LOS SISTEMAS DE CUMPLIMIENTO
Los sistemas de cumplimiento determinan las actuaciones empresariales necesarias para que todos los interesados participen, colaboren y ejecuten acciones con el objeto de prevenir la concreción de los riesgos relacionados con: i) la prevención del soborno y la corrupción; ii) la prevención del lavado de activos y la financiación del terrorismo y; iii) la preservación la privacidad y la protección de los datos personales.
En el marco de las actuaciones orientadas a prevenir el lavado de activos y la financiación del terrorismo encontramos, la implementación preventiva de consultas a diferentes listas que permiten establecer el comportamiento a seguir dentro de la organización frente a un proveedor, cliente, colaborador o asociado.
De esta manera existen las llamadas listas restrictivasen las que encontramos personas naturales y jurídicas, nacionales y extranjeras frente a las cuales debemos abstenernos de concretar o mantener actividades comerciales por tratarse de personas o empresas incorporadas en los listados como consecuencia de la realización de actividades relacionadas con lavado de activos y financiación del terrorismo o por tener condenas o investigaciones abiertas en esta materia. Por otro lado, se tienen las llamadas listas sancionatoriasen las que encontramos personas naturales que han incurrido en conductas penales o disciplinarias; quienes allí aparecen no pueden ser nombrados ni posesionados en cargos públicos ni celebrar contratos con el Estado ya que cometieron conductas que generan inhabilidad temporal o definitiva para el ejercicio de funciones públicas y para celebrar contratos con entidades del Estado.
CONSULTA, CONFORMACIÓN Y ADMINISTRACIÓN DE LISTAS RESTRICTIVAS
Con base en los establecido en el artículo 7 del Decreto 1023 de 2012, la Circular Básica de la Superintendencia de Sociedades establece que las empresas supervisadas por esta entidad deberán poner en marcha una política de prevención y gestión del riesgo de lavado de activos y financiación del terrorismo, poniendo en práctica procedimientos de debida diligencia que permitan el adecuado conocimiento de los clientes, proveedores, colaboradores y demás contrapartes. Con la información recolectada se debe construir una base de datos que permita consolidar e identificar alertas presentes o futuras y que permita probar las acciones de “debida diligencia” so pena de la imposición de las sanciones administrativas que correspondan de conformidad con lo establecido en el numeral 3 del artículo 86 de la Ley 222 de 1995.
En lo relacionado con la protección de datos personales consideramos que la consulta, conformación y administración de listas restrictivas por cuenta de un “responsable” se ampara en el artículo 2º de la ley 1581 de 2012 que establece lo siguiente:
“ARTÍCULO 2o. ÁMBITO DE APLICACIÓN. (…) El régimen de protección de datos personales que se establece en la presente ley no será de aplicación: (…) b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”.
Sin embargo, por lo establecido en el parágrafo de la norma, también consideramos que la conformación y administración de la base de datos esta sujeta a la totalidad de los principios sobre los cuales se sustenta el desarrollo legislativo del derecho al habeas data:
“PARÁGRAFO. Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el evento que la normatividad especial que regule las bases de datos exceptuadas prevea principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de manera concurrente a los previstos en la presente ley”.
CONFORMACIÓN, ADMINISTRACIÓN Y CONSULTA DE LISTAS SANCIONATORIAS
Mediante Sentencia SU 458 de 2012, expedida por la Corte Constitucional, con Magistrado Ponente, Dra. Adriana María Guillén Arango, se dijo lo siguiente:
“De la normatividad vigente en materia de administración de bases de datos personales sobre antecedentes penales, confirmada por los informes solicitados por la Corte, se desprende que no solamente el DAS, ahora Ministerio de Defensa-Policía Nacional-, sino también la Procuraduría General de la República, la Registraduría Nacional, la Fiscalía General, y la Unidad Administrativa Especial Migración Colombia tienen bajo su competencia la administración de bases de datos sobre antecedentes penales”. (Subrayado y negrita fuera de texto)
(…)
“…la Corte es enfática en indicar que el carácter público del soporte (providencias judiciales en materia penal) o el carácter público de la base de datos (registros sobre las vicisitudes jurídicas de los bienes inmuebles) no puede tornar la información personal en información que se pueda administrar en una base de datos sin estar sometida a los principios de finalidad, utilidad y caducidad”.
(…)
“El carácter público de las sentencias no inhibe la fuerza normativa de las reglas y principios que ordenan jurídicamente el tratamiento de información personal contenida en bases de datos. Por tanto, la Corte afirma que la publicidad indiscriminada de los antecedentes penales no se puede defender bajo la idea de la publicidad de los soportes.”
La Corte aclaró que los datos contenidos en estas listas se revisten de un tratamiento especialmente protector por que se trata de datos personales negativos, así, la Corte explicó que el acceso al dato negativo debe estar directamente relacionado al uso legítimo, legal y constitucional de la información y entiende como acceso con estas características aquel que esté orientado a “determinar la existencia de inhabilidades para proteger la moralidad administrativa y el correcto ejercicio de la función pública”, aquel uso que conlleve “la correcta aplicación de la normatividad penal”; el que lleva a cumplir un fin preciso de “inteligencia o contrainteligencia del que dependa la seguridad nacional o facilite la cumplida ejecución de la ley”.
