Este es el séptimo artículo de una serie de 15, en donde se exponen y se explican algunas de las recomendaciones para realizar una consulta de listas efectiva para el proceso de debida diligencia. En esta ocasión, Infolaft le expone la importancia de disponer de herramientas para la consulta de listas y de que dichas herramientas cumplan con las características requeridas por la industria.

También le puede interesar: 15 Claves para consultar listas: 6. No acceder a información ilegal

En las entregas anteriores, se ha señalado la importancia de realizar un manejo legal y respetuoso del derecho del hábeas data de la información de las listas y bases de datos para prevenir el LA/FT. Para dar cumplimiento a estos objetivos y, en la práctica, para poder realizar las debidas diligencias, las empresas obligadas deben disponer de herramientas para la consulta de listas.

En este punto, vale la pena tener en cuenta que las normas de prevención de LA/FT no siempre establecen un requisito de contar con herramientas, plataformas o software especializado para la consulta de listas. En esencia, podría interpretarse que un oficial de cumplimiento estaría en la libertad de realizar una revisión manual e individual de cada una de las listas y bases de datos que resultan relevantes para prevenir el LA/FT.

Sin embargo, esta sería una labor ardua y complicada. A modo de ejemplo, la plataforma de revisión de listas restrictivas de Infolaft actualmente incluye cerca de 300 fuentes de información y contiene alrededor de 400 mil registros. Aunque no todas estas fuentes son de obligatoria consulta, la esencia de la debida diligencia requiere de la valoración de múltiples fuentes de información para la toma de decisiones.

Igualmente, y aunque no se haga referencia específica a las listas, las normas de prevención de LA/FT contienen obligaciones de contar con ayuda tecnológica para la prevención y gestión del riesgo de LA/FT. Por ejemplo, el Capítulo X de la Circular Básica Jurídica de la Supersociedades señala que se debe disponer de las medidas tecnológicas requeridas para que el Oficial de Cumplimiento pueda desarrollar su labor. Igualmente, la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superfinanciera señala que las entidades obligadas deben contar con tecnología y sistemas que permitan garantizar la administración del riesgo de LA/FT y que sean acorde a las actividades, operaciones, riesgo y tamaño de la entidad.

En la práctica, y dependiendo precisamente del tamaño, así como de los medios y las necesidades de cada empresa, se suele optar por uno de dos caminos: 1. Desarrollar o contratar el desarrollo de herramientas adaptadas a las necesidades específicas de la organización y; 2. adquirir o licenciar herramientas o servicios de terceros.

 

Desarrollo de herramientas para uso interno

 

Algunas empresas pueden optar por realizar un desarrollo tecnológico de software específicamente adaptado a sus necesidades, a través de un equipo de desarrolladores internos o externos. Esta alternativa suele responder mejor a las necesidades de compañías de gran tamaño, como bancos y empresas multinacionales.

Sin embargo, es claro que el desarrollo de una herramienta interna reviste diversos desafíos. Además de la carga operativa y económica que implica la contratación y dirección de un equipo de desarrollo, también se requiere alimentar la plataforma con listas, bases de datos y otra información pública actualizada. En este sentido, además del desarrollo del software o plataforma, la adopción de un sistema externo requiere planear las maneras en las que se recolectará la información, ya sea a través de un equipo interno, o contratando terceros especializados.

Por otro lado, la mencionada Circular Básica Jurídica de la Superfinanciera indica que la documentación del sistema de gestión de riesgo debe contar con medidas que permitan establecer con seguridad que sólo son consultados por quienes están autorizados para ello, obligación consecuente con el principio de seguridad de la información consagrado en el artículo 4 (g) de la Ley 1581 de 2012, que señala que “[l]a información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

En este sentido, el desarrollo de un sistema de listas requiere establecer medidas de control que permitan otorgar seguridad a la información, tales como las contempladas en la Norma ISO 27001.

 

Adquisición o licenciamiento de herramientas de terceros

 

También es perfectamente válido apoyarse en un proveedor externo para la consulta de información pública, listas y bases de datos. Esta opción suele adaptarse mejor a las empresas que no se encuentran en la capacidad o simplemente prefieren evitar las cargas que implica el desarrollo de un software y la alimentación de la información.

En todo caso, es recomendable que se verifique que el proveedor de información realiza un tratamiento que sea acorde con las normas de Protección de Datos Personales y que la información que provea siga los lineamientos internos establecidos por la empresa en materia de hábeas data y seguridad de la información.

También le puede interesar: 15 Claves para consultar listas: 5. Acceder a la información