Lo que deben saber — y hacer — los participantes del sistema desde ya.
El 7 de abril de 2026, el Ministerio de Hacienda y Crédito Público expidió el Decreto 0368 de 2026, incorporando al ordenamiento jurídico colombiano un sistema de finanzas abiertas de carácter obligatorio. La norma, que modifica el Decreto 2555 de 2010 y desarrolla el mandato del Plan Nacional de Desarrollo (Ley 2294 de 2023), representa el cambio estructural más significativo en la regulación del sistema financiero colombiano en materia de datos desde la expedición de la Ley 1581 de 2012.
Para los participantes del ecosistema —bancos, aseguradoras, fintechs, administradoras de fondos de pensiones, comisionistas de bolsa y terceros no vigilados que deseen vincularse— este decreto no es una norma que puede archivarse a la espera de que la Superintendencia Financiera expida los estándares técnicos. Hay obligaciones que nacen hoy, y hay trabajo que puede y debe comenzar ahora.
Este artículo explica qué cambió, qué obliga el decreto directamente y qué queda pendiente de regulación posterior, con foco en las implicaciones de privacidad y gobernanza de datos.
1. ¿Qué es el sistema de finanzas abiertas según el Decreto 0368?
El decreto define el sistema de finanzas abiertas como “el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan para permitir el acceso y suministro de datos personales de los clientes de entidades vigiladas por la SFC”, siempre bajo consentimiento previo, expreso e informado del titular.
En términos prácticos: los datos financieros pertenecen al usuario, no a la entidad que los custodia. Bajo este modelo, un consumidor puede autorizar que su historial transaccional, sus productos financieros activos o su información de vinculación sean compartidos con otra entidad —un banco competidor, una fintech, una aseguradora— para obtener mejores condiciones de crédito, nuevos productos o servicios personalizados.
Lo que hasta antes del decreto era voluntario, ahora es una obligación para todas las entidades vigiladas por la SFC.
2. El cambio de fondo: de voluntario a obligatorio
El antecedente inmediato es el Decreto 1297 de 2022, que habilitaba a las entidades vigiladas a tratar y comercializar datos bajo un esquema completamente voluntario. Pocos participantes lo adoptaron, y el ecosistema no despegó.
El Decreto 0368 cambia esa ecuación de raíz. Las entidades vigiladas —sin excepción— deben participar como proveedoras de datos. No hay margen de voluntariedad para el sector regulado. La decisión de participar o no quedó reservada únicamente para los terceros no vigilados, como las empresas del sector Fintech.
El principio central del nuevo sistema:
La información financiera es del usuario. Las entidades que la custodian tienen la obligación de compartirla cuando el titular lo autorice, bajo reglas comunes y estándares técnicos definidos por la SFC.
3. Los participantes y sus roles
El decreto define tres tipos de participantes:
- Titular: la persona natural o jurídica cuyos datos son objeto de tratamiento. Es el eje del sistema: sin su autorización, no hay circulación de datos.
- Proveedor de datos: entidad vigilada por la SFC que brinda acceso y suministra los datos. Rol obligatorio para todos los establecimientos de crédito, SEDPE, fiduciarias, aseguradoras, comisionistas de bolsa, AFPs y demás entidades supervisadas.
- Tercero receptor de datos: entidad vigilada o persona jurídica no vigilada que accede a los datos con autorización del titular. Para los no vigilados, la vinculación es voluntaria y condicionada al cumplimiento de requisitos que deben verificar los propios proveedores.
Este último punto merece atención especial: el decreto eliminó la figura de los ‘terceros de confianza’ que había en el proyecto de norma, y trasladó a los proveedores de datos la responsabilidad de verificar que los receptores no vigilados estén habilitados para participar. Esto crea una carga de debida diligencia para las entidades vigiladas que ya es exigible.
4. El régimen de consentimiento: doble verificación como regla estructural
Desde la perspectiva de privacidad y protección de datos, el elemento más relevante del decreto es el mecanismo de doble consentimiento. Su estructura es la siguiente:
Primera capa: autorización del titular al receptor
El tercero receptor de datos debe obtener del titular una autorización que contenga, como mínimo: (i) identificación del receptor, (ii) datos personales cuyo tratamiento se autoriza, (iii) tipo de tratamiento, (iv) finalidad específica, y (v) plazo de la autorización.
Segunda capa: confirmación por parte del proveedor
Antes de que el proveedor comparta la información, debe confirmar directamente con el titular que el receptor cuenta efectivamente con su autorización. No basta con que el receptor afirme tenerla.
