Proteccion de datos y compliance. Imagen Freepik
Más allá de cumplir mandatos normativos como el SAGRILAFT, el PTEE o la Ley 1581 de 2012, se requiere una visión integrada que permita responder con eficacia a los desafíos transversales del entorno digital y los riesgos emergentes asociados al uso de tecnologías como la inteligencia artificial (IA).
Por: Luz Adriana Villada*
En el actual ecosistema regulatorio latinoamericano, caracterizado por la convergencia entre normativas anticorrupción, privacidad de la información, prevención del lavado de activos y nuevas tecnologías, se hace imprescindible fortalecer las sinergias entre dos actores clave: el Oficial de Cumplimiento y quienes lideran la protección de datos personales en las organizaciones, ya sean Oficiales designados, áreas encargadas o equipos de tecnología.
Convergencia estratégica en la gestión de riesgos
Tanto el cumplimiento normativo como la protección de datos personales comparten una base metodológica común: la gestión del riesgo. La identificación, evaluación, tratamiento y monitoreo de riesgos son prácticas clave para ambos sistemas.
Esta convergencia técnica facilita la construcción de matrices integradas y la implementación de controles que sirvan de forma simultánea a múltiples objetivos de cumplimiento, desde la debida diligencia en la vinculación de terceros hasta la minimización de la exposición a brechas de seguridad o tratamientos inadecuados de datos.
De igual manera, compartir información y metodologías entre Oficiales de Cumplimiento, áreas de protección de datos y equipos tecnológicos permite detectar patrones que, de forma aislada, podrían pasar desapercibidos.
Por ejemplo, una alerta en un canal de denuncias puede contener indicadores tanto de una conducta corrupta como de un uso indebido de información personal. La colaboración activa entre estos actores no solo optimiza los recursos, sino que aumenta la capacidad de respuesta y anticipación.
Cultura de cumplimiento, retención documental y experiencias reales
Un elemento transversal en esta sinergia es la cultura organizacional. La cultura de cumplimiento no puede fragmentarse entre departamentos; debe ser un lenguaje común que impregne todos los niveles.
Esto incluye la gestión de la retención documental, pues tanto el Oficial de Cumplimiento como los responsables de la protección de datos —desde áreas especializadas hasta los equipos de TI— deben tener lineamientos claros sobre el ciclo de vida de la información, en especial aquella que involucra datos sensibles y documentación asociada al beneficiario final.
Además, un ejemplo frecuente en la práctica es que, muchas veces, desde la fase de diseño de un sistema o proceso, ya se están infringiendo los principios de protección de datos por desconocimiento o falta de articulación.
Esto genera reprocesos y sobrecostos, especialmente cuando se trata de actualizaciones de software contables o cambios en los cores bancarios. Sin sinergias, el cumplimiento se convierte en un obstáculo en lugar de ser un habilitador desde el inicio.
Personalmente, he evidenciado cómo esta desconexión puede derivar en abusos. En más de un proceso de debida diligencia, me han exigido autorizar el tratamiento de mis datos personales, no solo para la evaluación en curso, sino también para su venta o comercialización posterior.
Esta práctica, además de ser éticamente cuestionable, incumple lo establecido en la Ley 1581 de 2012, pues no se brinda al titular la opción de decidir sobre la finalidad del tratamiento.
En un caso particular, el teléfono del Gerente Financiero de una de las sociedades representada terminó publicado como contacto para la compra de minerales. Un absurdo que revela los riesgos reales del manejo indiscriminado de la información y la URGENCIA de una gobernanza adecuada.
El nuevo perfil del oficial de cumplimiento
El Oficial de Cumplimiento del presente ya no puede limitarse a conocer marcos normativos tradicionales. Debe comprender el lenguaje de los datos, los algoritmos y la automatización.
La aparición de herramientas basadas en IA generativa, analítica predictiva y sistemas de scoring ha introducido nuevos vectores de riesgo que se entrelazan con el tratamiento de datos personales, derechos fundamentales y posibles sesgos discriminatorios.
Esta realidad exige que los Oficiales de Cumplimiento adquieran competencias tecnológicas y colaboren estrechamente no solo con quienes gestionan la protección de datos —Oficiales, áreas jurídicas o de privacidad—, sino también con los equipos de tecnología de la organización.
Solo así será posible implementar controles efectivos sobre los flujos de información, configurar reglas éticas para el uso de IA y garantizar que los riesgos tecnológicos no se gestionen de forma aislada, sino como parte de una arquitectura integral de cumplimiento.
Hacia un compliance integrado y adaptativo
El cumplimiento del futuro será necesariamente integrado, multidisciplinario y adaptativo.
Las organizaciones que promuevan una colaboración efectiva entre sus Oficiales de Cumplimiento, sus responsables de protección de datos y sus equipos tecnológicos no solo estarán mejor preparadas para cumplir con la ley, sino también para proteger su reputación, sus activos de información y la confianza de sus grupos de interés.
Unir esfuerzos no es solo una estrategia eficiente, es una urgencia ética en un entorno donde los riesgos son interdependientes y la responsabilidad corporativa se mide también por su capacidad de prevenir y responder con integridad.
*Master en Gerencia Integral de Riesgos. Oficial de Cumplimiento en SIDOC, Cementos San Marcos, Ingenio del Occidente SAS, Inversiones Grupo del Occidente SAS y Santipollo SAS. Presidenta de la Asociación de Oficiales de Cumplimiento del Suroccidente Colombiano ASOCUSC www.asocusc.org
