Decreto 0368: ¿Está lista Colombia para un esquema de finanzas abiertas obligatorio?

Un ecosistema más amplio de datos abiertos orientado a impulsar la inclusión financiera y crediticia en el país./ Unsplash - Gavin Phillips.
Reportajes
Un ecosistema más amplio de datos abiertos orientado a impulsar la inclusión financiera y crediticia en el país./ Unsplash - Gavin Phillips.

05/05/2026
Por Ingrid Rojas

Compartir en RRSS

X
Para recibir nuestro boletín diario,
¡suscríbete aquí!
Generar confianza en el usuario será clave para el éxito del sistema que se desea implementar, mientras el sector financiero se adecúa a las nuevas exigencias.
Fecha de publicación: 05/05/2026
Etiquetas: Colombia, finanzas abiertas, Open finance, inclusión financiera, protección de datos, decretos, regulaciones

Colombia avanza hacia un esquema de finanzas abiertas obligatorio con la entrada en vigor del Decreto 0368, una norma que marca la transición desde un modelo voluntario hacia un sistema basado en el intercambio estandarizado de datos financieros. Este cambio posiciona al país en el centro del desarrollo del open finance en América Latina y plantea interrogantes clave sobre su implementación, impacto en el acceso al crédito y los desafíos regulatorios que enfrentarán entidades financieras y fintech.

En los últimos años, varios países de América Latina han transitado de un modelo de finanzas cerradas, donde el consumidor interactuaba únicamente con la institución financiera, a un ecosistema de finanzas abiertas (open finance), en el que el consumidor financiero es dueño de sus datos y quien puede consentir que instituciones financieras y proveedores externos hagan uso de estos. 

La promesa es “un espectro más amplio de productos y servicios financieros ofrecidos bajo el principio del intercambio de datos financieros de los consumidores”, como se señala en el informe Las finanzas abiertas en América Latina y el Caribe, grandes oportunidades, grandes desafíos, del Banco Interamericano de Desarrollo (BID) y Financial Data and Technology Association (FData), de 2023, cuando aún se consideraba incipiente el avance del open finance en la región. Entonces, Brasil, Chile, Ecuador, México, Argentina y Colombia mostraban avances en sus legislaciones. Más recientemente, Perú dio a conocer su hoja de ruta para implementar el sistema de finanzas abiertas.

En 2022, en Colombia se dictó el Decreto N° 1297, por el que se estableció un sistema de finanzas abiertas voluntario. Ahora, el país inició la transición a un esquema obligatorio con la publicación del Decreto N° 0368, por parte del Ministerio de Hacienda y Crédito Público.

¿Está México listo para una Ley Fintech 2.0? Activos digitales, open finance y el reto regulatorio

Aunque la norma anterior otorgó seguridad jurídica para el tratamiento y comercialización de datos por parte del sector financiero, además de encargar a la Superintendencia Financiera de la definición de estándares técnicos, la Ley 2294 de 2023 dio un giro al exigir que entidades públicas y privadas faciliten información útil para ampliar el acceso a productos y servicios financieros. Esto implicaba transitar hacia un sistema obligatorio, que servirá de base para un ecosistema más amplio de datos abiertos orientado a impulsar la inclusión financiera y crediticia en el país.

¿Qué cambia y cuál es el impacto?

El nuevo esquema adoptado por Colombia se caracteriza por el intercambio estandarizado de datos con reglas comunes y control del titular mediante autorización previa, expresa e informada, como explica Sergio Rodríguez Azuero, socio fundador de CMS Rodríguez-Azuero.

Ahora las entidades vigiladas quedan como proveedores obligados de datos, con deberes exigibles de confirmación del consentimiento, autenticación fuerte, interoperabilidad y cumplimiento estricto de la regulación de protección de datos personales. 

Para Jeison Larrota, socio de RAD / DF Estrategias Legales, la adopción de finanzas abiertas significa que el dato financiero, con autorización del usuario, deja de ser un activo encerrado en una sola entidad y pasa a convertirse en una herramienta para competir mejor, innovar más y ampliar el acceso a servicios financieros. 

“Para Colombia, esto puede ser muy positivo porque reduce fricciones, facilita la portabilidad de la información y abre espacio para productos más útiles para personas y empresas”.

En efecto, la adopción de este sistema es vista como una gran oportunidad para avanzar hacia la inclusión, la competitividad y la innovación en el sector financiero. 

