Sujetos obligados a prevenir LA/FT necesitan claridad en las consultas en listas. Imagen Freepik
Varios pronunciamientos realizados por la Superintendencia de Industria y Comercio de Colombia, a través de la reciente ratificación de una sanción contra una empresa proveedora de listas, han generado un escenario de incertidumbre jurídica para toda clase de sujetos obligados a prevenir el LA/FT.
La Resolución 39701 de 2025, por medio de la cual la SIC acaba de ratificar una millonaria multa de $190 millones en contra de una empresa proveedora de listas, tiene pensando a muchos oficiales de cumplimiento.
Todo por cuenta de las diversas interpretaciones que la Superintendencia –que ejercer como autoridad nacional de protección de datos– ha realizado sobre la posibilidad o no de usar y crear bases de datos para prevenir el lavado de activos y la financiación del terrorismo.
En esta entrevista, Alberto Lozano, CEO de Infolaft, expone sus preocupaciones en relación con el posible impacto de esta nueva jurisprudencia.
Infolaft:
¿Por qué considera que la sanción de la SIC en contra de un proveedor de listas, ratificada en agosto de 2025, es una amenaza para el sistema antilavado?
Alberto Lozano:
Antes de entrar en materia quiero fijar mi posición sobre el tema: los profesionales de cumplimiento necesitan tener herramientas e información para hacer su trabajo sin correr riesgos, y ojalá no estuviéramos en esta discusión.
Sin embargo, hay un riesgo identificado y ante esa realidad, no podemos mirar hacia otro lado. Tenemos que actuar, tenemos que hacer algo.
Lo peor de todo es que esto no es nuevo. Viene de mucho tiempo atrás. De hecho, desde hace varios años en Infolaft estamos pidiendo que exista claridad jurídica en relación con el acceso a ciertas listas y bases de datos para prevenir el LA/FT.
Las campañas masivas que hemos impulsado en el portal Change para tener acceso a los procesos de Rama Judicial es solo un ejemplo.
Ahora procedo a responder la pregunta. En principio, podríamos pensar que la sanción solo afecta a una empresa proveedora de listas y a un producto que no tiene mucho que ver con el SARLAFT o el SAGRILAFT de la mayoría de las entidades.
El problema acá es la interpretación de ciertas afirmaciones de la SIC o su aplicación fuera de contexto, las cuales pueden generar riesgos. ¿Qué tal que las empresas en Colombia no puedan tener bases de datos para prevenir el LAFT?
La empresa de listas que fue sancionada –así como muchas otras que usan aplicativos tecnológicos para realizar consultas automatizadas en páginas como Rama Judicial, Policía o Procuraduría– aseguraba que podía hacerlo con base en las disposiciones del literal B del artículo 2° de la Ley 1581 de 2012 (Ley de habeas data).
Ese literal B sostiene que el régimen de protección de datos personales “no será de aplicación a las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”.
Pues bien, en la sanción emitida por la SIC, ese argumento fue completamente desechado.
La SIC analizó la “diversidad de la información personal” que esa empresa sancionada obtenía de diversas fuentes –entre ellas Policía, Procuraduría y Contraloría, así como el listado de transportadores que sus propios clientes alimentaban– y concluyó que “no guarda, en términos generales, una relación necesaria, directa y puntual con la declarada finalidad de prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”.
Con base en su análisis, la SIC determinó que, lejos de encontrarse excluido del ámbito de aplicación de la Ley de habeas data, el tratamiento de datos personales realizado por la empresa proveedora de listas va más allá de las estrictas y precisas finalidades de prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo y, “por tanto, le es plenamente aplicable la Ley 1581 de 2012”.
Además, a raíz de este caso, la SIC fue mucho más allá y en un comunicado de prensa –que tuvo un gran despliegue a nivel nacional– aseguró que “los sujetos privados no están facultados, en principio, para crear bases de datos con dicha finalidad [de prevenir el LA/FT], y menos sin el cumplimiento de las garantías que la legislación colombiana otorga a los titulares de los datos personales”.
La situación es realmente complicada.
