En el contexto de la transformación digital del sistema financiero, Colombia continúa avanzando en la definición de marcos normativos orientados a fortalecer la innovación, la competencia y el acceso a la información. En esta línea, compartimos a continuación un análisis general sobre recientes disposiciones relacionadas con el sistema de finanzas abiertas y su alcance para los distintos actores del sector.
En este contexto, resulta relevante revisar el Decreto 368 del 7 de abril de 2026, mediante el cual se modifica el Título 8 del Libro 35 de la Parte 2 del Decreto 2555 de 2010 en lo relacionado con el sistema de finanzas abiertas como un esquema obligatorio y un primer paso en la construcción de un esquema de datos abiertos. Con ello se busca promover: (i) la inclusión financiera y crediticia en el país, al facilitar nuevas fuentes de información para la población que no ha tenido acceso a productos y servicios financieros; (ii) la entrada de nuevos competidores en el sistema financiero; y (iii) el desarrollo de nuevos modelos de negocio que respondan a las necesidades particulares de los consumidores financieros.
Vale la pena tener presente que, aunque resulta obligatorio para las entidades vigiladas por la Superintendencia Financiera de Colombia, como proveedores de datos no así para el “Titular”, esto es, la persona natural o jurídica cuyos datos personales son objeto de tratamiento en este sistema que se estructura sobre el “respeto irrestricto de la libertad del consumidor financiero para autorizar el acceso y suministro de sus datos personales de forma previa, expresa e informada”, todo ello bajo un riguroso cumplimiento de las normas sobre protección de datos personales y habeas data contenidas en la Ley 2666 de 2008 y 1581 de 2012 y demás normas que las modifiquen, sustituyan o adicionen.
Sobre este Decreto destacamos los siguientes aspectos:
1.Definición: Estas disposiciones tienen por objeto establecer el alcance, los principios, objetivos y reglas que rigen el sistema de finanzas abiertas, entendido como el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan entre sí para permitir el acceso y suministro homogéneo de los datos personales de los consumidores financieros de las entidades vigiladas por la SFC, previa autorización del Titular.
2. Objetivos del sistema de finanzas abiertas: (i) promover la inclusión financiera y crediticia de la población a través del acceso de uso de productos y servicios; (ii) promover la competencia y la innovación en el sistema financiero a través del desarrollo de modelos de negocio innovadores, (iii) promover el bienestar financiero de la población; (iv) promover la interoperabilidad de sistema; (v) respetar y garantizar los derechos de los titulares; y (vi) velar por la seguridad, transparencia y confianza en el sistema financiero.
(***Objetivos que delimitan cuáles deben ser las finalidades del tratamiento de los datos personales del Titular)
3. Principios: (i) Acceso a datos personales, como una facultad del Titular que autoriza el tratamiento de sus datos personales en el sistema y al uso de su información según las finalidades antes citadas; (ii) Transparencia, dado que el sistema debe permitir identificar a participantes, datos personales e información objeto de circulación; los mecanismos para ello y su calidad así como las autorizaciones otorgadas y los medios para el ejercicio de los derechos de los titulares; (iii) Seguridad y circulación restringida de los datos personales, para evitar su consulta o uso no autorizado; (iv) Calidad de la información, por cuanto los datos personales y la información que circule en el sistema debe ser precisa, completa, actualizada y pertinente; (iv) Trato no discriminatorio, ya que el acceso y suministro de los datos personales deberá realizarse en igual de condiciones para todos los participantes. (v) Interoperabilidad, por cuanto los protocolos de intercambio de información implementados por los participantes del sistema se regirán por estándares comunes para una interacción eficiente, segura y transparente.