“Al permitir que la información circule de manera estandarizada y segura, se fomenta un sistema donde la información es simétrica, permitiendo que nuevos actores, tanto tradicionales como tecnológicos, accedan al mercado en igualdad de condiciones”, expresa Luis Humberto Ustáriz, socio fundador de Ustáriz & Abogados Estudio Jurídico. 

El crédito como servicio en Brasil: desafíos y tendencias

Un impacto directo es la democratización del acceso al crédito, lo que facilitaría la inclusión de la población tradicionalmente excluida, así como de la economía popular. Con esto, se generarían potenciales beneficios al consumidor al permitirle autorizar el uso de su información para obtener mejores productos y servicios financieros, mientras se impulsa un sistema más dinámico y eficiente que responda a las necesidades actuales de la sociedad colombiana.

Ajustes necesarios y áreas grises

Para poner en práctica lo establecido en el Decreto 0368, dictado el 7 de abril, la Superintendencia Financiera de Colombia (SFC) y la Superintendencia de Industria y Comercio (SIC), entre otros organismos, trabajarán de forma coordinada, la primera centrada en la interoperabilidad, el consentimiento del consumidor y la seguridad en el manejo de datos y los estándares técnicos, y la SIC enfocada en la protección de datos personales.

Al respecto, Larrota señala que las entidades tienen que pasar de una lógica de pilotos y acuerdos puntuales a una lógica de cumplimiento regulatorio estructurado, lo cual exige revisar el consentimiento, protección de datos, seguridad de la información, responsabilidades entre participantes y gobierno interno del dato.

Ustáriz lo refuerza al agregar que se necesitarán ajustes para estandarizar la trazabilidad del consentimiento, lineamientos de incidentes y responsabilidades entre participantes, y reglas que eviten barreras de acceso o discriminación en vinculaciones, reforzando protección al consumidor y seguridad jurídica.

“También veo un reto en la coordinación entre regulación financiera, protección de datos y protección al consumidor. La seguridad jurídica dependerá de que esas piezas funcionen de manera armónica y de que el consentimiento sea realmente informado, trazable y revocable, no una simple formalidad”, añade Larrota.

Inclusión financiera en América Latina y el Caribe: el poder de los datos y el rol de las finanzas abiertas

Si bien el marco regulatorio colombiano ha avanzado mucho, a decir del socio de RAD / DF, todavía hay zonas grises importantes y la principal de ellas es cómo se distribuyen los costos y responsabilidades del sistema: quién asume el costo de implementación, quién responde cuando hay fallas o incidentes, y cómo se protege al consumidor cuando intervienen varios actores en la cadena de datos.

Ustáriz ve ambigüedades en relación con: 

  1. La responsabilidad contractual de los terceros autorizados para trabajar con los datos de los particulares; 
  2.  Las fallas de ciberseguridad que puedan ocasionarse con alguno de los integrantes del proceso; 
  3. La educación financiera de los consumidores en la administración de los datos; 
  4. La zona gris significativa en los estándares técnicos, operativos y funcionales específicos, los cuales están sujetos a una futura definición por parte de la SFC en un plazo de seis meses, espera que genera incertidumbre sobre cómo se traducirá la obligatoriedad en términos de interoperabilidad técnica real para cada tipo de entidad, considerando que el nivel de madurez tecnológica varía drásticamente en el sistema. 

“Es fundamental que los ajustes regulatorios próximos eviten crear asimetrías competitivas, asegurando que la protección al consumidor no se vea debilitada por la complejidad técnica de la implementación”, dice el socio fundador de Ustáriz & Abogados Estudio Jurídico.

Garantizar la integridad de la información

Aparte de prepararse con un proyecto integral de cumplimiento y ciberseguridad, Rodríguez Azuero resalta que las entidades participantes en el sistema de finanzas abiertas deben contar con protocolos robustos de respuesta y reporte de incidentes para preservar la confianza.

“Las entidades deberían entender que interoperabilidad no es solo conectarse por API (Application Programming Interface). También implica asegurar calidad del dato, trazabilidad, autenticación robusta, seguridad y capacidad de respuesta ante incidentes”, agrega Larrota, quien recomienda trabajar en cinco frentes: inventario de datos, gobierno de consentimientos, ciberseguridad, calidad de la información y gestión de terceros. Todo esto considerando que el proyecto no solo involucra al área de tecnología; también incluye las de jurídico, cumplimiento, riesgo, negocio y seguridad digital.

