Legal Corporativo

Ministerio de Hacienda expide el Decreto 0368 de 2026 del 7 de abril de 2026, por medio del cual se establece el Sistema de Finanzas Abiertas obligatorio en Colombia

El recientemente expedido Decreto 0368 de 2026 (en adelante, el “Decreto”) sustituyó integralmente el marco regulatorio previsto en el Decreto 1297 de 2022, en el cual se establecía la posibilidad de que las entidades vigiladas por la Superintendencia Financiera de Colombia (“SFC”) trataran y comercializaran datos personales. Antes de la expedición de la nueva regulación, el esquema adoptado por los participantes era voluntario. Sin embargo, bajo el compromiso adquirido por el gobierno nacional en el Plan Nacional de Desarrollo (PND)  2022- 2026 (Ley 2294 de 2023) en el artículo 89, según el cual el gobierno nacional debería reglamentar las disposiciones para garantizar que “la totalidad de las entidades públicas y privadas deberán dar acceso y suministrar toda aquella información que pueda ser empleada para facilitar el acceso a productos y servicios financieros”, se ha establecido la transición a un régimen obligatorio, representando un avance en el desarrollo de modelos de negocio basados en el uso de información, así como en la promoción de la inclusión financiera y crediticia de la población a través del acceso a productos y servicios.

De esta manera, a continuación se realiza un recuento de los principales cambios introducidos por la nueva normativa:

1.      Sistema de finanzas abiertas: se introduce el artículo 2.35.8.1.2 al Decreto 2555 de 2010 (en adelante, el “Decreto 2555”), definiendo por sistema de finanzas abiertas “el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan entre sí para permitir el acceso y suministro estandarizado de daros personales de los clientes de las entidades vigiladas por la SFC”, previa autorización del titular.

Se indica que la circulación de los datos personales debe tener como finalidad el desarrollo de modelos de negocio innovadores, dentro de los siguientes objetivos: inclusión financiera y crediticia, promover la competencia e innovación del sistema financiero, promover el bienestar financiero de la población, promover la interoperabilidad del sistema, respetar y garantizar los derechos de los titulares y velar por la seguridad, transparencia y confianza en el sistema financiero (artículo 2.35.8.1.4).

2.      Obligatoriedad: como se mencionó, a diferencia del régimen anterior, en el que la participación era voluntaria, el decreto establece la obligatoriedad de participación en el sistema para un amplio conjunto de entidades vigiladas por la SFC, incluyendo establecimientos de crédito, SEDPE, fiduciarias, aseguradoras, comisionistas de bolsa, administradoras de fondos de pensiones, sociedades administradoras de inversión y otras entidades financieras relevantes.

Estas entidades actúan como proveedores de datos y están obligadas a habilitar el acceso y suministro de los datos personales e información definida en el sistema, siempre que medie la autorización previa, expresa e informada del titular. En este sentido, el decreto refuerza el rol de las entidades financieras tradicionales como pilares del ecosistema de finanzas abiertas.

3.      Participantes: el Decreto de Finanzas Abiertas enuncia los siguientes participantes (artículo 2.35.8.2.2):

3.1.  Titular: persona natural o jurídica cuyos datos personales son objeto de tratamiento. La normativa reitera la definición de autorización y dato personal contenida en las Leyes 1266 de 2008 y 1581 de 2012. El Decreto reafirma de manera expresa que el sistema de finanzas abiertas se fundamenta en la libertad del consumidor financiero para decidir sobre el uso de sus datos personales. El acceso y tratamiento de la información está condicionado, como regla general, a la autorización previa, expresa e informada del titular en consonancia con las Leyes 1266 de 2008 y 1581 de 2012.

Como novedad frente a la regulación anterior, se introduce un esquema de doble control del consentimiento que incluye tanto la autorización otorgada al tercero receptor como una confirmación adicional por parte del proveedor de datos antes de que ocurra la circulación de la información.

3.2.  Proveedor de datos: entidad vigilada por la SFC que brinda acceso y suministra los datos personales.

3.3.  Tercero receptor de datos: entidad vigilada por la SFC o persona jurídica no vigilada que accede a los datos personales.

4.      Principios: la norma hace explícitos ciertos principios que se contemplaban en la anterior regulación (artículo 2.35.8.1.5), siendo de especial relevancia para los participantes y el sistema los siguientes:

4.1.  Trato no discriminatorio: el acceso y suministro debe realizarse en igualdad de condiciones para todos los participantes y de conformidad con la autorización previa, expresa e informada del titular.

4.2.  Interoperabilidad: los protocolos de intercambio automático de información que implementen los participantes se regirán por estándares comunes que permitan interacción eficiente, segura y transparente.

5.      Estándares técnicos y rol de la Superintendencia Financiera de Colombia (SFC): el Decreto asigna a la SFC un rol central y expreso como autoridad encargada de definir, actualizar y publicar estándares técnicos, tecnológicos, operativos y de seguridad de obligatoria aplicación para todos los participantes del sistema. Estos estándares constituyen la base de la interoperabilidad y de la implementación de interfaces de programación de aplicaciones (API), y podrán validarse mediante espacios de prueba habilitados por la SFC. Con ello, el decreto busca garantizar una implementación homogénea, segura y eficiente del sistema.

