14 de abril de 2026

Nuevo decreto incorpora el sistema de finanzas abiertas en Colombia

Holland & Knight Alert
Camilo Gantiva Hidalgo | Juan Felipe Fontecha Mejía | Camila Vivas Valencia | Juan José Salazar Tejada

El Ministerio de Hacienda y Crédito Público expidió el Decreto 0368 del 7 de abril de 2026, mediante el cual se incorpora el sistema de finanzas abiertas bajo un esquema obligatorio en Colombia.

Esta norma sustituye el marco regulatorio previo en el Decreto 1297 de 2022, que se limitaba a contemplar de forma general la posibilidad de que las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) trataran y comercializaran datos personales bajo un esquema voluntario de finanzas abiertas. En su lugar, el nuevo decreto establece una regulación más amplia y detallada, orientada a promover la inclusión financiera, facilitar la entrada de nuevos competidores al sistema financiero y fomentar el desarrollo de nuevos modelos de negocio bajo un esquema obligatorio, buscando así dar cumplimiento a lo previsto en la Ley 22994 de 2023 – Plan Nacional de Desarrollo 2022-2026.

A continuación, se destacan las principales novedades que incorpora este decreto.

¿Qué se entiende por el sistema de finanzas abiertas?

Se entiende como un ecosistema integrado por diversos actores, normas, requisitos e infraestructuras que se articulan entre sí para permitir el acceso y suministro de datos personales de los clientes de las entidades vigiladas por la SFC. El funcionamiento del sistema se rige por principios de acceso previamente autorizado a los datos personales, transparencia, seguridad y circulación restringido de los datos personales, calidad de la información, trato no discriminatorio e interoperabilidad.

Participantes

El decreto define a los siguientes participantes:

  • Titular: persona natural o jurídica cuyos datos personales son objeto de tratamiento
  • Proveedor de datos: entidad vigilada por la SFC que brinda acceso y suministra los datos personales
  • Tercero receptor de datos: entidad vigilada por la SFC o persona jurídica no vigilada que accede a los datos personales

Las entidades vigiladas por la SFC – tales como los establecimientos de crédito, las Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE), las sociedades fiduciarias, las entidades aseguradoras, las sociedades comisionistas de bolsa de valores, las sociedades administradoras de fondos de pensiones, entre otras – deberán participar en el sistema en calidad de proveedores de datos y, en consecuencia, otorgar acceso y suministrar los datos personales de manera obligatoria a los terceros receptores de datos vigilados por la SFC.

Ahora bien, en el proyecto de decreto del sistema de finanzas abiertas (Ver: Nuevo proyecto de decreto para el sistema de finanzas abiertas en Colombia, alerta Holland & Knight, 1 de julio de 2025), se tenía prevista la figura de terceros de confianza, quienes habrían estado encargados de velar por el cumplimiento de los requisitos por parte de los participantes no vigilados por la SFC como condición para su vinculación al ecosistema. Sin embargo, en esta versión definitiva de la norma se incluye un esquema de vinculación voluntaria para terceros receptores de datos no vigilados y la verificación del cumplimiento de los requisitos recae sobre los proveedores de datos, por lo que será necesario para las entidades vigiladas adecuar sus políticas y procedimientos con el fin de validar adecuadamente cuando los terceros receptores de datos están o no habilitados para hacer parte del sistema de finanzas abiertas, sin vulnerar en ese ejercicio los principios de igualdad y trato no discriminatorio.

Categorías de información que hacen parte del sistema

En el marco del sistema de finanzas abiertas, se compartirán los siguientes tipos o categorías de información:

  • productos y servicios a nombre del titular
  • información asociada al proceso de vinculación como cliente
  • características generales de los productos y servicios ofrecidos por los participantes del sistema de finanzas abiertas

Acceso y tratamiento de la información

El decreto explica cómo se accederá a la información y cómo se transmitirá, lo cual incluye:

