Así lo dispuso la Superintendencia de Industria y Comercio, a través de la Circular Externa 003 del 22 de agosto de 2024. Las obligaciones recaen sobre todos aquellos considerados como administradores societarios. (Fuente INFOLAFT)
La Superintendencia de Industria y Comercio
emitió un conjunto de instrucciones dirigidas a los administradores societarios
de entidades bajo su vigilancia, acerca del alcance de las obligaciones que
tienen en materia de tratamiento de datos personales.
Sin embargo, lo primero que vale la pena
preguntarse es: ¿quiénes son considerados administradores societarios?
Para dar respuesta a este interrogante debemos
remitirnos al numeral 5.1 del título I del capítulo V de la Circular Básica
Jurídica de la Superintendencia de Sociedades, la norma específica para tales
efectos.
Allí se señala que “se considera administrador
al representante legal, el liquidador, los miembros de las juntas o consejos
directivos, el factor y quienes de acuerdo con los estatutos detenten o ejerzan
funciones administrativas”.
Es decir, sobre este conjunto de personas
recaen las instrucciones recientemente formuladas por la Superintendencia de
Industria y Comercio SIC.
Principio de responsabilidad demostrada
Lo primero que señala la SIC en la Circular
Externa 003 de 2024 es que en relación con el tratamiento de datos personales
impera “el deber de responsabilidad demostrada o accountability”.
Dicho deber exige a los administradores
societarios “adoptar medidas útiles, oportunas, eficientes y demostrables para
acreditar el total y correcto cumplimiento de la regulación”.
Con base en ello, la SIC sostiene que los administradores societarios “serán corresponsables del tratamiento [de datos] cuando en conjunto con la persona jurídica determinen, respecto de unas operaciones de tratamiento específicas, los fines o los medios sobre la base de datos y/o el tratamiento de los datos”.
Estudios de impacto de privacidad
La Circular Externa 003 de 2024 exige a los
administradores societarios establecer los lineamientos corporativos para
adoptar medidas preventivas que garanticen la protección de los derechos de los
titulares de datos personales.
Para ello pueden realizar estudios de
privacidad, los cuales deberían incluir las siguientes medidas mínimas:
Una
descripción detallada de las operaciones de tratamiento de datos personales.
Una
evaluación de los riesgos específicos para los derechos y libertades de los
titulares de los datos personales (en la evaluación de riesgos se espera, por
lo menos, la identificación y clasificación de tales riesgos).
Las
medidas previstas para evitar la materialización de los riesgos, medidas de
seguridad, diseño de software, tecnologías y mecanismos que garanticen la
protección de datos personales.
Tareas y deberes adicionales
La norma precisa que los administradores
societarios deben verificar que las políticas internas garanticen el debido
tratamiento de datos personales y que dicha política sea objeto de “monitoreo y
control para garantizar su cumplimiento”.
Así mismo, la Circular Externa establece que
los administradores tienen la obligación de conocer las políticas en materia de
protección de datos personales y adoptar mecanismos internos para hacerlas
cumplir efectivamente.
Para ello, agrega la norma, pueden designar a
una persona o área que asumirá la función de protección de datos personales y
establecer canales de comunicación que permitan a dicha persona o área informar
de manera periódica a los administradores sobre la ejecución de la política.
También deben verificar que la política incluya
“un componente de gestión de riesgos que le permita a la empresa identificar
sus vulnerabilidades a tiempo y enfocar sus recursos en la mitigación de
éstos”.
Reflexiones para los oficiales de cumplimiento
A raíz de la emisión de la Circular Externa 003
de 2024, son varias las consideraciones que deberían tener en cuenta todos los
oficiales de cumplimiento que se desempeñan en empresas obligadas a prevenir el
lavado de activos.
La primera de ellas es que los procesos de
cumplimiento pueden ser objeto de auditorías y revisiones en materia de
protección de datos, con el fin de verificar que cumplan con la regulación
vigente.
Por otra parte, esta Circular Externa hace
referencia a la eventual corresponsabilidad de tratamiento de datos por parte
de los administradores cuando, en conjunto con la persona jurídica, tomen
determinaciones sobre los fines o medios de las bases de datos.
En este punto es clave hacer una precisión: las
bases de datos cuya finalidad es la prevención, detección, monitoreo y control
del lavado de activos no están completamente exceptuadas en materia de
protección de datos.
A pesar de algunas interpretaciones equivocadas
en ese sentido y que infortunadamente se han divulgado masivamente, la Corte
Constitucional ha señalado que los principios de protección de datos son
aplicables, incluso sobre tales bases de datos.
Aquí es fundamental recordar que los principios
en materia de protección de datos son: legalidad, finalidad, libertad,
veracidad o calidad, transparencia, acceso y circulación restringida, seguridad
y confidencialidad.
Por ejemplo, el principio de acceso y
circulación restringida establece que “los datos personales, salvo la
información pública, no podrán estar disponibles en Internet u otros medios de
divulgación o comunicación masiva, salvo que el acceso sea técnicamente
controlable para brindar un conocimiento restringido sólo a los titulares o
terceros autorizados conforme a la presente ley”.
Esto quiere decir que no toda la información
que se encuentra expuesta en la red o en páginas web puede considerarse
pública, y en esos casos no debería ser consultada o utilizada en procesos de
prevención del LA/FT.
De hecho, pueden existir riesgos de potenciales
violaciones a este principio si se consulta información en línea, cuyas fuentes
emisoras no hayan tenido la precaución de omitir datos con naturaleza sensible.
También es clave que los oficiales de
cumplimiento verifiquen, por ejemplo, que sus proveedores respeten y acaten las
disposiciones en materia de habeas data, toda vez que de allí se pueden
desprender riesgos que tienen el potencial de afectar a las organizaciones.
De igual forma, deben tener en cuenta que las
omisiones en esta materia pueden ya no solo acarrear investigaciones y
eventuales sanciones contra las empresas por posibles violaciones al régimen de
protección de datos, sino que también pueden tener consecuencias negativas
contra los administradores societarios (es decir, los jefes de los oficiales de
cumplimento).
Sobre este particular es determinante señalar
que la Circular Externa 003 de 2024 manifiesta que “siendo el tratamiento de
datos personales parte de la actividad de las empresas, los administradores
societarios están obligados a actuar con la diligencia de un buen hombre de
negocios velando por el estricto cumplimiento de las disposiciones legales y
reglamentarias”.
En conclusión, un buen gestor de riesgos de
LA/FT no debería descuidar la protección de datos personales en sus procesos de
prevención y cumplimiento.