En los programas de cumplimiento como SAGRILAFT, SARLAFT , PTEE , SICOF , entre otros, la obtención de información a través de la debida diligencia es una etapa esencial para conocer y gestionar adecuadamente los riesgos de Lavado de Activos, Financiación del Terrorismo y Soborno Transnacional.
Sin embargo, es importante comprender que toda recolección, análisis, almacenamiento o circulación de información personal constituye tratamiento de datos, según la Ley 1581 de 2012.
Ahora bien, el artículo 2 literal b) de la Ley 1581 establece una excepción: Las entidades obligadas a implementar sistemas de prevención de LA/FT no están sujetas al régimen de protección de datos personales, cuando el tratamiento tenga relación directa con dicha finalidad.
Esta excepción es clave para operar los sistemas de cumplimiento con eficacia, pero no es absoluta. La Superintendencia de Industria y Comercio ha sancionado organizaciones que han excedido los límites del tratamiento permitido bajo esta excepción.
Por eso, el oficial de cumplimiento debe conocer los principales riesgos y límites.
1. Cuidado con las fuentes de consulta:
La excepción se aplica solo cuando el tratamiento es necesario para la finalidad de prevención, detección, monitoreo y control de LA/FT, si una empresa consulta información no relacionada con estas finalidades, podría quedar fuera de la excepción. Toda información ajena a LA/FT exponen a la empresa a una infracción en protección de datos.
Ejemplos de información que no está cubierta:
- Incumplimientos contractuales
- Opiniones comerciales
- Historial laboral no relacionado
- Conflictos civiles o familiares
2. Evitar juicios de valor basados en coincidencias:
Las listas restrictivas y bases de datos de riesgos deben usarse con prudencia.
Si los resultados de una consulta se registran en plataformas internas con comentarios o calificativos negativos , esto puede constituir un tratamiento indebido de datos .
Recuerde: registrar un dato no verificado ni objetivo puede vulnerar derechos constitucionales como el buen nombre y el habeas data.
3. No crear listas propias o bases de datos paralelas:
Ninguna compañía privada o persona natural puede crear listas negras internas ni bases de datos que tengan por finalidad:
- La seguridad y defensa nacional.
- La prevención, detección, monitoreo y control del LA/FT salvo que existe una ley específica que lo autorice.
Estas funciones son competencia natural del Estado. La empresa solo puede consultar las listas oficialmente reconocidas y documentar los hallazgos estrictamente necesarios para su análisis de riesgo, sin crear su propia base de datos sancionatoria.
4. Derecho al olvido y manejo del dato negativo:
Uno de los puntos más sensibles es el tratamiento del dato negativo, especialmente cuando se trata de antecedentes que terminan castigando más que informando. Es importante tener en cuenta que la sanción penal tiene un propósito y una temporalidad, no debería transformarse en una condena social permanente.
La Sentencia T-113 de 2025, establece que la reinserción social es un fin subjetivo de la pena, y no se garantiza si el dato negativo persiste indefinidamente, se limita la oportunidad real de reintegrarse a la vida social.
Y la Sentencia SU-139 de 2021 enfatiza que los antecedentes judiciales son datos personales de carácter negativo, cuyo tratamiento debe cumplir principios como proporcionalidad y legalidad donde debe regir la presunción de inocencia.
Recomendaciones:
Los sistemas de prevención de lavado de activos tienen distintas fases, entre ellas la prevención al inicio de la relación, y el control durante la relación. Cuando una entidad traslada toda la carga a la fase de prevención sin equilibrarla con monitoreo y control, puede terminar imponiendo cargas desproporcionadas, generando tratamientos potencialmente discriminatorios. En otras palabras, gestionar el riesgo no significa “cerrar la puerta”, significa evaluar, justificar, monitorear y tomar decisiones razonables.
El tratamiento de datos dentro de la debida diligencia es indispensable, pero debe ejecutarse con criterio, límites y justificación.
El oficial de cumplimiento debe garantizar:
- Uso exclusivo de información necesaria y pertinente.
- Protección de derechos del titular
- Ausencia de valoraciones o estigmatizaciones
- Respeto estricto por la finalidad del SAGRILAFT, SARLAFT, PTEE o SICOF.
- Precauciones con el dato negativo, la presunción de inocencia y el derecho al olvido.
Cumplir con estas reglas no solo evita sanciones: fortalece la transparencia y la integridad del sistema de cumplimiento.
