Colombia Decree 0368 Mandates Open Finance System

April 15, 2026

Nuevo decreto incorpora el sistema de finanzas abiertas en Colombia

Camilo Gantiva, Juan Felipe Fontecha Mejía, Camila Vivas Valencia Holland & Knight LLP + Follow Contact LinkedIn Facebook X Send Embed

[co-author: Juan José Salazar Tejada]

El Ministerio de Hacienda y Crédito Público expidió el Decreto 0368 del 7 de abril de 2026, mediante el cual se incorpora el sistema de finanzas abiertas bajo un esquema obligatorio en Colombia.

Esta norma sustituye el marco regulatorio previo en el Decreto 1297 de 2022, que se limitaba a contemplar de forma general la posibilidad de que las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) trataran y comercializaran datos personales bajo un esquema voluntario de finanzas abiertas. En su lugar, el nuevo decreto establece una regulación más amplia y detallada, orientada a promover la inclusión financiera, facilitar la entrada de nuevos competidores al sistema financiero y fomentar el desarrollo de nuevos modelos de negocio bajo un esquema obligatorio, buscando así dar cumplimiento a lo previsto en la Ley 22994 de 2023 – Plan Nacional de Desarrollo 2022-2026.

A continuación, se destacan las principales novedades que incorpora este decreto.

¿Qué se entiende por el sistema de finanzas abiertas?

Se entiende como un ecosistema integrado por diversos actores, normas, requisitos e infraestructuras que se articulan entre sí para permitir el acceso y suministro de datos personales de los clientes de las entidades vigiladas por la SFC. El funcionamiento del sistema se rige por principios de acceso previamente autorizado a los datos personales, transparencia, seguridad y circulación restringido de los datos personales, calidad de la información, trato no discriminatorio e interoperabilidad.

Participantes

El decreto define a los siguientes participantes:

• Titular: persona natural o jurídica cuyos datos personales son objeto de tratamiento
• Proveedor de datos: entidad vigilada por la SFC que brinda acceso y suministra los datos personales
• Tercero receptor de datos: entidad vigilada por la SFC o persona jurídica no vigilada que accede a los datos personales Las entidades vigiladas por la SFC – tales como los establecimientos de crédito, las Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE), las sociedades fiduciarias, las entidades aseguradoras, las sociedades comisionistas de bolsa de valores, las sociedades administradoras de fondos de pensiones, entre otras – deberán participar en el sistema en calidad de proveedores de datos y, en consecuencia, otorgar acceso y suministrar los datos personales de manera obligatoria a los terceros receptores de datos vigilados por la SFC.

Ahora bien, en el proyecto de decreto del sistema de finanzas abiertas (Ver: Nuevo proyecto de decreto para el sistema de finanzas abiertas en Colombia, alerta Holland & Knight, 1 de julio de 2025), se tenía prevista la figura de terceros de confianza, quienes habrían estado encargados de velar por el cumplimiento de los requisitos por parte de los participantes no vigilados por la SFC como condición para su vinculación al ecosistema. Sin embargo, en esta versión definitiva de la norma se incluye un esquema de vinculación voluntaria para terceros receptores de datos no vigilados y la verificación del cumplimiento de los requisitos recae sobre los proveedores de datos, por lo que será necesario para las entidades vigiladas adecuar sus políticas y procedimientos con el fin de validar adecuadamente cuando los terceros receptores de datos están o no habilitados para hacer parte del sistema de finanzas abiertas, sin vulnerar en ese ejercicio los principios de igualdad y trato no discriminatorio.

Categorías de información que hacen parte del sistema

En el marco del sistema de finanzas abiertas, se compartirán los siguientes tipos o categorías de información:

• productos y servicios a nombre del titular
• información asociada al proceso de vinculación como cliente
• características generales de los productos y servicios ofrecidos por los participantes del sistema de finanzas abiertas

Acceso y tratamiento de la información

El decreto explica cómo se accederá a la información y cómo se transmitirá, lo cual incluye:

