Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Colombia aprueba un nuevo marco obligatorio del sistema de finanzas abiertas que redefine el uso de datos financieros

Colombia - 

Colombia da un paso decisivo hacia las finanzas abiertas obligatorias, redefiniendo el uso y la circulación de datos financieros a través de un nuevo decreto. El nuevo marco impulsa la innovación, la competencia y la inclusión, con fuertes exigencias tecnológicas, de consentimiento y protección de datos para las entidades financieras.

El Ministerio de Hacienda y Crédito Público ha expedido el Decreto 0368 de 2026, mediante el cual se modifica el Decreto 2555 de 2010 para establecer el sistema de finanzas abiertas de carácter obligatorio en Colombia. Esta normativa sustituye el esquema voluntario previsto en el Decreto 1297 de 2022 y representa un avance significativo en la construcción de un ecosistema de datos abiertos.

El sistema de finanzas abiertas se define como el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan para permitir el acceso y suministro de datos personales de los clientes de entidades vigiladas por la Superintendencia Financiera de Colombia (SFC), siempre en respeto del consentimiento del titular. Destacan, dentro de los objetivos del decreto, el de impulsar la innovación financiera, la competencia y entrada de nuevos actores al mercado, y la inclusión financiera y crediticia.

Entidades sujetas al régimen obligatorio y alcances del sistema

El régimen obligatorio aplica a las siguientes entidades vigiladas por la SFC: establecimientos bancarios, corporaciones financieras, compañías de financiamiento, cooperativas financieras, sociedades especializadas en depósitos y pagos electrónicos, sociedades fiduciarias, sociedades comisionistas de bolsa, sociedades administradoras de fondos de pensiones y cesantías, sociedades administradoras de inversión, entidades autorizadas para financiación colaborativa y compañías aseguradoras.

Estas entidades deberán actuar como proveedores de datos, y brindar acceso y suministrar los datos comprendidos en el sistema de finanzas abiertas de manera obligatoria a los terceros receptores de información.

Como se anticipaba desde el proyecto de reglamentación, el sistema comprende la circulación de datos personales e información en las siguientes categorías:

  • Información sobre los productos y servicios a nombre del titular (incluyendo historial transaccional, uso y condiciones particulares de productos de depósito, crédito, aseguramiento e inversión).
  • Información asociada al proceso de vinculación del titular como cliente.
  • Información sobre las características generales de los productos y servicios ofrecidos por los participantes.

La información sobre productos a nombre del titular deberá incluir, como mínimo, el historial transaccional de los últimos doce meses contados desde el momento de la solicitud de acceso.

Principales desafíos

Del contenido de la norma se desprenden deberes aplicables a los miembros del sistema en materias como las siguientes:

  • Infraestructura tecnológica y protocolos de intercambio. Las entidades participantes deberán implementar protocolos de intercambio automático de información que permitan atender solicitudes de acceso y suministro de datos de forma expedita, segura y estandarizada. Estos protocolos deben funcionar a partir de interfaces de programación de aplicaciones (API) y ser interoperables. Adicionalmente, deben cumplir con los estándares de arquitectura, seguridad y tecnología definidos por la SFC.
  • Autorización y confirmación del consentimiento. El sistema establece un mecanismo de doble verificación del consentimiento del titular, mediante el cual los terceros receptores de datos deberán obtener autorización previa, expresa e informada del titular, que incluya identificación del receptor, datos objeto de tratamiento, finalidad específica y tiempo de vigencia, y los proveedores de datos deberán confirmar con el titular, de forma previa a la circulación de información, que el tercero receptor cuenta con su autorización. Asimismo, cobra especial relevancia la autenticación, dado que los participantes deberán implementar mecanismos fuertes de autenticación conforme a las instrucciones de la SFC.
  • Inscripción en el directorio de participantes. Las entidades vigiladas deberán inscribirse en el directorio de participantes administrado por la SFC, previa verificación del cumplimiento de los requisitos técnicos, tecnológicos, funcionales y operacionales establecidos. El directorio contará con módulos de proveedores de datos, receptores de datos y vinculaciones voluntarias.
  • Responsabilidad demostrada y protección de datos. Las entidades deberán adoptar medidas de responsabilidad demostrada (accountability) para garantizar el debido tratamiento de datos, las cuales deberán ser apropiadas, efectivas, útiles, eficientes, demostrables y proporcionales. La SFC y la Superintendencia de Industria y Comercio ejercerán funciones de inspección, vigilancia y control según sus competencias.

Plazos establecidos

LatAm, Colombia, Derecho Administrativo

Profesionales de contacto

Adolfo Enrique Gómez Trujillo - Garrigues

Adolfo Enrique Gómez

Contactar

Miguel Cortés Mosquera- Garrigues

Miguel Cortés

Contactar

Consultar más profesionales

Servicios relacionados

Oficinas relacionadas

Buscar publicación

Date of publication

Buscador de noticias