Implementación del Marco Regulatorio para finanzas abiertas en Colombia

Preparado por Laura Rincón

El 7 de febrero de 2024 la Superintendencia Financiera de Colombia (“SFC”) expidió la Circular Externa 004 de 2024 (la “Circular”), mediante la cual se incluyen los Capítulos IX y X del Título 1 de la Parte 1 de la Circular Básica Jurídica de dicha entidad. Dichos capítulos definen (i) algunas reglas particulares aplicables al desarrollo de las finanzas abiertas (“Open Finance”) en el país y (ii) ciertos lineamientos relacionados con el desarrollo de la actividad de comercialización de tecnología e infraestructura para la prestación de sus servicios financieros (la “Comercialización”), por parte de las entidades financieras vigiladas por la SFC (las “Entidades Vigiladas”). Esta normativa busca promover la competencia e innovación en el sector financiero, a través del uso y acceso a los datos de los consumidores financieros, mediando su autorización.

En otras palabras, las Entidades Vigiladas podrán compartir más fácilmente y dentro del marco regulatorio aplicable al Open Finance la información financiera de sus clientes con otras Entidades Vigiladas o con terceros. Por ejemplo, estos tendrán la posibilidad de ingresar a las bases de datos de clientes de otros bancos y, al conocer el estado de sus productos financieros, los bancos podrían ofrecerles productos sin necesidad de que los clientes tengan productos ya contratados con el respectivo banco, como sucede actualmente. Lo anterior, en aras de profundizar la inclusión financiera.

¿Qué es el modelo de Open Finance y cómo se ha venido desarrollando en Colombia?

De conformidad con el Decreto 1297 de 2022 (el “Decreto”), el Open Finance se entiende como la práctica mediante la cual las Entidades Vigiladas habilitan sus sistemas para que la información de los consumidores financieros pueda ser compartida de forma fácil y estandarizada con otras Entidades Vigiladas o con terceros (los “Terceros Receptores”) con el objetivo de proveer servicios financieros a dichos clientes, siempre que medie la autorización del consumidor financiero.

El proceso de implementación del Open Finance en Colombia inició en el año 2022, con la expedición del Decreto y con la realización de las primeras mesas de trabajo entre Entidades Vigiladas, empresas del sector real, gremios, autoridades y la SFC, para el establecimiento de parámetros y estándares del modelo de Open Finance en Colombia.

¿Qué contempla la Circular?

La Circular establece las siguientes reglas para las Entidades Vigiladas que participen en el modelo de Open Finance:

Requisitos para la vinculación de Terceros Receptores de datos: Las Entidades Vigiladas deben verificar que los Terceros Receptores de datos cumplan con ciertos requisitos mínimos para estos propósitos, como sería el caso, por ejemplo, de la implementación de políticas y procedimientos para la seguridad de la información, ciberseguridad y la protección en el tratamiento de datos personales.

Estándares tecnológicos y de seguridad: Las Entidades Vigiladas deben implementar protocolos estrictos de intercambio automático de información y cumplir con estándares de arquitectura, seguridad y ciberseguridad para la protección de los datos personales de los consumidores financieros.

Obligaciones respecto del tratamiento de los datos personales: Las Entidades Vigiladas deben cumplir con las obligaciones relacionadas con el tratamiento de los datos personales de los consumidores financieros, contempladas en las Leyes 1266 de 2008 y 1581 de 2012, en el marco de las finanzas abiertas, incluyendo:

La obtención de una autorización previa, expresa e informada del consumidor financiero para el tratamiento de sus datos personales, y

La autenticación precisa de la identidad del consumidor financiero antes de realizar cualquier acción que busque otorgar, modificar y/o revocar su autorización de tratamiento de datos personales en el marco de las finanzas abiertas.

Obligación de revelación de información: Las Entidades Vigiladas deben publicar en su página web información actualizada sobre las condiciones de implementación de las finanzas abiertas, el procedimiento para que los consumidores financieros consulten, actualicen y revoquen la autorización para el tratamiento de sus datos personales, y la información de contacto de los Terceros Receptores de datos.

Reglas para la Comercialización: Las Entidades Vigiladas deben comercializar únicamente la tecnología e infraestructura que utilicen o hayan utilizado para ofrecer o prestar sus propios servicios. Adicionalmente, deben contar con procedimientos y políticas estrictas relacionadas con la comercialización y la gestión de riesgos, implementando las siguientes acciones:

Evaluar el riesgo de Comercialización antes de desarrollar dicha actividad.
1. Establecer salvaguardas, como seguros o garantías, para cubrir el riesgo de incumplimiento de los contratos suscritos en el marco de la Comercialización.
1. Administrar el riesgo reputacional, asociado al uso del nombre o imagen de la Entidad Vigilada por parte de quienes participen de la Comercialización, y el riesgo sistémico, asociado a la falla de la tecnología comercializada.
1. Implementar controles de calidad.
1. Dejar constancia de la verificación de los requisitos listados anteriormente (a-d).
1. Utilizar sus recursos propios para responder por el incumplimiento de las obligaciones relacionadas con la Comercialización.

¿Qué plazo tienen las Entidades Vigiladas para adoptar los lineamientos de la Circular?

Las Entidades Vigiladas que participen en modelos de finanzas abiertas deberán atender los siguientes plazos para dar cumplimiento a las instrucciones contenidas en la presente Circular:

Hasta agosto de 2025, para cumplir con los estándares de arquitectura, seguridad y tecnología establecidos en el numeral 3.2 del Capítulo IX del Título I de la Parte l de la Circular Básica Jurídica.
Hasta agosto de 2024, para cumplir con el resto de instrucciones y estándares del Capítulo IX del Título I de la Parte I de la Circular Básica Jurídica (tales como el cumplimiento de los requisitos para la vinculación de Terceros Receptores y de las obligaciones con respecto a la protección de datos personales).
Hasta febrero de 2025 para cumplir con las instrucciones relativas a la Comercialización y el cumplimiento de las instrucciones contenidas en el Capítulo X del Título I de la Parte I de la Circular Básica Jurídica.

No dude en contactar a Laura Rincón lrincon@brickabogados.com o al Ximena Chaves xchaves@brickabogados.com si tienen alguna inquietud o si desean ampliación sobre el tema anteriormente expuesto.

El presente documento ha sido preparado por Brick Abogados especialmente para sus clientes, únicamente con fines informativos, por lo cual no se considera como asistencia o recomendación legal.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.