Infolaft:
A través de la Cartilla: debida diligencia para mitigar riesgos LA/FT/FP, la UIAF recomienda la consulta de fuentes como Rama Judicial, Policía, Procuraduría y Contraloría. Justamente esas fueron las fuentes mencionadas por la SIC en su análisis. ¿En qué escenario quedamos?, ¿se pueden o no consultar?
Alberto Lozano:
Con la publicación de esa cartilla, la UIAF le hizo un gran aporte al sistema de prevención del LA/FT de Colombia al hacer claridad sobre las bases de datos que los sujetos obligados deberían consultar.
El problema es que algunas de esas instituciones que emiten la información (por ejemplo, Rama Judicial y Policía Nacional) prohíben expresamente el uso y consulta.
En el caso de Rama Judicial, ellos han incluido una restricción en sus políticas de privacidad y condiciones de uso, según la cual, “no se puede ejecutar consultas automatizadas o la utilización de robots informáticos hacia dicho aplicativo”. Esto quiere decir que solamente son válidas y aceptadas las consultas manuales, hechas a mano por seres humanos.
Tan es así que la SIC ya castigó a una sociedad que decidió no respetar esas políticas de privacidad y condiciones de uso. Eso puede ser consultado en la Resolución 63771 de 2022 y la Resolución 417 de 2023.
Mientras que, para el caso de la consulta de antecedentes, la Policía Nacional aclara en sus términos de uso que “se prohíbe expresamente a cualquier persona natural o jurídica, diferente del titular de los datos, la utilización de la información personal contenida en este sitio web”.
Incluso, precisa que “cualquier uso para una finalidad diferente, como la obtención de un beneficio económico o la consulta de información personal de un tercero, será considerado irregular y estará sujeto al inicio de las acciones legales pertinentes”.
Tal y como lo mencioné anteriormente, esto no es nuevo. Nosotros en Infolaft llevamos desde el año 2017 advirtiendo de esta complicada situación a los sujetos obligados a prevenir el LA/FT.
Hemos elevado múltiples consultas y enviado numerosos derechos de petición a las autoridades competentes, y también hemos contratado conceptos jurídicos con verdaderos expertos en protección de datos personales.
Infortunadamente para los oficiales de cumplimiento y para el sistema antilavado de activos en general, la conclusión es que en este momento hay fuentes que no se pueden consultar (antecedentes de Policía Nacional) y otras fuentes solo se pueden consultar manualmente y sin apoyo de aplicativos tecnológicos (Rama Judicial, Procuraduría, entre otras). Esta sanción lo demuestra.
Infolaft:
Volvamos a las acciones positivas: en 2024 usted lideró una masiva campaña para pedir a Rama Judicial que permita la consulta automatizada dentro del portal de procesos jurídicos. ¿Eso en qué quedó?
Alberto Lozano:
Esa campaña tuvo una amplia difusión. Alrededor de 1350 profesionales de gestión de riesgos LA/FT de todo el país nos apoyaron con su firma.
Inicialmente, desde la Rama Judicial nos prometieron unas mesas de trabajo conjuntas para analizar la situación. Sin embargo y a pesar de múltiples peticiones, han pasado varios meses y la Rama Judicial no ha confirmado fecha y hora para el agendamiento.
Lograr esas mesas de trabajo se convirtió en una prioridad, ahora más que nunca, debido a que esta sanción de la SIC genera un riesgo enorme para todos aquellos que usen técnicas como el web scraping, robots y otros desarrollos tecnológicos para consultar las fuentes.
Ojalá la Rama Judicial nos defina pronto. Ese es un espacio muy importante para que los sujetos obligados y demás actores del ecosistema de prevención del LA/FT podamos exponer nuestra posición y necesidades a la autoridad judicial.
Después de todo, somos aliados en el objetivo común de proteger la economía nacional y preservarla de la penetración de actores y recursos ilícitos.
Infolaft:
En días recientes hemos visto algunas publicaciones suyas en las que promueve una nueva campaña en el portal Change. ¿Cuál es el objetivo esta vez?
Alberto Lozano:
Esta nueva campaña fue lanzada el pasado 8 de agosto de 2025 y ya hemos logrado las firmas de más de 350 profesionales de gestión de riesgos de LA/FT de toda Colombia.