Aquí puedes suscribirte a nuestros boletines

Tener que adaptar su operatividad para suministrar información financiera de manera estandarizada bajo protocolos definidos por la Superintendencia Financiera, implicará, de acuerdo con Ustáriz, una reconfiguración de los contratos y protocolos de manejo de información del cliente, donde el consentimiento previo, expreso e informado se vuelve el eje central de la licitud del tratamiento de datos. 

El abogado comenta que, bajo el nuevo esquema, habrá cambios profundos tanto en minutas contractuales como en el gobierno corporativo de datos, siendo contractualmente obligatorio actualizar los acuerdos con los clientes para incluir cláusulas de consentimiento específicas, claras y diferenciadas para cada categoría de información. 

Se suma que, en términos de gobernanza, deberán establecer roles claros (proveedores de datos o terceros receptores) y designar responsables de la custodia de la información, asegurando que los acuerdos bilaterales de intercambio cumplan con criterios objetivos, transparentes y no discriminatorios. 

Además, las entidades deben prepararse para inscribirse y mantener su participación en el nuevo directorio administrado por la Superintendencia Financiera, lo cual conlleva una carga administrativa, desarrollos tecnológicos, establecimiento de controles y obligaciones de reporte constante. De esta forma se garantiza que su información en el sistema sea veraz y esté siempre actualizada para los otros actores.

Los cambios en el nuevo esquema reflejarán los distintos roles y responsabilidades en el tratamiento de datos personales. Los acuerdos deberán regular cómo se obtiene, prueba y revoca el consentimiento y cómo se atienden disputas por accesos no autorizados, de acuerdo con Rodríguez Azuero, quien considera importante fijar políticas para vinculación de receptores no vigilados.

Open banking en Brasil: el desafío de la adhesión de usuarios

Prepararse implica también integrar, dentro de sus arquitecturas digitales, sistemas de gestión del consentimiento que sean auditables y en tiempo real, permitiendo a los usuarios conocer, revocar o actualizar sus autorizaciones de manera sencilla.

Vamos a ver contratos mucho más sofisticados. Ya no bastará un acuerdo comercial general: habrá que regular con precisión finalidades de uso, niveles de servicio, estándares de seguridad, manejo de incidentes, auditorías, subcontratación y distribución de responsabilidades”, explica Larrota.

En materia de gobernanza, refiere que las juntas y administraciones tendrán que asumir que el intercambio de datos es un tema estratégico e implica políticas claras de gobierno del dato, responsables internos bien definidos y una coordinación real entre las áreas legales, operativas y tecnológicas.

Beneficios y desafíos en la transición

En la transición hacia un sistema de finanzas abiertas, el mercado colombiano se encamina a un escenario donde convivirán la competencia y la colaboración entre actores del sector financiero, incluyendo las fintech.

El acceso a datos reducirá barreras de entrada y permitirá a los consumidores recibir ofertas más ajustadas a su perfil y de su historial reaL, mientras que bancos y empresas de tecnología financiera combinarán sus fortalezas para integrar servicios, mejorar la experiencia del usuario y desarrollar productos más eficientes. Se espera que el resultado sea un modelo de cooperación competitiva, en el que cada actor compite donde aporta mayor valor y colabora cuando la integración genera beneficios para el usuario y para el ecosistema financiero.

El Salvador libera el 100 % del capital bancario a la inversión extranjera

El reto central para que el modelo sea exitoso está en construir confianza para el usuario, quien deberá tener claro a quién autoriza, con qué propósito, por cuánto tiempo y cómo puede revocar su consentimiento. A esto se suma que el sector deberá avanzar simultáneamente en adecuaciones tecnológicas, rediseño contractual, gestión de riesgos y cumplimiento regulatorio, todo bajo plazos de 12 meses dados a la SFC para estandarizar el sistema y poner en marcha el directorio de participantes.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

© El contenido de LexLatin, incluyendo todas sus imágenes, ilustraciones, diseños, fotografías, videos, íconos y material escrito, está protegido por derechos de autor, marcas y demás derechos de la propiedad intelectual, y es publicado para sus suscriptores y lectores con propósitos informativos únicamente. No se permite la reproducción, modificación, copia, distribución, reedición, transmisión, proyección o explotación de cualquier forma de los materiales o contenido publicado por LexLatin, a menos que el interesado obtenga la autorización escrita de LexLatin.