Protección de datos en la Deb...

Debida Diligencia

Protección de datos en la Debida Diligencia ¿Cómo investigar sin vulnerar derechos?

¿Se puede conocer a fondo sin vulnerar? En los procesos de Debida Diligencia, acceder a información precisa no es un privilegio ni una invasión: es una medida legítima de prevención. Las organizaciones que gestionan riesgos, previenen delitos financieros o deciden sobre relaciones comerciales deben contar con herramientas que les permitan conocer quién está del otro lado. Sin información completa y verificada, ninguna estrategia de mitigación puede ser efectiva.

Pero este deber de investigar plantea una cuestión clave: ¿Cuáles son los límites cuando se trata de datos personales? ¿Es legal consultar antecedentes judiciales, registros públicos o listas restrictivas? ¿Está una empresa facultada para acceder a información sensible cuando la finalidad es prevenir el Lavado de Activos, la Financiación del Terrorismo o la Proliferación de Armas?

Este artículo aborda esa tensión desde el marco legal colombiano, la jurisprudencia constitucional, los principios rectores del tratamiento de datos personales y el derecho legítimo que tienen las organizaciones a protegerse. Investigar no es violar. Investigar bien es prevenir.

Las organizaciones deben aplicar un enfoque dual: por un lado, cumplir con los principios constitucionales que protegen la intimidad, el buen nombre y el habeas data; y por otro, responder a las obligaciones normativas derivadas de los sistemas de administración del riesgo. Solo así se puede integrar la legalidad y la prevención en una práctica sostenible.

La gestión del riesgo corporativo requiere información verificada. Y esa información, en muchos casos, es personal, sensible, histórica, disciplinaria, societaria o reputacional. En consecuencia, se cruzan dos sistemas: el derecho a la protección de datos y el deber legal de prevenir el Lavado de Activos, la Financiación del Terrorismo y delitos conexos. 

Clasificación de los datos personales:

La información personal puede categorizarse según su nivel de privacidad y sensibilidad. Cada tipo de dato requiere un tratamiento y protección específica para evitar el uso indebido.

  • Datos personales: Son aquellos que identifican o pueden asociarse directamente con una persona, como su nombre, documento de identidad, características físicas o cualquier información que permita reconocerla.
  • Datos públicos: Incluyen información accesible sin restricciones, como el estado civil, profesión, calidad de comerciante o servidor público. Estos datos pueden encontrarse en registros oficiales, documentos públicos, gacetas y decisiones judiciales sin reserva legal.
  • Datos semiprivados: No son de carácter íntimo ni estrictamente públicos, pero su divulgación puede ser de interés tanto para el titular como para ciertos sectores de la sociedad. Un ejemplo común son los datos financieros y crediticios relacionados con actividades comerciales o de servicios.
  • Datos privados: Son aquellos que pertenecen exclusivamente a la esfera personal del titular y cuya divulgación no interesa a terceros. Las preferencias personales, hábitos de consumo y aspectos íntimos son ejemplos de este tipo de información.
  • Datos sensibles: Comprenden información que, si se expone, puede afectar la privacidad o generar discriminación. Incluyen datos sobre origen étnico, orientación política, creencias religiosas, afiliaciones sindicales, estado de salud, vida sexual y características biométricas. Debido a su naturaleza, requieren un tratamiento especial y mayores medidas de seguridad.

Autorización para el tratamiento de datos personales:

El tratamiento de datos personales requiere el consentimiento expreso del titular, lo que garantiza que la información sea utilizada de manera legítima y transparente. Para ello, las organizaciones deben establecer procedimientos internos que permitan solicitar y registrar dicha autorización, idealmente en el momento de la recolección de los datos.

La legislación es clara al exigir que el consentimiento sea previo, expreso e informado, es decir, que la persona conozca con exactitud el propósito y el uso que se dará a su información. Además, esta autorización debe permanecer disponible para futuras consultas.

Sin embargo, existen situaciones en las que no se requiere solicitar autorización previa, aunque las organizaciones siguen estando obligadas a cumplir con otras disposiciones legales para el manejo responsable de los datos. Algunas de estas excepciones incluyen:

  • Cuando la información es solicitada por una entidad pública o administrativa en ejercicio de sus funciones legales, o por orden judicial.
  • En el tratamiento de datos de naturaleza pública.
  • Situaciones de urgencia médica o sanitaria.
  • Uso de datos autorizado por ley con fines históricos, estadísticos o científicos.
  • Información relacionada con el Registro Civil.

Para otorgar la autorización, los titulares pueden hacerlo a través de distintos medios:

  • Por escrito, mediante documentos físicos o electrónicos.
  • De forma oral, en interacciones verificables.
  • Mediante conductas inequívocas, donde la acción del titular permita concluir que ha concedido su consentimiento.

Independientemente del método utilizado, es fundamental que las organizaciones conserven la prueba de la autorización de acuerdo con las disposiciones legales. La Ley 1581 de 2012 establece la obligación de solicitar, registrar y garantizar la disponibilidad de estas pruebas, asegurando la protección de los derechos del titular.

El acceso como medida de prevención y protección:

La Debida Diligencia implica conocer con profundidad a la contraparte antes de establecer vínculos contractuales, financieros o estratégicos. Esta práctica está respaldada por leyes nacionales y estándares internacionales como las Recomendaciones del Grupo de Acción Financiera Internacional (GAFI), que exigen conocer al cliente, al beneficiario final, su estructura jurídica y sus antecedentes.

