¿Las investigaciones de Debida Diligencia  violan la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

Captura de pantalla 2016-08-22 a las 1.00.32 p.m.

No es inusual que las empresas pregunten si la ejecución de una investigación de “Due Diligence” o de “Debida Diligencia” a un tercero viola de alguna manera lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP); de hecho en no pocos casos cuando la consulta llega a mi escritorio esta viene acompañada de un debate previo entre las áreas de Compliance y Jurídico y lo que técnicamente la empresa quiere es que el asesor externo les confirme la postura del área Jurídica: el hacer un “Due Diligence” implica una violación a la protección de datos personales.

Las áreas Jurídicas no podrían estar más erradas.

Junto con la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) entró a escena una herramienta jurídica que hasta ese momento parecía estar reservada para el mundo financiero: las investigaciones de “Due Diligence”

Este “background check” generó descontento entre el empresariado ya que, como lo han señalado abiertamente, complicó o francamente ahuyentó a sus clientes; el tener la obligación de recabar de sus clientes información y documentación fue entendido como un “deal breaker” antes que como una herramienta para proteger su operatividad. Seamos honestos, la realidad nos ha demostrado que un elevado porcentaje del empresariado mexicano y sus abogados no estaban preparados para hacerle frente a las obligaciones contenidas en esta controvertida Ley, como lo es la obligación de identificar a los clientes que realicen operaciones con los sujetos obligados considerados como “actividades vulnerables” conforme al listado contenido en el Artículo 17 de la Ley, su Reglamento y sus Reglas de Carácter General.

Criminalizar esta Ley fue la aparente salida fácil.

Si revisamos la operatividad del sector financiero podremos ver que el que las áreas de Compliance investiguen a un cliente previo al establecimiento de una relación contractual o de la liberación de recursos económicos no es un capricho, de hecho estas investigaciones se encuentran regulados por las diversas Disposiciones de Carácter General en materia de prevención de lavado de dinero (hay una específica por cada sector, por ejemplo para Bancos, para SOFOMES, para Casas de Bolsa etc) y en ellas constan una serie de reglas operativas “mínimas-máximas” para llevar a cabo un proceso de análisis de riesgos y saber con quien se pretende hacer negocios o, en su caso, tener los argumentos necesarios para no establecer una relación.

Las mejores prácticas internacionales plantean que si bien la columna vertebral de un sistema de prevención de lavado de dinero es un manual interno redactado conforme a las necesidades de la entidad, son los expedientes de identificación de los clientes (y el proceso que permite su elaboración) lo que puede llegar a generar la diferencia. Una investigación superficial de los antecedentes de un cliente potencial, si bien permitiría cumplir con los señalados requisitos mínimos-máximos, no garantiza el que una persona o empresa con la cual no nos gustaría hacer negocios se mantenga alejada de nosotros; a mayor precisión podemos señalar que dichas prácticas internacionales señalan con toda claridad de que el “Enhaced Due Diligence” o Debida Diligencia reforzada no es un lujo sino una medida que no puede dejarse a un lado.

¿El motivo? si una entidad financiera omite hacer una investigación detalla de su cliente y resulta que este se encuentra ligado a un grupo criminal incluido en cualquiera de las listas negras de los Estados Unidos esta puede enfrentar sanciones que van de las multas al congelamiento de bienes y cuentas bancarias así como acusaciones criminales así como el correspondiente impacto reputacional que, si bien no es fácil de parametrizar, igual puede afectar a todo tipo de empresa, sobre todo a a aquellas que cotizan en bolsa.

De hecho el concepto de la Debida Diligencia se encuentra fuertemente arraigado en la mayoría de las empresas globales, un ejemplo es la empresa General Electric la cual posee dos políticas internas enfocadas a prevenir el lavado de dinero, la corrupción y los fraudes: la “GE Money Global Anti-Money Laundering Policy” y la famosa “The Spirit & The Letter”

Ambas políticas son aplicables a todos los negocios de General Electric, sin importar que no estos no sean parte del sistema financiero, y tienen como un elemento esencial el efectuar una investigación de “Know Your Customer” o simplemente “KYC”, misma que debe entenderse como un “Due Diligence”, y la cual es aplicada no solo a sus clientes potenciales sino también a sus proveedores e intermediarios.

Una investigación de Debida Diligencia requiere que el cliente entregue a la empresa o entidad los datos demográficos mínimos señalados por las diversas disposiciones antilavado aplicables como lo es el nombre, genero, fecha y lugar de nacimiento, Registro Federal de Contribuyentes (o su equivalente), credencial de identificación oficial así como la documentación soporte y, dado el caso, llenar los formatos correspondientes con la información de su primer y segundo círculo familiar así como la de sus asociados de negocios. Una vez que esta información es obtenida por las áreas de ventas la misma es introducida a los sistemas de originación los cuales a su vez se conectan con los sistemas de búsqueda de listas negras, de personas políticamente expuestas y metabuscadores para, en una instancia final, el staff de las áreas de Compliance realicen una revisión de la información para dar su opinión sobre el cliente. Sin embargo también es posible que estas áreas efectúen una investigación de segundo nivel sobre el cliente si los resultados obtenidos no son satisfactorios o si, dado el caso, el cliente es considerado como de alto riesgo.

