Sinergias entre el oficial de cumplimiento y el oficial de protección de datos personales

En el contexto actual, marcado por el uso masivo de datos para la economía digital, la innovación y la tecnología, las autoridades están adoptando posturas más estrictas en materia de transparencia, ética en el uso de la información y responsabilidad empresarial respecto de los derechos digitales y humanos, lo que exige buscar caminos efectivos para garantizar el cumplimiento normativo y de principios

Por: Cielo Ángela Peña*

Trabajar con enfoque en sinergias implica actuar de manera conjunta para lograr resultados superiores a los alcanzados individualmente, aprovechando fortalezas y maximizando recursos.

Este enfoque debe incorporarse en la gestión diaria de las organizaciones, en especial respecto al rol del compliance officer, el oficial de cumplimiento (OC) y el oficial de protección de datos personales (OPDP), protagonistas en un escenario cada vez más complejo de compliance corporativo en general, y en particular en los sistemas de cumplimiento en prevención de LA/FT y en el accountability en materia de PDP.

Si bien las funciones del OC y del OPDP están delimitadas por objetivos distintos, se trata de roles complementarios que convergen en aspectos que exigen un trabajo armónico: gestión de riesgos, cultura de cumplimiento y ética, canales de reporte y denuncias, protocolos de confidencialidad, programas de capacitación y gobernanza de la información.

Este último aspecto cobra especial importancia al considerar los datos personales como insumo crítico en la prevención de delitos, lavado de activos y fraude.

Para materializar estas sinergias son útiles mecanismos como: comités conjuntos de cumplimiento y protección de datos, matrices de riesgo integradas (corrupción, LA/FT, privacidad y ciberseguridad), protocolos de comunicación internos, capacitaciones conjuntas, uso compartido de tecnología y reportes integrados a la alta dirección, garantizando decisiones informadas y con visión integral.

Un punto de especial atención para el aprovechamiento de sinergias es el enfoque basado en riesgo, común a las recomendaciones del GAFI en LA/FT, y lineamientos de la OCDE y RGPD en PDP, como base fundamental de las tareas del OC y el OPDP.

Aunque en el ámbito de LA/FT la administración del riesgo es ampliamente reconocida, en PDP resulta igualmente esencial, pese a que no siempre recibe la misma atención. En efecto, el sistema de administración de riesgos (SAR) es la herramienta que permite la aplicación práctica del derecho a la privacidad y PDP.

Las regulaciones de PDP no fijan metodologías rígidas para gestionar riesgos; deja a los responsables la libertad de integrar esta gestión en sus procesos de gobernanza y control interno.

De aquí surgen dos ideas clave: (i) la administración del riesgo debe asumirse de manera armónica y sistémica dentro de la organización; y (ii) en PDP, el foco está en los riesgos que afectan derechos y libertades de los titulares, no en la organización o un sector específico, aunque su vulneración puede derivar en consecuencias graves para aquella.

Así, una visión integral y trabajo conjunto en materia de riesgos genera eficiencia, economía y mejores resultados.

Llamo la atención sobre la importancia y necesidad de esa visión y trabajo integral del riesgo, a partir de algunos ejemplos de factores y nivel de riesgo preestablecidos explícitamente en la normativa del RGPD, que constituyen mínimos para cualquier organización que trate datos personales, particularmente en actividades financieras y de prevención de LA/FT.

Entre los de muy alto riesgo destacan datos personales relativos a condenas e infracciones penales, decidir sobre o impedir el ejercicio de derechos fundamentales (igualdad, no discriminación, etc.), decidir sobre el control del interesado sobre sus datos personales, decidir sobre el acceso a un servicio.

Mientras que dentro de los de alto riesgo: acceso a bases de datos sobre blanqueo de capitales o financiación de terrorismo, evaluación de sujetos (valoración), decisiones automatizadas sin intervención humana, datos de medios de pago, datos biométricos, cruces de bases de datos, uso innovador de tecnologías consolidadas.