Este esquema es materialmente más exigente que los flujos de consentimiento que la mayoría de las entidades tienen implementados hoy. Los avisos de privacidad genéricos, las autorizaciones por defecto o los consentimientos agrupados no son compatibles con este modelo.
Implicación práctica inmediata:
Las entidades deben revisar hoy sus mecanismos de consentimiento, sus avisos de privacidad y sus flujos de autorización. Esta obligación no espera los estándares técnicos de la SFC: nace con el decreto.
5. Qué información circula en el sistema
El decreto define tres categorías de datos objeto del sistema:
- Información sobre productos y servicios a nombre del titular: incluyendo historial transaccional, condiciones particulares de productos de depósito, crédito, aseguramiento e inversión. La norma establece que debe compartirse al menos el historial de los últimos doce meses.
- Información asociada al proceso de vinculación del cliente: datos de conocimiento del cliente (KYC) y onboarding.
- Características generales de los productos y servicios ofrecidos por los participantes: información que permite a los usuarios comparar opciones del mercado.
Este alcance es amplio y toca los activos de información más sensibles de las entidades financieras. La implementación requerirá no solo adaptaciones tecnológicas, sino una revisión profunda de los programas de privacidad y gobernanza de datos existentes.
6. Lo que está sujeto a regulación posterior de la SFC
El decreto opera en dos niveles: establece el marco jurídico con obligaciones directas, pero delega en la SFC la definición de los detalles operativos. Los plazos son los siguientes:
- 6 meses (hasta octubre 7 de 2026): la SFC debe publicar el cronograma de expedición de estándares técnicos, tecnológicos, funcionales y operacionales del sistema, por categoría de información.
- 12 meses desde los estándares: las entidades vigiladas tienen ese plazo para habilitar el acceso a los datos de cada categoría, con posibilidad de prórroga de 6 meses adicionales a criterio de la SFC.
- 12 meses (hasta abril de 2027): la SFC debe poner en funcionamiento el directorio de participantes y definir los indicadores de seguimiento trimestrales.
En la práctica, el cumplimiento efectivo del intercambio de datos no ocurrirá antes del segundo semestre de 2027. Sin embargo, esto no significa que las entidades puedan esperar. Las que lleguen al momento de expedición de los estándares con el diagnóstico hecho, las políticas actualizadas y la arquitectura tecnológica avanzada tendrán una ventaja real. Las que comiencen en ese momento encontrarán que seguramente 12 meses no es suficiente.
7. Qué pueden hacer los participantes desde ya
Con base en lo que el decreto ya definió —categorías de datos, roles, régimen de consentimiento, responsabilidad demostrada— hay un conjunto de acciones disponibles hoy:
- Mapeo de activos de información: identificar qué datos caen dentro de las categorías del sistema, dónde están almacenados y bajo qué condiciones se tratan actualmente.
- Revisión de políticas de privacidad y mecanismos de consentimiento: verificar si los flujos actuales son compatibles con el doble consentimiento que el decreto exige.
- Diagnóstico de madurez en APIs: la Circular 004 de 2024 ya anticipó los estándares técnicos mínimos. Las entidades que no han iniciado ese proceso están en mora técnica.
- Diseño de procedimientos para onboarding de terceros no vigilados: los proveedores deben poder verificar la habilitación de los receptores no vigilados sin incurrir en tratos discriminatorios.
- Revisión de contratos con proveedores tecnológicos: verificar si los contratos permiten la interoperabilidad y el acceso vía API que el sistema exigirá.
- Seguimiento al proceso regulatorio de la SFC: participar activamente en las consultas públicas cuando se publiquen los proyectos de circular es una oportunidad de influir en estándares que los afectan directamente.
Conclusión
El Decreto 0368 de 2026 no es una norma programática. Es un marco jurídico que crea obligaciones directas hoy y que establece una hoja de ruta regulatoria con plazos definidos. Para los participantes del sistema financiero colombiano, la pregunta debe ser como se preparan desde ya para lo que se viene. Desde la perspectiva de privacidad y gobernanza de datos, el decreto implica una revisión estructural de cómo las entidades gestionan el consentimiento, documentan el tratamiento de datos personales y verifican el cumplimiento de sus contrapartes. Ese trabajo puede y debe comenzar ahora.
Cuellar Abogados asesora a entidades financieras, fintechs y empresas de tecnología en la estructuración de programas de privacidad, gobernanza de datos y cumplimiento regulatorio. Si tiene preguntas sobre las implicaciones del Decreto 0368 para su organización, contáctenos.