Sarlaft 4.0 y protección de datos personales
21/10/2020
Como consecuencia de la expedición de la Circular Externa 027 de 2020 por parte de la Superintendencia Financiera de Colombia o el denominado SARLAFT 4.0, se produjeron varios cambios en los sistemas de cumplimiento que afectaron otras variables de negocio, entre ellas, el tema de protección de datos personales.
Se acogieron en la Circular modificaciones que asumen un mejor entendimiento de las tendencias normativas actuales en materia de protección de derecho al habeas data y tratamiento de los datos desde esquemas de riesgos, sin olvidar las necesidades de los esquemas empresariales que desde la Banca exigen hoy en día un mayor y más rápido conocimiento del cliente.
Precisamente hoy en día, los retos que enfrenta la privacidad y la protección de datos personales están dados por la transformación digital y en este entorno digital, los medios y las plataformas tecnológicas, como nuevo modelo empresarial, modifican la forma en la que se hace efectivo el derecho a conocer, actualizar y rectificar todo tipo de información que se tiene sobre las personas en una base de datos.
Dentro de las modificaciones principales al sistema de cumplimiento, referido a la prevención del lavado de activos y la financiación del terrorismo, está la permisividad en cuanto al desarrollo de esquemas autorregulados y autónomos que respondan a la flexibilidad de los servicios digitales actuales que se refieran al conocimiento e identificación del cliente; desde este punto de vista, las entidades vigiladas, que son sujeto de esta nueva reglamentación, enfrentan el reto de informar al cliente de manera clara, oportuna y precisa, con anterioridad a la recolección del dato, el por qué y para qué se recoge el dato personal y los tratamientos a los cuales va a ser sometido. Frente a este reto, se responde actualmente con estructuras propias de lo que se ha denominado la privacidad por diseño por la que en aquellos eventos en los que se hace necesario ejecutar acciones de cumplimiento de la normatividad de habeas data, estos se ejecutan a la par con el desarrollo de los productos y servicios que se ponen a la orden del público en general.
Adicionalmente, la implementación de sistemas de big data e inteligencia artificial también supone retos que se relacionan con esta nueva normativa y que se relacionan con los esquemas de tratamiento de datos personales, la libertad en cuanto a conocimiento del cliente y el deslinde de esquemas de verificación clásicos y relacionados a las centrales de información, llevará a las entidades a formas innovadoras –más propias del mundo fintech– en las que el scoring se nutre de otras fuentes alternativas para dar resultados que responden a la rapidez de las transacciones propias de una economía digitalizada; en este sentido, la circular 027 estableció que “en el evento en que utilicen bases de datos externos, las entidades vigiladas deben realizar un análisis de riesgo asociado a dicha fuente, en el cual se evalúe la calidad de los datos, su confiabilidad y la pertinencia de la misma en la gestión del riesgo de LA/FT. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización de dicho análisis de riesgo”.
No se trata pues de un manejo de riesgos clásico, más bien se trata de la implementación de esquemas de riesgo dinámico que encuentran modificaciones constantes, dado su relacionamiento directo con sistemas de información que avanzan al compás de la economía y del mercado y por esto la importancia de actualizar estos esquemas por lo menos en la periodicidad sugerida por la norma.
En el procesamiento de fuentes de información externas que permiten la toma de decisiones y que permiten la recolección de datos personales, hay un tema que es importante no olvidar: los sistemas de gestión de protección de datos personales están guiados por normas rectoras que no permiten que las decisiones que afecten derechos de las personas sean tomadas de forma automatizada, sin una revisión previa que permita delimitar el riesgo que viene dado por la calidad de los datos y que puede llevar a las empresas a tomar decisiones sesgadas o producir resultados discriminatorios o violatorios del derecho al habeas data.
Por último, una consideración no menos importante y referida a la importancia de la minimización en la cantidad de datos recolectados; con anterioridad a la expedición de la Circular 027, las normas imponían esquemas de formularios con indicación de los datos a recolectar, ahora, implementada la libertad de conformar los sistema preventivos con los datos que se requieran de acuerdo a la necesidad del proceso desarrollado, debemos tener en cuenta que las normas nacionales y las buenas prácticas internacionales, en materia de privacidad y protección de datos, indican que los datos a recolectar deben ser los mínimos posibles y tan solo los necesarios para llevar a cabo nuestros procesos, sin dejar de lado que dichos procesos deben ser correctamente documentados como parte del sistema de gestión y protección de datos personales y los riesgos que los acompañan debidamente identificados en nuestras matrices.
#Compliance,#Riskss International.
Por: Natalia Ospina
Fuente: Abogado Tic
Leave a reply