Las entidades vigiladas contarán con doce (12) meses, contados a partir de la expedición de los estándares, para habilitar el acceso a los datos personales e información de cada categoría, los cuales podrán prorrogarse por seis (6) meses más a criterio de la SFC.

6.      Directorio de participantes como infraestructura institucional: el Decreto crea formalmente el directorio de participantes del Sistema de Finanzas Abiertas, administrado por la SFC, como una herramienta clave para identificar a los actores del ecosistema según su rol. La inscripción en este directorio se configura como un requisito indispensable para participar en el sistema.

El directorio incluye módulos diferenciados para proveedores de datos, terceros receptores vigilados y esquemas de vinculación voluntaria y permite a la SFC ejercer funciones de verificación permanente, suspensión o retiro de participantes cuando se afecte el adecuado funcionamiento del sistema. Para poner en funcionamiento el directorio y establecer sus lineamientos, la SFC cuenta con un plazo de doce (12) meses.

7.      Nuevo esquema para terceros receptores de datos no vigilados:  uno de los cambios más relevantes frente al proyecto previo de decreto es la eliminación de la figura de los terceros de confianza. En su lugar, el decreto adopta un esquema de vinculación voluntaria para terceros receptores de datos no vigilados por la SFC.

En este modelo, la responsabilidad de verificar el cumplimiento de los requisitos legales, técnicos y operativos recae directamente en los proveedores de datos vigilados, quienes deben establecer políticas, procedimientos y criterios objetivos, verificables y no discriminatorios para la vinculación de estos terceros.

8.      Régimen de costos y gratuidad: el Decreto regula de manera expresa la posibilidad de que los proveedores de datos recuperen los costos asociados al uso de su infraestructura, pero limita estrictamente estos cobros a costos directos, eficientes y verificables relacionados con la implementación y mantenimiento de los estándares y las API.

Se prohíbe de forma categórica cualquier cobro por la información como tal y se exige que las tarifas se apliquen en condiciones de igualdad para todos los terceros receptores, con el fin de evitar barreras de acceso o distorsiones competitivas.

9.      Supervisión, seguimiento y cronograma de implementación: finalmente, el Decreto refuerza las facultades de seguimiento y supervisión de la SFC, incluyendo la obligación de las entidades participantes de reportar información para evaluar el funcionamiento del sistema. La SFC deberá definir y publicar indicadores periódicos de implementación y desarrollo del sistema de finanzas abiertas. Para esto, la SFC cuenta con un plazo de doce (12) meses desde la entrada en vigor del decreto.

En suma, el Decreto representa un avance sustancial frente al esquema anterior de finanzas abiertas, en la medida en que consolida un marco normativo obligatorio, integral y coherente, alineado con los objetivos de inclusión financiera, innovación y competencia definidos en el Plan Nacional de Desarrollo (PND) y los lineamientos previstos por la Unidad de Regulación Financiera (URF). La adopción de un modelo mandatorio para las entidades vigiladas reduce la fragmentación regulatoria y elimina la dependencia de esquemas voluntarios que, si bien aportaban flexibilidad, limitaban el alcance sistémico del ecosistema.

Una de las principales ventajas del nuevo Decreto es el fortalecimiento del rol del consumidor financiero, quien mantiene el control sobre sus datos a través de un régimen robusto de autorización y confirmación del consentimiento. Este diseño no solo refuerza la protección de datos personales, sino que incrementa la confianza en el sistema y habilita un uso responsable y transparente de la información como activo económico.

Asimismo, el Decreto aporta seguridad jurídica y claridad operativa al asignar a la Superintendencia Financiera de Colombia un rol central en la definición de estándares técnicos, la administración del directorio de participantes y el seguimiento del sistema. Esto permite una implementación más homogénea, interoperable y supervisable, reduciendo riesgos tecnológicos y asimetrías entre participantes.

Desde una perspectiva de mercado, el nuevo esquema favorece la competencia y la innovación al facilitar el acceso a datos en condiciones objetivas y no discriminatorias, y al permitir la participación de terceros no vigilados bajo reglas claras de vinculación voluntaria. Al eliminar la figura de los terceros de confianza y trasladar a los proveedores de datos la verificación de requisitos, el decreto simplifica la arquitectura institucional del sistema y acelera su puesta en marcha, aunque a costa de mayores responsabilidades para las entidades vigiladas.

Finalmente, el régimen de costos previsto —que limita el cobro a la recuperación de costos eficientes de infraestructura y prohíbe expresamente la comercialización de la información— contribuye a reducir barreras de entrada, proteger la competencia y evitar prácticas excluyentes, fortaleciendo la sostenibilidad del ecosistema en el mediano y largo plazo.

En conjunto, el Decreto 0368 de 2026 configura un sistema de finanzas abiertas más maduro, predecible y funcional, que equilibra adecuadamente los intereses de los consumidores financieros, las entidades vigiladas y los nuevos actores del mercado, y que sienta bases sólidas para el desarrollo de modelos de negocio basados en datos en Colombia.