Por lo anteriormente expuesto no creo que resulte difícil el aceptar que una investigación de Debida Diligencia es una necesidad insustituible para cualquier empresa o entidad, o inclusive ente gubernamental, sin siquiera tomar en cuenta si debido a su objeto social o a su operatividad se encuentra obligada a ello. La mayor parte de los escándalos regulatorios del sector económico y financiero han tenido su epicentro en la ausencia o debilidad de los expedientes de identificación de sus clientes.

Ahora bien ¿porqué es que un “Due Diligence” no viola la LFPDPPP?

  1. La legislación permite e inclusive obliga a las entidades financieras y a los sujetos obligados de la LFPIORPI, a obtener cierta información de sus clientes y, dado el caso, enviar reportes regulatorios a la Comisión Nacional Bancaria y de Valores o al Servicio de Administración Tributaria según sea el caso.
  2. En el caso de que un cliente no entregue la información y documentación contenida en dicha legislación la empresa o entidad puede (o debe) abstenerse de realizar operaciones con dicho cliente.
  3. La legislación obliga a quienes obtengan esta información a establecer medidas de seguridad que garanticen que la información y documentación del cliente se encuentre a buen resguardo así como a disposición de la entidad regulatoria que corresponda.
  4. En el caso de que sea necesario llevar a cabo un Due Diligence de segundo nivel las áreas de Compliance realizarían una búsqueda en sistemas automatizados y/o en bases de datos proveídos por terceros alimentados por información pública y/o por investigaciones privadas así como por búsquedas “open source”.

A manera de ejemplo podemos citar el Artículo 18 de la LFPIORPI el cual establece:

“Artículo 18. Quienes realicen las Actividades Vulnerables a que se refiere el artículo anterior tendrán las obligaciones siguientes:

I. Identificar a los clientes y usuarios con quienes realicen las propias Actividades sujetas a supervisión y verificar su identidad basándose en credenciales o documentación oficial, así como recabar copia de la documentación;

II. Para los casos en que se establezca una relación de negocios, se solicitará al cliente o usuario la información sobre su actividad u ocupación, basándose entre otros, en los avisos de inscripción y actualización de actividades presentados para efectos del Registro Federal de Contribuyentes;

III. Solicitar al cliente o usuario que participe en Actividades Vulnerables información acerca de si tiene conocimiento de la existencia del dueño beneficiario y, en su caso, exhiban documentación oficial que permita identificarlo, si ésta obrare en su poder; en caso contrario, declarará que no cuenta con ella;

IV. Custodiar, proteger, resguardar y evitar la destrucción u ocultamiento de la información y documentación que sirva de soporte a la Actividad Vulnerable, así como la que identifique a sus clientes o usuarios.

La información y documentación a que se refiere el párrafo anterior deberá conservarse de manera física o electrónica, por un plazo de cinco años contado a partir de la fecha de la realización de la Actividad Vulnerable, salvo que las leyes de la materia de las entidades federativas establezcan un plazo diferente;

V. Brindar las facilidades necesarias para que se lleven a cabo las visitas de verificación en los términos de esta Ley, y

VI. Presentar los Avisos en la Secretaría en los tiempos y bajo la forma prevista en esta Ley.”

(Énfasis añadido)

Es importante señalar que en el caso de que la información y documentación de los clientes no fuese resguardada conforme a lo establece la Ley, conforme a lo dispuesto en el Artículo 63 de la LFPIORPI el empleado de un sujeto obligado que resultase responsable por ello podría ser sancionado con prisión de cuatro a diez años y con quinientos a dos mil días multa conforme al Código Penal Federal.

En mi opinión una investigación de Debida Diligencia no solo no va en contra de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, sino que es una herramienta insustituible para proteger nuestras empresa en una época en la cual los capitales de la delincuencia financiera buscan, por todos los medios, dar una apariencia de legitimidad para lograr infiltrar las empresas y posteriormente desaparecer pero dejando tras de si un grave problema para el empresariado.

Por ello la próxima vez que su Jurídico le diga que el hacer un “Due Diligence” va en contra de la protección de los datos personales respóndale que lea el Artículo 18 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita.

 

Be the first to comment on "¿Las investigaciones de Debida Diligencia  violan la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?"

Deja un comentario.

Tu dirección de correo no será publicada.


*