4. Alcance: El sistema de finanzas abiertas comprende el intercambio y circulación de datos personales e información correspondiente a las siguientes categorías: (i) productos y servicios a nombre del Titular, que entre otros aspectos incluirá, el saldo, el historial transaccional, el uso y las condiciones particulares de los productos y servicios vigentes. Tratándose de depósitos a la vista, la información debe incluir como mínimo el historial transaccional de los últimos 12 meses o el del tiempo de vinculación del Titular al Proveedor de datos, si dicho lapso es menor (ii) información asociada al proceso de vinculación del Titular como cliente conforme a disposiciones expedidas por la SFC; e (iii) información sobre las características generales de los productos y servicios ofrecidos por los participantes, que facilitará su comprensión y comparación por el consumidor financiero.
Dichos productos y servicios, entre otros comprende, los productos de depósito, aseguramiento, crédito e inversión. Para el acceso a las dos primeras categorías se requiere autorización previa, expresa e informada del Titular, no así para la información relacionada con las características generales de los productos y servicios que no requiere de dicha autorización.
Los datos específicos de cada una de estas categorías podrán ser definidos y estandarizados por parte de la SFC, a partir de casos de uso que deberán ser pertinentes para el cumplimiento de los objetivos del sistema señalados en el numeral 2 anterior. No es objeto del sistema de finanzas abiertas, y por tanto, no resulta obligatorio compartir información generada del análisis, procesamiento o transformación de los datos personales y de la información que forma parte de las categorías antes mencionadas.
5. Participantes: Integrarán el sistema de finanzas abiertas las entidades vigiladas por la SFC que sean Proveedores de datos y Terceros Receptores de datos vigilados inscritos en el directorio de participantes administrado por la SFC, así como las personas jurídicas que se vinculen, de manera voluntaria, como Terceros receptores de datos no vigilados, mediante acuerdos celebrados con las entidades vigiladas.
Como participantes obligatorios se tienen a los establecimientos de crédito, las sociedades especializadas en depósitos y pagos electrónicos, las sociedades fiduciarias, las sociedades comisionistas de bolsa de valores, las sociedades comisionistas de bienes y productos agropecuarios, agroindustriales o de commodities, las sociedades administradoras de fondos de pensiones y cesantías, las sociedades administradoras de inversión, las entidades administradoras del componente complementario de ahorro individual del pilar contributivo, las entidades autorizadas para desarrollar la actividad de financiación colaborativa, las entidades aseguradoras, las entidades con regímenes especiales que desarrollan actividades propias de los establecimientos de crédito y las instituciones oficiales especiales así definidas en su acto de creación.
En tal cantidad dichas entidades obligatoriamente deberán brindar acceso y compartir los datos personales comprendidos en el sistema a los Terceros Receptores de datos vigilados, esto es, las demás entidades vigiladas por la SFC, siempre que estas últimas cuenten con la autorización del Titular de los datos, siendo responsables de un debido tratamiento de los mismos (acorde con las finalidades señaladas). Por ello deberán adoptar medidas de responsabilidad demostrada toda vez que las mismas deben ser apropiadas, efectivas, útiles, eficientes y demostrables para garantizar la seguridad, confidencialidad, veracidad, calidad, uso y circulación restringida de la información.
De otro lado, no será obligatorio suministrar dicha información y datos a Terceros Receptores de datos no vigilados por la SFC (personas jurídicas no vigiladas que accede a datos personales e información que hacen parte del sistema de finanzas abiertas) en las condiciones previstas en el decreto que remite al cumplimiento de las instrucciones contenidas en el Título 8 del Libro 35 del Decreto 2555 de 2010 (adjunto) y de la Parte I Título I Capítulo IX de la CBJ (incorporada a la CBJ mediante la Circular Externa 004 de 2024 de la SFC).
6. Tratamiento de la información y autorización del titular: El acceso y uso de los datos personales deberá contar con la autorización previa, expresa e informada del Titular, en cumplimiento de las normas de protección de datos personales. Las entidades deberán adoptar medidas de responsabilidad demostrada que garanticen la seguridad, confidencialidad, calidad y circulación restringida de la información, sin perjuicio de la obligación de mantener la reserva bancaria respecto de la información no autorizada para ser compartida a terceros por su Titular.
