Cobranza sí, chepitos digitales no: la apuesta regulatoria de la SIC
La Superintendencia de Industria y Comercio (SIC) abrió a consultas el borrador de la Circular Fintech 2025. Allí establece las obligaciones en materia de protección de datos para quienes, sin estar bajo la vigilancia de la Superfinanciera, prestan servicios financieros a través de plataformas tecnológicas. En palabras simples: pone freno a un abuso cotidiano contra miles de personas y al que podríamos llamar el “chepito digital”.
El término Fintech –de financial technology– se refiere a quienes ofrecen servicios financieros mediante aplicaciones u otras tecnologías. Al no estar sujetas a las reglas del sistema financiero tradicional, han crecido rápidamente, no sin preocupaciones regulatorias.
En 2023, la SIC ya había emitido una circular (la Externa 002 de octubre 10) para sancionar prácticas como el cobro de intereses ilegales, la imposición de cláusulas abusivas y el uso indebido de datos personales para cobrar junto con disposiciones sobre la difusión de información crediticia a contactos del titular.
Para entender mejor, recordemos a “los chepitos” de antaño: personajes contratados por prestamistas para cobrar deudas mediante la humillación pública. Vestían con frac y maletín en el que se leía “COBRANZAS” o “DEUDOR MOROSO” y visitaban a quien tenía la deuda para avergonzarle. Con el tiempo, los jueces y la legislación los prohibieron por violar derechos fundamentales como la honra y el buen nombre.
En la era digital, el personaje físico no existe, pero el problema es similar. Los conocidos y muy colombianos “gota a gota”, prestamistas ahora digitalizados, han ajustado esas tácticas. Con acceso a contactos y archivos del celular, sus aplicaciones envían mensajes intimidatorios no solo al deudor, sino también a sus familiares, compañeros de trabajo y conocidos. En algunos casos difunden imágenes y videos comprometedores o incluso manipulados para avergonzarles públicamente.
Esto no pasa solo acá. En India, las instant loan apps han sido denunciadas por acoso digital y extorsión. En respuesta, el Banco de la Reserva emitió directrices prohibiendo el acceso a contactos e imágenes sin el consentimiento explícito de la persona y exigiendo respeto a la dignidad humana. En 2024, el gobierno indio propuso incluso penas de hasta 7 años por estas prácticas.
En Brasil, el Banco Central, bajo el marco de la Ley General de Protección de Datos, recordó que el uso de información personal para cobranza debe tener base legal clara. Contactar a terceros sin consentimiento puede constituir una infracción sancionable y dar lugar a demandas por daños morales.
La nueva circular en esto va más allá de la del 2023, es más comprensiva que lo que hay en otros países y representa un avance necesario en la defensa de la privacidad y la dignidad de las personas que acceden a este tipo de préstamos.
La Circular prohíbe solicitar permisos innecesarios para acceder a contactos o imágenes, y prohíbe contactar a personas ajenas al deudor. Las fintech deberán informar de forma clara qué datos recolectan y con qué fin. Exige también la implementación de medidas técnicas y administrativas para evitar filtraciones y garantizar el ejercicio de derechos como la rectificación o supresión de datos. Además obliga a garantizar la trazabilidad del flujo de los datos, identificando quién accede a ellos, con qué propósito y cuándo, para responder ante investigaciones o auditorías.
El chepito digital no es una práctica generalizada entre las fintech, está asociada especialmente al gota a gota. Aún así la circular le pega al sector porque aborda al menos dos desafíos que sí son generales y claves para proteger a las personas usuarias de fintech. El primero es recordar las obligaciones de minimización en la recolección de datos y el tratamiento especial que requieren los datos sensibles, especialmente biométricos, sobre todo de reconocimiento facial. El segundo es que deben diferenciar entre autorizaciones obligatorias y accesorias, porque podemos negarnos a dar permisos que no son esenciales en la prestación del servicio sin perder acceso al mismo. Esto es especialmente importante a medida que se desarrolla el ecosistema de finanzas abiertas (como el Bre-B que está de moda), hablaré de esto otro día.
Ahora bien, hay al menos tres elementos para mejorar en la circular de la SIC: Se necesita una estrategia pedagógica para que las personas realmente ejerzan sus derechos; falta recordarle a las fintech su obligación de reportar las brechas de seguridad; y no desarrolla la de notificar a posibles víctimas en caso de incidentes, pese a que la propia entidad la promueve.
Finalmente, el reto de la circular misma será su implementación efectiva y la vigilancia de una práctica que migró de la intimidación física a la extorsión digital. Sin mecanismos de control y sanción eficaces, el chepito digital seguirá actuando con impunidad, vulnerando la ley en cada mensaje intimidatorio, mientras afecta gravemente a personas con nombre y apellido y erosiona la confianza en la tecnología como una aliada.
Cabrera, C. B. (2025, 19 julio). Cobranza sí, chepitos digitales no: la apuesta regulatoria de la SIC. ELESPECTADOR.COM. https://www.elespectador.com/opinion/columnistas/carolina-botero-cabrera/cobranza-si-chepitos-digitales-no-la-apuesta-regulatoria-de-la-sic/