De acuerdo con lo expuesto anteriormente, consideramos que el acceso a este tipo de bases de datos debe cumplir con el principio de finalidad, entendiendo que las consultas que realicen los particulares, deben ser realizadas en el marco de la determinación de la existencia de inhabilidades y la protección de la moralidad administrativa, esto es, la detección de antecedentes relacionados con delitos conexos que lleven a la prevención de actos de corrupción,;el acceso a los datos que cumpla con estas características puede darse por cualquier particular dada la naturaleza pública de la base de datos.
CONSULTA DE DATOS POR MEDIOS ELECTRÓNICOS, PRINCIPIOS DE ACCESO Y CIRCULACIÓN RESTRINGIDA
De acuerdo con lo establecido por el principio de acceso y circulación restringida establecido en la Ley 1581 de 2012, la información personal que esté disponible al público por cualquier medio debe estar controlada de tal manera que su acceso solo esté dispuesto a los titulares o personas autorizadas por aquellos para la consulta de sus datos.
Uso de medios tecnológicos para la consulta de datos en ejecución de sistemas de cumplimiento
En este momento histórico en el que las empresas están viviendo el auge de la transformación digital y la apropiación de nuevas tecnologías, es importante someter a estudio los nuevos modelos de negocio en los que se soportará la operación para verificar la legalidad de su ejecución frente a las normas jurídicas vigentes, en este caso, las normas sobre protección de datos personales.
Para determinar si el uso de una tecnología cuya funcionalidad apoya la consulta de datos contenidos en bases de datos públicas, resulta violatoria de la normatividad de datos personales – Ley 1581 de 2012-, en nuestra opinión, se deben someter a evaluación: i) las funciones específicas que cumplen los sistemas de información; ii) la forma en la que se recogen datos; iii) el tipo de datos que recogen; iv) la finalidad con la cual los recogen y; v) el uso y vigencia que se dispone frente a los mismos. No todos los usos de la tecnología con estos fines resultan por fuera de la legalidad.
Uso de técnicas de “web scraping”
En caso de utilizar técnicas de web scraping para la implementación de sistemas de cumplimiento, en su fase de consulta de información sobre listas sancionatorias, se estaría en un escenario complejo desde el punto de vista legal ya que, en lo que se refiere a bases de datos públicas con datos personales de contenido negativo, se estarían recolectando o “raspando” DE MANERA MASIVA datos personales de especial tratamiento, para su posterior clasificación y tratamiento.
Es claro y debe quedar claro que la afirmación anterior hace referencia a que la técnica de scrap no es utilizada para la obtención de un dato, sino de varios, su escala es masiva y en ese sentido, a la luz de la normatividad vigente sobre protección de datos personales – Ley 1581 de 2012-, sería violatoria del derecho de habeas data de los titulares de los datos que figuran en la base.
En este caso, la violación no vendría dada por la falta de autorización para la recolección y tratamiento del dato, ya que se trata de bases de datos de naturaleza pública, sino que como lo explicó la Corte Constitucional, la violación estaría dada por la falta de cumplimiento de la totalidad de los principios consagrados en la ley y por el tratamiento y conservación de datos de tipo negativo sin finalidad legítima.
Uso de otras técnicas
La utilización de otras técnicas de consulta que permitan automatizar la búsqueda de la información bajo el cumplimiento de todos los principios señalados en la Ley 1581 de 2012, es decir: i) técnicas que hagan una aprehensión material única y exclusiva del dato requerido, sobre titular conocido y preferiblemente bajo autorización expresa del titular del dato; ii) técnicas en las que la aprehensión se haga sobre data estructurada sin “omisión” de las seguridades propias del sistema, impuestas para la realización de la consulta; iii) técnicas en las que se proceda solo al almacenamiento de los datos exigidos por la normatividad para probar diligencia, verificando la actualización continua de la información, no deben ser restringidas por la normatividad.
Si se verifica que la técnica “automatizada” de recolección de información no viola la Ley 1581 de 2012 y ninguno de sus principios, las entidades públicas no pudieran prohibir su uso ya que este tipo de prohibición pudiera enfrentarse al análisis jurídico sobre violación de la normatividad establecida en la ley estatutaria 1712 de 2014 – por tratarse de bases de datos de naturaleza pública-, y el principio de neutralidad tecnológica, a la luz de la libertad de empresa.
Para concluir, el uso de la tecnología no se debe restringir sin analizar a fondo los usos, utilidad y legalidad de las técnicas utilizadas para la recolección de los datos ya que si se procede de esta manera se corre el peligro de invadir la órbita de actuación legítima de la libertad de empresa, autonomía privada y la misma innovación.
Si tiene alguna duda o inquietud en temas de emprendimiento, creación de empresas, estructuración de modelos de negocio, dudas jurídicas relacionadas o quiere una revisión jurídica en temas de tecnología, ingrese a http://www.abogadotic.co o escríbanos al correo [email protected]
Natalia Ospina Díaz
Consultora Derecho Informático y Nuevas Tecnologías
www.abogadotic.com
LAS OPINIONES COMPARTIDAS Y EXPRESADAS POR LOS PERIODISTAS Y CONTRIBUYENTES DE ESTE BLOG SON LIBRES E INDEPENDIENTES Y DE ELLAS SON RESPONSABLES SUS PROPIOS AUTORES. NO REFLEJAN NI COMPROMETEN LA RESPONSABILIDAD, LA OPINIÓN DE GRUPO D&P SAS, Y TAMPOCO CONSTITUYEN ASESORÍA O CONSULTORÍA LEGAL, POR LO CUAL NO PUEDEN SER INTERPRETADAS COMO RECOMENDACIONES EMITIDAS POR GRUPO D&P SAS.