José Miguel De la Calle
Socio de Garrigues

La Superintendencia de Industria y Comercio (SIC) acaba de expedir un proyecto de circular (después de recibir comentarios del público) que dicta instrucciones para todas las empresas que usan tecnologías digitales para la prestación de servicios financieros (fintech).

En aras del principio de minimización del tratamiento de datos, la norma ordena a todos sus destinatarios limitar la recolección de información personal únicamente a lo estrictamente necesario para la prestación del servicio respectivo (banca móvil, préstamos digitales, pagos digitales, finanzas personales, seguros digitales, billeteras, criptos, otros), asegurando que, por ejemplo, no se acceda a la galería de fotos o videos, la información o la ubicación del cliente.

En materia de autorización, se distingue entre tratamientos necesarios o indispensables para la prestación del servicio y tratamientos accesorios, y se establece que el acceso a información no indispensable para el servicio contratado debe soportarse en una autorización separada e independiente y que al titular se le debe garantizar la libertad de permitir o negar dicho acceso. Entre los tratamientos no indispensables se mencionan la consulta a centrales de riesgos y el mercadeo. Quedará prohibido que la empresa condicione la prestación de servicios a la autorización del tratamiento de dichos datos accesorios. Las empresas que adelanten gestiones de cobranza deben abstenerse de contactar a las referencias personales suministradas por los titulares y no podrán acceder a sus listas de contactos, salvo autorización expresa y separada.

Se reconoce que el acceso a los datos biométricos resulta particularmente crítico en el ámbito de la industria fintech, razón por la cual no se prohíbe de plano su uso, pero se restringe el mismo, bajo un estándar de diligencia reforzada, que obliga a las empresas fintech, entre otras cosas, a informar expresamente a sus clientes que dichos datos son sensibles y que se garanticen el derecho a autorizar o no autorizar su acceso. Se sugiere, incluso, la realización de inversiones económicas para elevar el nivel de seguridad y protección de los derechos de terceros, en armonía con el principio de responsabilidad demostrada.

Se establece con claridad el derecho de los titulares a conocer las razones objetivas de cualquier decisión adversa que se hubiere basado exclusivamente en el procesamiento automatizado de la información.

Por su parte, se refuerza la directriz para elevar los estándares humanos, administrativos y físicos de seguridad de la información, poniendo especial énfasis en que dichas medidas de seguridad sean verificables.

Todos los actores del sistema fintech deberán hacer los ajustes operativos necesarios para garantizar que los titulares puedan ejercer fácil y oportunamente su derecho al habeas data, esto es, su derecho a conocer, actualizar, rectificar o, incluso, suprimir su información.

Se incentiva de manera muy fuerte a las empresas fintech y demás empresas que trabajan a través de tecnología digital para que usen el legal design en el desarrollo de sus aplicativos, de manera que los consumidores puedan comprender a cabalidad el alcance de los servicios y el impacto que tiene para ellos permitir el acceso a información personal y reservada. La información debe ser fácilmente visible y los procesos de onboarding y demás procesos tecnológicos deben ser intuitivos.

Por último, el proyecto normativo enfatiza en que las transferencias internacionales de información personal solo se den hacia Estados que tengan un nivel de protección igual o superior al que tiene nuestro propio país, y promueve el uso de cláusulas contractuales tipo para este tipo de tratamientos.

En suma, el proyecto constituye un avance hacia la modernización de la regulación, en armonía con las tendencias internacionales, lo que está en sincronía con el auge reciente de las empresas fintech. No obstante, queda en el aire la pregunta del porqué enfocarse en dichos sistema o industria, cuando varias de las medidas propuestas bien podrían aplicarse a toda la actividad empresarial en general.   

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.