Colombia obligará a todos los bancos a compartir datos de clientes con nuevo decreto de finanzas abiertas

El gobierno colombiano emitió un decreto que convierte en obligatorio el Sistema de Finanzas Abiertas (Open Finance) para la totalidad de las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC), desde establecimientos de crédito y fiduciarias hasta administradoras de fondos de pensiones y aseguradoras.

El decreto 0368 del 7 de abril, suscrito por el ministro de Hacienda Germán Ávila Plazas y publicado ese mismo día en el Diario Oficial, modifica el Decreto 2555 de 2010 y sustituye el esquema voluntario que había estado vigente desde el Decreto 1297 de 2022.

Según el considerando del nuevo texto, aquel primer marco “brindó seguridad jurídica sobre la facultad de las entidades vigiladas para tratar los datos personales de sus consumidores” pero resultaba insuficiente para cumplir el mandato del artículo 89 de la Ley 2294 de 2023, que ordenó al Gobierno nacional reglamentar el acceso y suministro de información financiera de manera universal.

El decreto define al sistema de finanzas abiertas como “el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan entre sí para permitir el acceso y suministro estandarizado de datos personales de los clientes de las entidades vigiladas por la Superintendencia Financiera de Colombia, previa autorización de su Titular”.

La obligatoriedad recae sobre una lista amplia de actores: bancos, sociedades especializadas en depósitos y pagos electrónicos (Sedpe), comisionistas de bolsa, administradoras de fondos de pensiones y cesantías, entidades de financiación colaborativa, aseguradoras e instituciones oficiales especiales, entre otros.

Todos ellos deberán habilitar el acceso a los datos de sus clientes a terceros receptores vigilados dentro de un plazo máximo de 12 meses contados desde la expedición de los estándares técnicos correspondientes por parte de la SFC. El regulador podrá ampliar ese término hasta por seis meses adicionales, y contempla una prórroga especial de otros seis meses para el caso de clientes persona jurídica que no sean microempresas.

Los datos sujetos a circulación incluyen tres grandes categorías: información sobre productos y servicios a nombre del titular (con historial transaccional de los últimos 12 meses como mínimo para cuentas de depósito a la vista), información del proceso de vinculación del cliente, e información sobre las características generales de los productos ofrecidos por las entidades. Esta última categoría no requiere autorización previa del titular para su circulación.

Los plazos para la Superfinanciera

El decreto fija obligaciones concretas para la SFC. El regulador tendrá seis meses desde la entrada en vigor para publicar el cronograma de estandarización, y 12 meses para poner en funcionamiento el directorio de participantes (un registro público de proveedores y receptores de datos) y para definir los indicadores de seguimiento del sistema, que deberá publicar al menos trimestralmente.

El cronograma de estandarización deberá cubrir como mínimo el historial transaccional de depósitos a la vista y de productos de crédito, la información de vinculación de clientes, los datos de depósitos a término, las características generales de productos y servicios, y los estándares para la iniciación de pagos.

El decreto establece una arquitectura de doble capa de consentimiento. El tercero receptor de datos debe obtener una autorización previa, expresa e informada del titular (que debe identificar al receptor, los datos autorizados, la finalidad y el plazo del tratamiento) y el proveedor de datos debe confirmar esa autorización con el cliente antes de compartir la información. Toda acción que busque otorgar, modificar o revocar autorizaciones deberá realizarse mediante “mecanismos fuertes de autenticación” según las instrucciones de la SFC.

El texto prohíbe expresamente que los terceros receptores condicionen la prestación de un producto o servicio al otorgamiento de la autorización. También prohíbe cobrar por la información en sí: los proveedores de datos solo podrán recuperar los costos directos de implementación y mantenimiento de infraestructura, calculados con base en el volumen de consultas y aplicados en igualdad de condiciones para todos los receptores.

La supervisión del tratamiento de datos personales será compartida entre la SFC y la Superintendencia de Industria y Comercio (SIC), “según el ámbito personal y material de aplicación de las leyes 1266 de 2008 y 1581 de 2012”.

Colombia lleva cuatro años construyendo este marco. El Decreto 1297 de 2022 sentó la arquitectura inicial, la Circular Externa 004 de 2024 definió estándares de seguridad y APIs, y la URF (Unidad de Regulación Financiera) aprobó el borrador del presente decreto en diciembre de 2025. El nuevo texto deroga el Título 10 del Libro 35 del Decreto 2555 de 2010, que contenía el esquema voluntario anterior.

El Gobierno ha descrito el sistema como “un primer paso en la construcción de un esquema de datos abiertos que promueva la inclusión financiera y crediticia de la población tradicionalmente excluida mediante el acceso a nuevas fuentes de información, la entrada de nuevos competidores al sistema financiero y el desarrollo de nuevos modelos de negocio”.