Consultar bases de datos públicas, registros judiciales, listas vinculantes o fuentes reputacionales no es una violación de derechos cuando se hace con proporcionalidad, finalidad legítima y responsabilidad. En el contexto de prevención de delitos financieros, acceder a información sensible es parte de una política de integridad empresarial.

¿Se puede usar información sensible sin violar la Ley 1581 de 2012?

La respuesta es sí. La Ley 1581 establece que no aplica a bases de datos públicas o privadas que tengan por finalidad la prevención, detección, monitoreo y control del Lavado de Activos y la Financiación del Terrorismo. Esta excepción fue avalada por la Corte Constitucional en la Sentencia C-748 de 2011, reconociendo que esas conductas representan amenazas graves para el orden público y constitucional, y que el tratamiento de datos personales con fines preventivos es legítimo si se somete a principios mínimos.

En ese sentido, aunque la ley exceptúa estos casos de su aplicación formal, las bases de datos utilizadas con fines de Debida Diligencia no están exentas de regulación. El respeto a los principios de legalidad, finalidad, transparencia, seguridad, veracidad y confidencialidad sigue siendo obligatorio. El tratamiento debe ser proporcional al riesgo, limitado a personal autorizado y respaldado por políticas internas que garanticen el uso legítimo, ético y responsable de la información.

Principios rectores: el marco ético y legal del tratamiento de datos personales

La Ley 1581 de 2012 establece principios mínimos que deben guiar todo tratamiento de datos personales en Colombia. Estos principios también aplican a las excepciones permitidas en el contexto de prevención de delitos financieros, y su cumplimiento garantiza que la Debida Diligencia se realice sin vulnerar derechos.

  • Legalidad: El tratamiento debe ajustarse estrictamente a lo previsto en la ley.
  • Finalidad: Debe obedecer a un propósito legítimo e informado al titular.
  • Libertad: Requiere consentimiento previo, salvo orden legal o judicial.
  • Veracidad o calidad: La información debe ser veraz, completa y comprobable.
  • Transparencia: El titular tiene derecho a conocer cómo se está tratando su información.
  • Acceso y circulación restringida: Los datos no deben estar disponibles en medios masivos.
  • Seguridad: Se deben aplicar medidas técnicas y administrativas para evitar acceso fraudulento.
  • Confidencialidad: La reserva se mantiene incluso después de finalizado el tratamiento.

Estos principios no solo limitan el alcance del tratamiento, sino que legitiman su existencia. Aplicarlos correctamente permite que la Debida Diligencia tenga fuerza jurídica y solidez ética.

La Sentencia C-748 de 2011: respaldo constitucional a la prevención

La Corte Constitucional, al revisar la Ley 1581, estableció que el tratamiento de datos personales con fines de seguridad, defensa nacional y prevención de delitos como el Lavado de Activos o el Terrorismo, es una herramienta legítima del Estado y de las organizaciones autorizadas.

La Sala fue clara en afirmar que, aunque estas prácticas deben respetar la dignidad humana, son constitucionalmente válidas si se sujetan al principio de proporcionalidad y sirven para preservar el orden, la convivencia pacífica y la integridad nacional.

Es decir, cuando el propósito es prevenir una amenaza estructural, la ley permite investigar. Pero exige hacerlo bien.

Acceder no es violar: es cumplir con rigor

Consultar antecedentes judiciales, verificar estructuras societarias o analizar listas de riesgo no representa una violación al habeas data, cuando se hace bajo mandato legal, con propósito legítimo y en cumplimiento de principios rectores. De hecho, es una acción preventiva que fortalece la ética corporativa, evita exposiciones innecesarias y protege el sistema financiero.

Las organizaciones tienen derecho y muchas veces, la obligación de acceder a esta información antes de formalizar relaciones comerciales. El riesgo no está en investigar, sino en hacerlo sin principios.

En un país que enfrenta amenazas complejas y redes delictivas sofisticadas, investigar no puede ser visto como una infracción. Cuando se investiga correctamente, se protege el negocio, se protege la reputación y se protege el país. El derecho a consultar existe. Lo importante es saber ejercerlo bien.

En Risks International, somos una empresa comprometida con la prevención de riesgos de Lavado de Activos, Financiación del Terrorismo, fraude corporativo y otros delitos que amenazan la integridad empresarial. Creemos que la Debida Diligencia no es sólo una exigencia legal, sino una herramienta estratégica que permite tomar decisiones informadas, proteger la reputación y generar confianza.

Ayudamos a nuestros clientes a crecer de forma segura, a hacer negocios transparentes, a gestionar sus riesgos y a conocer a profundidad a sus contrapartes, proveedores, clientes y empleados. Porque investigar bien no es desconfiar: es proteger lo que más valoramos.

Por: Luisa Caicedo – Analista de Marketing Digital

Fuentes:

Documento: C-494 de 2024 https://relatoria.colombiacompra.gov.co/conceptos/c-494-de-2024/

Ley 1581 de 2012 https://www1.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981

¿Quién está del otro lado? La Debida Diligencia como mecanismo para construir relaciones comerciales confiables

No Replies on Protección de datos en la Debida Diligencia ¿Cómo investigar sin vulnerar derechos?

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.