A su vez, entre los de riesgo medio se destacan el acceso a bases de datos de referencia de crédito, datos sobre situación económica y estado financiero y acceso a base de datos sobre fraudes.

Es evidente la existencia de puntos comunes y de cruce en la gestión del riesgo en los sistemas de cumplimiento en prevención de LA/FT y el accountability en PDP.

Por otra parte, en el contexto actual, marcado por el uso masivo de datos para la economía digital, la innovación y la tecnología, las autoridades están adoptando posturas más estrictas en materia de transparencia, ética en el uso de la información y responsabilidad empresarial respecto de los derechos digitales y humanos, lo que exige buscar caminos efectivos para garantizar el cumplimiento normativo y de principios.

En Colombia, se avanza en la actualización normativa mediante proyectos de ley, la autoridad de PDP ha expedido la Circular 002 de 2024 (tratamiento de datos en IA), Circular 003 de 2024 (corresponsabilidad de administradores) y la Resolución 56579 de 2025 (verificación de identidad).

Así mismo ha impuesto sanciones no solo de contenido pecuniario, sino de suspensión de actividades en casos de tratamiento de datos en asuntos relacionados con actividades de prevención de LA/FT. Todo lo cual, y al margen del acuerdo o desacuerdo con las mismas, evidencia la disposición de un control más riguroso y con énfasis en tratamientos tecnológicos que pueden resultar intrusivos, sesgados o lesivos para los derechos de los titulares.

Otro aspecto a tener en cuenta: en algunos casos el OC puede asumir o se le puede asignar el rol de OPDP. Tal acumulación exige competencias interdisciplinarias propias del OPDP: (i) conocimiento normativo en PDP a nivel local e internacional, (ii) experiencia en sistemas de administración de riesgos aplicados a datos personales y adaptados al sector pertinente (iii) conocimiento de las operaciones, áreas y dinámicas de la organización, así como del sector al que pertenezca, y (iv) capacidad de articular el sistema de gestión de PDP con otros sistemas (calidad, seguridad de la información, riesgos corporativos, entre otros).

La decisión de concentrar ambos roles enfrenta al OC a retos y riesgos que no son menores, por lo que las consideraciones no pueden ser solo de tipo económico.

La tarea se vuelve más exigente, pero la gestión y potenciación de sinergias entre el OC y el OPDP ofrece ventajas claras para las organizaciones, incrementa la eficiencia, fortalece el cumplimiento y genera un impacto positivo tanto en el respeto a los derechos y garantías constitucionales como en el interés público protegido.

Conclusiones

• La coordinación entre el oficial de cumplimiento (OC) y el oficial de protección de datos personales (OPDP) potencia resultados, optimiza recursos y fortalece el cumplimiento.
• Son roles distintos, pero complementarios, con convergencias en gestión de riesgos, ética, gobernanza de la información y canales de reporte, entre otros.
• El enfoque basado en riesgo es el eje común por excelencia, por lo que una visión y gestión integral del riesgo aporta eficiencia, economía y mejores resultados para la organización en cumplimiento de su objeto y sus deberes.
• Las sinergias pueden materializarse mediante comités conjuntos, matrices integradas de riesgos, protocolos de comunicación, capacitaciones conjuntas y uso compartido de tecnología.
• Factores de muy alto y alto riesgo en PDP son críticos en las actividades de prevención de LA/FT.
• La regulación avanza hacia mayor rigor: en Colombia, el trabajo en la actualización normativa y las circulares y resoluciones recientes evidencian un control más estricto y sanciones severas.
• Cuando el OC asume también el rol de OPDP, se enfrenta a un rol interdisciplinario que exige competencias normativas, conocimiento en riesgos aplicados a datos y capacidad de articular sistemas de gestión.
• Aprovechar las sinergias fortalece la sostenibilidad empresarial y trasciende lo corporativo: se protege el interés público y los derechos fundamentales de los ciudadanos.

* Abogada asociada a la firma Rincón Cuellar & Asociados. Exsuperintendente delegada de protección de datos personales en la SIC.