• Tratamiento de la información: Los participantes del sistema de finanzas abiertas podrán tratar la información que los consumidores financieros autoricen y para esto deberán adoptar medidas de responsabilidad demostrada, las cuales deben ser apropiadas y garantizar la seguridad, confidencialidad y veracidad de la información. Las facultades de inspección, control y vigilancia en el tratamiento de los datos personales podrán ser ejercidas por la SFC o la Superintendencia de Industria y Comercio, dependiendo de la naturaleza y calidad del participante que esté tratando los datos personales.
• Autorización: Los terceros receptores de datos deben tener la autorización del titular para acceder y tratar los datos personales. Para esto deben realizar una solicitud de autorización que debe contener, como mínimo, la identificación del receptor, los datos personales cuyo tratamiento se autoriza, el tratamiento al que serán sometidos, la finalidad especifica y el tiempo de autorización.
• Confirmación: Los proveedores de datos deben confirmar con el titular, previo a la circulación de la información, que el receptor cuenta con su autorización para acceder y tratar los datos personales del titular.
• Plazos: Las entidades deben habilitar el acceso a los datos de cada una de las categorías de información en un plazo máximo de 12 meses desde la expedición de los estándares para cada categoría según indique la SFC.
• Costos: El proyecto de decreto contemplaba el principio de gratuidad, el cual buscaba que proveedores de datos no cobraran por el acceso o el suministro de información. Bajo el Decreto 0368, se prevé que los terceros receptores pueden realizar cobros únicamente con la finalidad de recuperar el costo por el mantenimiento de su infraestructura, dicho esquema de cobro deberá estar sometido a los siguientes criterios: 1) deberá corresponder al volumen de consultas realizadas por cada tercero receptor, 2) sólo podrán trasladarse los costos para garantizar la disponibilidad de la información y circulación en condiciones de seguridad y calidad, y 3) los costos deberán aplicar en igualdad de condiciones para todos los terceros receptores de datos.

Directorio de participantes

Se crea un directorio administrado por la SFC que permitirá identificar a los participantes del sistema según sus roles y establece los deberes que deben mantener. Este directorio contará con un módulo de proveedores de datos, un módulo de receptores de datos y un módulo de vinculaciones voluntarias. La SFC, como administrador, debe cumplir con lo siguiente:

• definir las condiciones de operación del directorio
• establecer los lineamientos necesarios para el acceso y para la inscripción, modificación y retiro de los participantes
• tramitar las solicitudes de inclusión, modificación o retiro
• suspender o retirar a un participante cuando sea necesario
• conservar un registro histórico de participantes Para poner en funcionamiento el directorio y establecer sus lineamientos, la SFC cuenta con un plazo de 12 meses.

Estándares y seguimiento

La SFC, como entidad encargada de establecer, actualizar y publicar los estándares del sistema de finanzas abiertas – los cuales deberán comprender elementos técnicos, tecnológicos, funcionales y operacionales – deberá publicar en un plazo de seis meses contados a partir de la expedición del decreto, un cronograma para la expedición de dichos estándares, dependiendo del tipo de información. Las entidades vigiladas contarán con 12 meses, contados a partir de la expedición de los estándares, para habilitar el acceso a los datos personales e información de cada categoría, los cuales podrán prorrogarse por seis meses más a criterio de la SFC.

Adicionalmente, los participantes del sistema deberán reportar a la SFC la información que esta requiera para realizar el seguimiento al sistema. Asimismo, la SFC definirá de manera trimestral los indicadores que permitan hacer seguimiento a su implementación y desarrollo. Para esto, la SFC cuenta con un plazo de 12 meses desde la entrada en vigor del decreto.

Holland & Knight realiza un constante monitoreo a los cambios en la regulación financiera nacional e internacional.

Send Print Report

Latest Posts

• Nuevo decreto incorpora el sistema de finanzas abiertas en Colombia
• Venezuela aprueba nueva Ley Orgánica de Minas
• Reducing the Red Tape for Horse Entry into the U.S.
• Quiet Change, Serious Consequences: ICE Expands Form I-9 Substantive Violations for Employers
• White House Unveils Historic Maritime Budget: What It Means for America's Shipping Future See more »

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.
Attorney Advertising.

©
Holland & Knight LLP

Written by:

Holland & Knight LLP Contact + Follow Camilo Gantiva + Follow Juan Felipe Fontecha Mejía + Follow Camila Vivas Valencia + Follow more less

PUBLISH YOUR CONTENT ON JD SUPRA

• ✔ Increased readership
• ✔ Actionable analytics
• ✔ Ongoing writing guidance Join more than 70,000 authors publishing their insights on JD Supra

Start Publishing »

Published In:

Banking Sector + Follow Business Model + Follow Colombia + Follow Data Privacy + Follow Data Protection + Follow Economic Development + Follow Financial Institutions + Follow FinTech + Follow Ministry of Finance + Follow New Regulations + Follow Open Banking + Follow Regulatory Oversight + Follow Regulatory Reform + Follow Administrative Agency + Follow Business Organization + Follow Finance & Banking + Follow Privacy + Follow Science, Computers & Technology + Follow more less

Holland & Knight LLP on:

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra: Sign Up Log in ** By using the service, you signify your acceptance of JD Supra's Privacy Policy.* - hide - hide