y los de la Ley 1266 de 2008. Esto, desde privacy by design, exige un diseño compatible por defecto, debido a que el flujo de consentimiento debe absorber la complejidad regulatoria, no trasladarla al usuario.

Granularidad de la autorización. Este es uno de los aspectos claves y transversales que diferencian con una exigencia mayor a la normativa actual. Si bien retoma elementos ya exigidos, incorpora aspectos nuevos y robustos, como: 

- Los datos personales cuyo tratamiento autoriza el titular. Acá será importante definir la taxonomía: ¿se autoriza dato por dato?, ¿por categoría legal?, ¿por algún criterio funcional? La elección no es menor, debido a que condiciona tanto la usabilidad del sistema como la viabilidad técnica de su trazabilidad.

- El tratamiento al cual serán sometidos los datos por parte del tercero receptor. La Ley 1581 de 2012 enuncia como tratamientos la recolección, el almacenamiento, el uso, la circulación y la supresión, pero en finanzas abiertas las operaciones pueden ser más amplias y específicas (analítica, scoring, perfilamiento, decisiones automatizadas). 

- La finalidad específica para la cual el titular autoriza el tratamiento, así como el tiempo de finalidad. Una única finalidad o varias agrupadas, como se maneja actualmente, no es una opción, y estas deberán estar especificadas para su aceptación.

Duración de la finalidad. La finalidad tiene una vigencia y, en consecuencia, el tratamiento autorizado tiene un horizonte temporal. Acá vuelve a aparecer el reto de la granularidad, porque el decreto exige finalidad específica y prohíbe expresamente las autorizaciones generales o abiertas que impidan al titular conocer la finalidad, el término y el tratamiento específico. La consecuencia técnica será que el sistema debe tener relojes asociados a cada autorización y comportarse en consecuencia (caducar el acceso, notificar al titular, cerrar circuitos de uso).

Confirmación previa. Antes que el proveedor de datos le suministre la información a un tercero receptor, el primero tiene la obligación de contactar al titular para confirmar que ese tercero está pidiendo acceso a los datos. En dicho momento, el proveedor de datos debe mostrar al titular el contenido mínimo de la autorización y el titular tiene la facultad final de autorizar o denegar el suministro. Esto es independiente de que el titular previamente haya suministrado la autorización en la aplicación del tercero a través de sus canales.

No condicionamiento de la prestación de un producto al brindar la autorización. Para nadie es un misterio que la autorización hoy en día está en muchos escenarios condicionada a la prestación de un producto o un servicio. No porque las empresas quieran hacerlo, sino por las pocas opciones alternas que da la legislación para la legitimación del tratamiento de datos personales. 

Autenticación fuerte para cualquier acción que busque otorgar, modificar o revocar la autorización del titular. En este caso, será interesante las intersecciones sobre este punto, como operarán cuando se trate de biometría. Considerando la aplicación de ambas normas, y aunque desde la Superfinanciera tiene requisitos respecto a este requisito, no se debe perder de vista que el dato biométrico ha tenido en los últimos años una interpretación bastante restrictiva desde la SIC, lo que genera tensiones interpretativas relevantes que el diseño del sistema deberá resolver. 

Revocatoria de la autorización y otros derechos. La revocatoria es un derecho del titular y, en consecuencia, el sistema deberá garantizar trazabilidad sobre cada autorización otorgada y revocada. Esto implica que cada uso del dato esté asociado a una autorización concreta, demostrable y reversible. Esto es visibilidad y transparencia, y supongo que será una de las formas de hacer verificable y auditable el decreto.

Algunos aspectos adicionales para considerar

El derecho de oposición no está expresamente reconocido como derecho en el régimen de protección de datos personales, no significa que no se pueda ejercitar por los usuarios. Tiende a confundirse con la revocatoria. La revocatoria opera respecto de la autorización completa, mientras que el derecho de oposición opera respecto de finalidades concretas; el titular puede oponerse al tratamiento para algunas finalidades sin revocar la autorización en su conjunto.

El decreto trae implícito este derecho. El artículo 2.35.8.3.3 establece que el titular tiene la facultad de autorizar o denegar el suministro de sus datos personales por parte del proveedor de datos antes de que estos circulen hacia un tercero. Y el artículo 2.35.8.3.5, numeral 3º, consagra la garantía de "abstenerse de autorizar el tratamiento de sus datos personales". 

Tensiones para tener presentes

El objetivo declarado del sistema  incluye la inclusión financiera y crediticia de la economía popular y las pyme; un diseño excesivamente granular, sin un buen trabajo de experiencia de usuario (UX), puede generar abandono del flujo y excluir precisamente a quienes se busca incluir, y  aquí entra la fatiga informativa, la literatura sobre la materia muestra que los usuarios desactivan su capacidad de decisión informada cuando se les expone a flujos largos y repetitivos de consentimiento. Desde el privacy by design, la privacidad y usabilidad deben diseñarse juntas, no en secuencia. Un consentimiento granular que el usuario no entiende, no es consentimiento.

Por último, la efectividad de todo el esquema descansa en la capacidad técnica de demostrar quién accedió a qué dato, en qué momento y con qué autorización. El Decreto 368 de 2026 no cambia la autorización en su naturaleza jurídica; cambia lo que hace falta para que esa autorización sea efectiva. Y eso se traduce en una exigencia en cuanto que la autorización ya no se redacta, se diseña. 

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.