La autorización deberá ser clara y específica, y contener como mínimo: (i) la identificación del Tercero Receptor de datos (razón social y domicilio al menos); (ii) los datos personales objeto de tratamiento, (iii) el tratamiento o manejo que se dará a los datos personales; (iv) la finalidad específica para la cual se autoriza el tratamiento y (v) el tiempo de vigencia de la finalidad. No podrán solicitarse autorizaciones generales o abiertas, ni condicionarse la prestación de productos o servicios a la autorización del Titular.
Los Proveedores de Datos deberán confirmar con el Titular, de forma previa al suministro de la información, que el Tercero Receptor de datos cuenta con la autorización para acceder y dar un uso a los mismos, acordes con las finalidades del sistema, para poder evidenciar el contenido mínimo de la autorización y la posibilidad del Titular de autorizar o denegar el suministro de sus datos por el Proveedor de los mismos. Los Proveedores y los Terceros Receptores de datos deberán garantizar al Titular el ejercicio de los siguientes derechos: (i) conocer la autorización otorgada y obtener una copia de la misma; (ii) revocar o actualizar dicha autorización; (iii) abstenerse de autorizar el tratamiento de sus datos personales, y (iv) obtener una explicación clara sobre el uso dado a sus datos.
7. Esquemas voluntarios y terceros receptores no vigilados: En desarrollo de esquemas voluntarios, los Proveedores de datos podrán dar acceso y suministrar información a Terceros receptores no vigilados. A estos no les resultan aplicables algunas de las disposiciones previstas para los Terceros receptores vigilados, como el derecho a acceder a datos personales en poder de Proveedores de datos, salvo que exista un acuerdo en tal sentido. Igualmente, no estarán sujetos a la obligación de compartir información con terceros, ya que el alcance del suministro de la información que posean, se delimitará en el acuerdo celebrado con el respectivo Proveedor de datos.
Tampoco se inscribirán de manera directa en el directorio de participantes, pues ello le corresponde a los Proveedores de datos con los cuales se hayan vinculado voluntariamente, según con lo instruido por la SFC. Para la vinculación de Terceros receptores no vigilados, las entidades vigiladas deberán establecer políticas y procedimientos que serán aprobados por la junta directiva u órgano que haga sus veces; verificar previamente que estos se encuentren inscritos en el Registro Nacional de Bases de Datos o, en su defecto, confirmar que cuentan con políticas y procedimientos adecuados para el tratamiento de datos personales. De igual forma, constatar que cumplan con procedimientos para la atención de consultas y reclamos, así como verificar que cuenten con mecanismos adecuados de gestión de riesgos asociados al tratamiento de los datos personales, particularmente, en materia de seguridad de la información y ciberseguridad.
Así mismo, deberán tener mecanismos para reportar incidentes de seguridad; mantener cifrados los datos personales de los consumidores financieros utilizando algoritmos reconocidos internacionalmente; gestionar vulnerabilidades de las plataformas que hagan uso de los datos suministrados; contar con sistemas de monitoreo de la información, y procedimientos para la revocatoria y supresión de los datos personales de conformidad con las normas aplicables. Entre otros requisitos y estándares contemplados en la Parte I Título I Capítulo IX de la CBJ ya citada y adjunta a este correo para su verificación.
8. Directorio de participantes: Se contempla la creación de un directorio de participantes, administrado por la SFC, como herramienta que permitirá identificar a los actores del sistema en sus distintos roles. Este directorio se estructura en módulos que incluyen Proveedores de datos, Terceros Receptores de datos vigilados y no vigilados según las vinculaciones voluntarias a que se hizo referencia.
La inscripción en el directorio estará sujeta a la verificación del cumplimiento de estándares técnicos, tecnológicos, funcionales y operativos, así como al adecuado funcionamiento de los protocolos de intercambio de información. La SFC tendrá a su cargo establecer las condiciones de funcionamiento, definir lineamientos, tramitar solicitudes de inscripción, modificación o retiro del directorio; mantener actualizada la información, suspender o retirar participantes cuando corresponda y conservar el registro histórico.