El objetivo es que la SIC haga precisiones en relación con los fuertes pronunciamientos que realizó en su comunicado de prensa, particularmente cuando dijo que los particulares no pueden generar bases de datos para prevenir el LA/FT.
Además, también buscamos que nos respondan cinco preguntas de manera muy concreta.
Infolaft:
¿Cuáles son esas preguntas?
Alberto Lozano:
Teniendo en cuenta que el SARLAFT y el SAGRILAFT se sustentan en bases de datos y listas de control, PEP, operaciones inusuales y debidas diligencias, las cuales evidentemente contienen datos personales, es necesario precisar el alcance de las expresiones con carácter general de esta sanción.
Los oficiales y profesionales de cumplimiento requieren una respuesta clara sobre estos puntos:
- Teniendo en cuenta que uno de los principales propósitos del SARLAFT y el SAGRILAFT es enviar reportes de operaciones sospechosas (ROS) a la UIAF, ¿cómo podría discriminarse a una persona cumpliendo esta obligación legal?
- Varias autoridades han recomendado o exigido la consulta de fuentes públicas de información, pero los administradores de las mismas restringen su uso. ¿Quién dirime este conflicto?
- Las nuevas tecnologías de automatización e inteligencia artificial permiten la consulta de fuentes públicas de información de forma más segura y efectiva. ¿Cómo evitar que esta sanción frene la innovación en la lucha contra el crimen?
- ¿Se pueden subcontratar con empresas especializadas los procesos de verificación de listas y realización de debidas diligencias, para lograr economías de escala y especialización?
- Ante situaciones con personas sancionadas o buscadas por la justicia (por ejemplo, lista Clinton o boletines de Policía Nacional), ¿es necesario contactar al titular de la información y solicitar expresa autorización para el tratamiento de sus datos?
Infolaft:
¿Podría explicar mejor algunas de esas preguntas?
Alberto Lozano:
Claro, y me quiero enfocar en el que, posiblemente, sea el aspecto más importante: muchos oficiales de cumplimiento creen que solo los proveedores de listas e información son los encargados de producir bases de datos para prevenir el LA/FT, pero eso no es cierto.
De hecho, la gran mayoría de entidades financieras y empresas producen y gestionan sus propias bases de datos para, por ejemplo, segmentar a sus clientes y productos de mayor riesgo. También tienen bases de datos de operaciones inusuales analizadas y de operaciones sospechosas reportadas, tienen bases de datos de sus propias contrapartes y les adicionan información que van encontrando.
Según esta sanción y el comunicado de prensa de la SIC, los oficiales de cumplimiento no podrían seguir con esta clase de procesos porque “(…) este tipo de bases de datos son y deben ser creadas y sostenidas por el Estado colombiano en cumplimiento de compromisos internacionales relacionados, precisamente, con las medidas de prevención del lavado de activos y del terrorismo”.
Infolaft:
¿Algún mensaje final para los profesionales de gestión de riesgos de LA/FT y para el conjunto de sujetos obligados?
Alberto Lozano:
Varios mensajes. El primero, es que la SIC desechó el argumento –usado por muchos– de que el literal B del artículo 2° de la Ley 1581 de 2012 exceptuaba a los particulares de aplicar el régimen de datos personales sobre las bases de datos usadas para la prevención, monitoreo y control del LA/FT.
Un segundo mensaje es que, con base en lo esgrimido por la SIC en la sanción y en el comunicado de prensa, los profesionales de cumplimiento están expuestos a un alto riesgo de sanciones.
Finalmente, mi tercer mensaje es que debemos pedir, de forma conjunta y unánime, respuestas y claridades por parte de la SIC, de las superintendencias que imponen obligaciones de prevención del LA/FT y de las fuentes emisoras de información (Rama Judicial, Policía, Procuraduría, entre otras).
No puede ser posible que, por un lado, diversas superintendencias obliguen al sector privado a apoyar la lucha contra el lavado de activos y la financiación del terrorismo. Pero se generen restricciones, castigos y sanciones cuando se pretende consultar la información.
