Contenido
La revolución del crédito digital ha transformado la experiencia del consumidor, prometiendo préstamos instantáneos desde el celular sin el papeleo tradicional. Las Fintech, reguladas por la Superintendencia de Industria y Comercio, han democratizado el acceso al financiamiento, ampliando las oportunidades para personas que antes tenían dificultades para acceder al crédito tradicional. Sin embargo, detrás de esa aparente simplicidad se esconde un ecosistema donde la comodidad del trámite convive con la incertidumbre que rodea el tratamiento de datos personales sensibles, es por ello que, la Superintendencia de Industria y Comercio (SIC) ha prestado especial atención al tratamiento de datos sensibles, como los biométricos, en la nueva economía digital, desarrollada contractual y prácticamente a través de plataformas digitales.
En este contexto, es fundamental analizar la relevancia de esta supervisión especializada del derecho de hábeas data y las normas sobre el tratamiento de datos personales sensibles, en particular los datos biométricos, en el sector del crédito digital en Colombia. Por lo tanto, se plantean las siguientes preguntas para abordar este análisis:
¿Qué es el derecho fundamental de habeas data y cómo ejercerlo frente a una Fintech de crédito digital?
El habeas data funciona como un verdadero escudo digital en el ámbito del crédito en línea. De acuerdo con la Corte Constitucional, en sentencias T-077 de 2018 y SU-082 de 1995, este derecho fundamental autónomo otorga a los titulares tres facultades esenciales: conocer la información que las empresas custodian, actualizar los datos cuando sea necesario y rectificar cualquier información inexacta o falsa. A su vez, la sentencia T-729 de 2002 precisó que los titulares también pueden exigir la certificación de sus datos y restringir su divulgación o cesión a terceros.
En el caso de las Fintech, el habeas data entra en juego desde el mismo momento en que un usuario crea su cuenta. Estas empresas están obligadas a informar de manera clara sus términos y condiciones y su política de tratamiento de datos, indicando cómo se usará la información personal, qué consultas se realizarán por terceros, en qué eventos se reportará a centrales de riesgo por mora y cuáles son los mecanismos disponibles para que los usuarios soliciten correcciones, actualizaciones, la supresión total de sus datos, la certificación de sus datos y el procedimiento para restringir su divulgación o cesión a terceros.
Teniendo en cuenta lo anterior, ¿Cuál es el tratamiento especial de los datos biométricos que deben tener las Fintech de crédito digital?
Como punto de partida, el legislador ha indicado que, los datos biométricos son características de reconocimiento únicas e irrepetibles de cada individuo, como huellas dactilares, patrones faciales, patrones de iris, entre otros, los cuales son permanentes e intransferibles de persona a persona. Por ello, la Superintendencia de Industria y Comercio, ha clasificado estos datos como información sensible, estableciendo un régimen de tratamiento especial mediante la Circular Externa N.° 01 de 2025. Esta norma reconoce que el tratamiento de datos biométricos es fundamental para los servicios de financiamiento, las operaciones de crédito y los depósitos de bajo valor que facilitan la inclusión financiera digital.
Debido a su naturaleza sensible, estos datos requieren una debida diligencia reforzada en su tratamiento, autorización explícita del interesado para fines específicos (prevención de fraude, autenticación, validación de transacciones de alto riesgo, entre otros), medidas de seguridad adicionales para su custodia y conservación, la prohibición de compartirlos con terceros o alimentar bases de datos centralizadas, y la eliminación obligatoria al finalizar la relación contractual. Esta normativa especial contrasta con el tratamiento general de datos personales, que, si bien también está protegido, no requiere el mismo nivel de restricciones y garantías que la información biométrica.
Ahora bien, ¿un consumidor podría abstenerse de entregar su información biométrica?
Sí. Los solicitantes de crédito digital podrán negarse al tratamiento de sus datos biométricos, de acuerdo con el artículo 6 de la Ley 1581 de 2012 y el artículo 2.2.2.25.2.3 del Decreto 1074 de 2015, que establecen que ninguna actividad comercial podrá condicionarse a que el Titular suministre datos biométricos (Resolución SIC 16582 de 2005).
No obstante, dado que en el contexto del crédito digital los datos biométricos resultan relevantes para la prestación del servicio mismo, por ejemplo para evitar casos de fraude o suplantación, la fintech puede abstenerse inicialmente de otorgar el crédito de forma automática a través de su plataforma, en pro de proteger al consumidor. En este momento, debe informar al usuario sobre la necesidad del tratamiento de estos datos, sus finalidades y las alternativas disponibles para otorgar el crédito por otros medios distintos a su plataforma en línea o app que permitan verificar su identidad, cumpliendo así con el principio de transparencia.