Por su parte, los participantes deberán garantizar la veracidad, completitud y calidad de la información suministrada, gestionar sus actualizaciones y reportar incidentes relevantes. Así mismo, deberán designar un contacto formal que actúe como enlace operativo con los demás participantes del sistema, facilitando la interacción, coordinación y gestión de incidentes.
8. Infraestructura, estándares y operación del sistema: Los participantes deberán implementar protocolos de intercambio automático de información a través de interfaces de programación de aplicaciones, API, garantizando condiciones de interoperabilidad, seguridad y estandarización conforme a los lineamientos que defina la SFC. En relación con los estándares, la Superintendencia será la encargada de definir, actualizar y publicar los lineamientos técnicos, tecnológicos, funcionales y operativos necesarios, pudiendo apoyarse en espacios de prueba o Sandbox regulatorios para validar su implementación.
9. Costos de acceso: Los Proveedores de datos podrán cobrar por el uso de su infraestructura únicamente para recuperar los costos directos asociados a su implementación y mantenimiento, bajo criterios objetivos, medibles y verificables que no restrinjan el acceso al sistema. Estos costos deberán corresponder al volumen de uso, aplicarse en condiciones de igualdad para todos los participantes y, en ningún caso, podrán recaer sobre los datos e información objeto de tratamiento.
10. Seguimiento del sistema, cronograma de estandarización e implementación: Para el seguimiento de la implementación y desarrollo del sistema de finanzas abiertas por parte de la SFC, las entidades vigiladas deberán remitir la información que esta requiera para tal efecto. Así mismo, la Superintendencia deberá definir, calcular y publicar, al menos trimestralmente, indicadores que permitan hacer seguimiento a la implementación y evolución del sistema de finanzas abiertas.
11. Cronograma para la Estandarización: La SFC deberá publicar un cronograma para la expedición de los estándares comunes de obligatoria aplicación que regirán el sistema, el cual deberá incluir, como mínimo, los estándares relacionados con (i) el historial transaccional de los depósitos a la vista a nombre del Titular, (ii) el historial transaccional de los productos de crédito a nombre del Titular; (iii) la información asociada al proceso de vinculación del Titular como cliente, (iv) la información asociada a los productos de depósito a término, (v) la información sobre las características generales de los productos y servicios ofrecidos por las entidades vigiladas, y (vi) los estándares necesarios para los servicios de iniciación de pagos.
De igual forma, se prevé que la información asociada al proceso de vinculación del Titular como cliente y aquella relacionada con las características generales de los productos y servicios ofrecidos por las entidades vigiladas podrá estandarizarse de manera gradual, por tipo de licencia, de acuerdo con las necesidades del sistema. Por su parte, los estándares correspondientes a otros datos específicos comprendidos dentro de las distintas categorías de información (por favor ver numeral 4 anterior) serán expedidos conforme al cronograma de trabajo que publique la SFC, atendiendo las necesidades de supervisión, las capacidades institucionales y las necesidades propias del sistema de finanzas abiertas.
12. Plazos para la Superintendencia Financiera de Colombia: La entidad deberá publicar el cronograma de trabajo antes relacionado, en un plazo máximo de seis (6) meses contados a partir de la entrada en vigor del decreto, esto es, a más tardar el 8 de octubre de 2026. Así mismo, la definición de los indicadores de seguimiento del sistema y poner en funcionamiento del directorio de participantes, deberá realizarse en un plazo máximo de doce (12) meses siguientes a la entrada en vigor del decreto, es decir, a más tardar el 8 de abril de 2027.
El Decreto 368 de 2026 introduce elementos que serán relevantes para la evolución del sistema de finanzas abiertas en Colombia y para la implementación de sus lineamientos por parte de los actores involucrados. Al final de este artículo encontrará los documentos PDF adjuntos disponibles para descarga y consulta.
• Decreto No. 0368 DEL 07 de ABRIL de 2026
• Parte_I_Titulo_I_Capitulo_IX
• Titulo 8 del Libro 35 de la Parte 2 Decreto 2555 de 2010
