Responsables societarios y sus deberes de habeas data. Imagen Freepik
Así lo dispuso la Superintendencia de Industria y Comercio, a través de la Circular Externa 003 del 22 de agosto de 2024. Las obligaciones recaen sobre todos aquellos considerados como administradores societarios.
La Superintendencia de Industria y Comercio emitió un conjunto de instrucciones dirigidas a los administradores societarios de entidades bajo su vigilancia, acerca del alcance de las obligaciones que tienen en materia de tratamiento de datos personales.
Sin embargo, lo primero que vale la pena preguntarse es: ¿quiénes son considerados administradores societarios?
Para dar respuesta a este interrogante debemos remitirnos al numeral 5.1 del título I del capítulo V de la Circular Básica Jurídica de la Superintendencia de Sociedades, la norma específica para tales efectos.
Allí se señala que “se considera administrador al representante legal, el liquidador, los miembros de las juntas o consejos directivos, el factor y quienes de acuerdo con los estatutos detenten o ejerzan funciones administrativas”.
Es decir, sobre este conjunto de personas recaen las instrucciones recientemente formuladas por la Superintendencia de Industria y Comercio SIC.
Principio de responsabilidad demostrada
Lo primero que señala la SIC en la Circular Externa 003 de 2024 es que en relación con el tratamiento de datos personales impera “el deber de responsabilidad demostrada o accountability”.
Dicho deber exige a los administradores societarios “adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación”.
Con base en ello, la SIC sostiene que los administradores societarios “serán corresponsables del tratamiento [de datos] cuando en conjunto con la persona jurídica determinen, respecto de unas operaciones de tratamiento específicas, los fines o los medios sobre la base de datos y/o el tratamiento de los datos”.
Estudios de impacto de privacidad
La Circular Externa 003 de 2024 exige a los administradores societarios establecer los lineamientos corporativos para adoptar medidas preventivas que garanticen la protección de los derechos de los titulares de datos personales.
Para ello pueden realizar estudios de privacidad, los cuales deberían incluir las siguientes medidas mínimas:
- Una descripción detallada de las operaciones de tratamiento de datos personales.
- Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales (en la evaluación de riesgos se espera, por lo menos, la identificación y clasificación de tales riesgos).
- Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales.
Tareas y deberes adicionales
La norma precisa que los administradores societarios deben verificar que las políticas internas garanticen el debido tratamiento de datos personales y que dicha política sea objeto de “monitoreo y control para garantizar su cumplimiento”.
Así mismo, la Circular Externa establece que los administradores tienen la obligación de conocer las políticas en materia de protección de datos personales y adoptar mecanismos internos para hacerlas cumplir efectivamente.
Para ello, agrega la norma, pueden designar a una persona o área que asumirá la función de protección de datos personales y establecer canales de comunicación que permitan a dicha persona o área informar de manera periódica a los administradores sobre la ejecución de la política.
También deben verificar que la política incluya “un componente de gestión de riesgos que le permita a la empresa identificar sus vulnerabilidades a tiempo y enfocar sus recursos en la mitigación de éstos”.
Reflexiones para los oficiales de cumplimiento
A raíz de la emisión de la Circular Externa 003 de 2024, son varias las consideraciones que deberían tener en cuenta todos los oficiales de cumplimiento que se desempeñan en empresas obligadas a prevenir el lavado de activos.
La primera de ellas es que los procesos de cumplimiento pueden ser objeto de auditorías y revisiones en materia de protección de datos, con el fin de verificar que cumplan con la regulación vigente.
Por otra parte, esta Circular Externa hace referencia a la eventual corresponsabilidad de tratamiento de datos por parte de los administradores cuando, en conjunto con la persona jurídica, tomen determinaciones sobre los fines o medios de las bases de datos.
En este punto es clave hacer una precisión: las bases de datos cuya finalidad es la prevención, detección, monitoreo y control del lavado de activos no están completamente exceptuadas en materia de protección de datos.
A pesar de algunas interpretaciones equivocadas en ese sentido y que infortunadamente se han divulgado masivamente, la Corte Constitucional ha señalado que los principios de protección de datos son aplicables, incluso sobre tales bases de datos.
Aquí es fundamental recordar que los principios en materia de protección de datos son: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Por ejemplo, el principio de acceso y circulación restringida establece que “los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley”.
Esto quiere decir que no toda la información que se encuentra expuesta en la red o en páginas web puede considerarse pública, y en esos casos no debería ser consultada o utilizada en procesos de prevención del LA/FT.
De hecho, pueden existir riesgos de potenciales violaciones a este principio si se consulta información en línea, cuyas fuentes emisoras no hayan tenido la precaución de omitir datos con naturaleza sensible.
También es clave que los oficiales de cumplimiento verifiquen, por ejemplo, que sus proveedores respeten y acaten las disposiciones en materia de habeas data, toda vez que de allí se pueden desprender riesgos que tienen el potencial de afectar a las organizaciones.
De igual forma, deben tener en cuenta que las omisiones en esta materia pueden ya no solo acarrear investigaciones y eventuales sanciones contra las empresas por posibles violaciones al régimen de protección de datos, sino que también pueden tener consecuencias negativas contra los administradores societarios (es decir, los jefes de los oficiales de cumplimento).
Sobre este particular es determinante señalar que la Circular Externa 003 de 2024 manifiesta que “siendo el tratamiento de datos personales parte de la actividad de las empresas, los administradores societarios están obligados a actuar con la diligencia de un buen hombre de negocios velando por el estricto cumplimiento de las disposiciones legales y reglamentarias”.
En conclusión, un buen gestor de riesgos de LA/FT no debería descuidar la protección de datos personales en sus procesos de prevención y cumplimiento.