  • Tratamiento de la información: Los participantes del sistema de finanzas abiertas podrán tratar la información que los consumidores financieros autoricen y para esto deberán adoptar medidas de responsabilidad demostrada, las cuales deben ser apropiadas y garantizar la seguridad, confidencialidad y veracidad de la información. Las facultades de inspección, control y vigilancia en el tratamiento de los datos personales podrán ser ejercidas por la SFC o la Superintendencia de Industria y Comercio, dependiendo de la naturaleza y calidad del participante que esté tratando los datos personales.
  • Autorización: Los terceros receptores de datos deben tener la autorización del titular para acceder y tratar los datos personales. Para esto deben realizar una solicitud de autorización que debe contener, como mínimo, la identificación del receptor, los datos personales cuyo tratamiento se autoriza, el tratamiento al que serán sometidos, la finalidad especifica y el tiempo de autorización.
  • Confirmación: Los proveedores de datos deben confirmar con el titular, previo a la circulación de la información, que el receptor cuenta con su autorización para acceder y tratar los datos personales del titular.
  • Plazos: Las entidades deben habilitar el acceso a los datos de cada una de las categorías de información en un plazo máximo de 12 meses desde la expedición de los estándares para cada categoría según indique la SFC.
  • Costos: El proyecto de decreto contemplaba el principio de gratuidad, el cual buscaba que proveedores de datos no cobraran por el acceso o el suministro de información. Bajo el Decreto 0368, se prevé que los terceros receptores pueden realizar cobros únicamente con la finalidad de recuperar el costo por el mantenimiento de su infraestructura, dicho esquema de cobro deberá estar sometido a los siguientes criterios: 1) deberá corresponder al volumen de consultas realizadas por cada tercero receptor, 2) sólo podrán trasladarse los costos para garantizar la disponibilidad de la información y circulación en condiciones de seguridad y calidad, y 3) los costos deberán aplicar en igualdad de condiciones para todos los terceros receptores de datos.

Directorio de participantes

Se crea un directorio administrado por la SFC que permitirá identificar a los participantes del sistema según sus roles y establece los deberes que deben mantener. Este directorio contará con un módulo de proveedores de datos, un módulo de receptores de datos y un módulo de vinculaciones voluntarias. La SFC, como administrador, debe cumplir con lo siguiente:

  • definir las condiciones de operación del directorio
  • establecer los lineamientos necesarios para el acceso y para la inscripción, modificación y retiro de los participantes
  • tramitar las solicitudes de inclusión, modificación o retiro
  • suspender o retirar a un participante cuando sea necesario
  • conservar un registro histórico de participantes

Para poner en funcionamiento el directorio y establecer sus lineamientos, la SFC cuenta con un plazo de 12 meses.

Estándares y seguimiento

La SFC, como entidad encargada de establecer, actualizar y publicar los estándares del sistema de finanzas abiertas – los cuales deberán comprender elementos técnicos, tecnológicos, funcionales y operacionales – deberá publicar en un plazo de seis meses contados a partir de la expedición del decreto, un cronograma para la expedición de dichos estándares, dependiendo del tipo de información. Las entidades vigiladas contarán con 12 meses, contados a partir de la expedición de los estándares, para habilitar el acceso a los datos personales e información de cada categoría, los cuales podrán prorrogarse por seis meses más a criterio de la SFC.

Adicionalmente, los participantes del sistema deberán reportar a la SFC la información que esta requiera para realizar el seguimiento al sistema. Asimismo, la SFC definirá de manera trimestral los indicadores que permitan hacer seguimiento a su implementación y desarrollo. Para esto, la SFC cuenta con un plazo de 12 meses desde la entrada en vigor del decreto.

Holland & Knight realiza un constante monitoreo a los cambios en la regulación financiera nacional e internacional. Contacte a los autores en caso de inquietudes.

La información contenida en esta alerta es para la educación y el conocimiento general de nuestros lectores. No está diseñada para ser, y no debe ser usada como, la única fuente de información cuando se analiza y resuelve un problema legal, y no debe sustituir la asesoría legal, que se basa en un análisis específico de los hechos. Además, las leyes de cada jurisdicción son diferentes y cambian constantemente. Esta información no tiene por objeto crear, y su recepción no constituye, una relación abogado-cliente. Si tiene preguntas específicas sobre una situación de hecho concreta, le instamos a que consulte a los autores de esta publicación, a su representante de Holland & Knight o a otro asesor legal competente.

Related Practices

Latin America Practice Colombia Practice Banking Law Financial Services Financial Services Regulations Emerging Technologies Law and Policy Public Policy & Regulation Digital Assets and Blockchain Technology Technology Data Strategy, Security & Privacy

Related Industry

Financial Services
Subscribe to Updates and Events
Click to Sign Up

Related Insights