Colombia es uno de los países de América Latina con el mayor crecimiento en la expedición de regulación relacionada con asuntos de compliance y prevención de delitos, tales como el lavado de activos y la financiación del terrorismo (LA/FT). Con la expedición de la Ley 2195 de 2022, se unifica el estándar de conocimiento de contrapartes para todas las empresas obligadas a implementar sistemas de prevención de LA/FT, incluyendo a los beneficiarios finales. Sin embargo, la expedición de estas normas genera algunas dudas legales frente a la forma en que se debe cumplir esta disposición sin incumplir deberes de confidencialidad. 

En Colombia la regulación de prevención y control de LA/FT se ha caracterizado por ser expedida de forma sectorial a través de las superintendencias de inspección, vigilancia y control en sectores específicos, cada una expidiendo regulación de prevención de LA/FT con un alcance y requisitos diferentes para sus empresas obligadas. Esto genera que en Colombia hayan distintos niveles de exigencia para las empresas obligadas dependiendo del sector económico en obligaciones como por ejemplo, el conocimiento de la contraparte. Por ejemplo, algunas empresas están obligadas a realizar el conocimiento de clientes y usuarios, mientras que otras están obligadas a realizar el conocimiento de todas las contrapartes (clientes, empleados, accionistas, administradores, proveedores). 

Ahora bien, con el art. 12 de la Ley 2195 de 2022, todas las personas que estén obligadas a implementar un sistema de prevención de LA/FT, independiente del sector económico en el que se encuentren, tendrán la obligación de implementar medidas de debida diligencia que permitan identificar a los beneficiarios finales de las personas con las que tienen relaciones comerciales. Este artículo, con rango de ley, tiene el objetivo de estandarizar los procesos de debida diligencia frente a los beneficiarios finales que se hayan establecido por las distintas autoridades. La norma ha establecido un periodo de 6 meses para que las autoridades de inspección, vigilancia y control (las superintendencias) ajusten sus regulaciones y cumplan con los criterios establecidos con lo indicado en el mencionado art. 12. Las autoridades colombianas, incluyendo la Superintendencia de Sociedades y la Superintendencia Financiera de Colombia, ya han comenzado a realizar los ajustes necesarios en la regulación y se espera que las empresas obligadas en Colombia tengan la obligación con el mismo alcance frente a los beneficiarios reales. 

Ahora bien, el mismo artículo busca facilitar este proceso atacando un problema de raíz que se venía presentando en distintos sectores y ahora también establece el deber de entregar la información a las personas que se les sea requerida, indicando “Para efectos de cumplir con lo dispuesto en el presente Artículo, las personas naturales, personas jurídicas, estructuras sin personería jurídica o similares tendrán la obligación de suministrar la información que le sea requerida por parte del obligado a cumplir con el presente Artículo”.  

Durante varios años en Colombia, muchas empresas obligadas de distintos sectores económicos se enfrentaban con la obligación de solicitar información confidencial en el proceso de conocimiento del cliente sin que la contraparte tuviera el deber de entregarla. Esto generaba que los procesos no se completaran correctamente, que no se consiguiera la información desde la fuente, que surgieran discusiones interminables sobre la necesidad de entregar información como composiciones accionarias, documentos de identidad de los representantes legales, directores, y accionistas, y beneficiarios reales.  

Bajo la nueva regulación, se espera que todas las personas que busquen tener relaciones comerciales con empresas obligadas a tener programas de prevención de LA/FT cumplan el deber legal de entregar la información requerida para lograr identificar beneficiarios reales de tal manera que las empresas obligadas puedan cumplir correctamente con su obligación y la relación comercial este soportada en el correcto conocimiento de la contraparte.  

Si bien este punto genera avances y eficiencias para el cumplimiento del proceso de debida diligencia, aun quedan dudas sobre la forma en que estos deberes deben interpretarse respecto de otras disposiciones normativas que restringen la publicidad o entrega a terceros de este tipo de información.  

El primer grupo de disposiciones legales se refiere a la confidencialidad de los accionistas de sociedades por acciones en comparación con la publicidad de los socios de sociedades de personas. Tal y como lo indica el Código de Comercio, los accionistas de una sociedad por acciones (por ejemplo, S.A., S.A.S.) estarán registrados en el libro de accionistas, mientras que los socios de una sociedad de personas (por ejemplo, colectiva, Ltda.) además de estar registrados en el libro de registro de socios, se encuentran publicados en el Registro Mercantil y son públicos en el Certificado de Existencia y Representación Legal de las sociedades. En consecuencia, la identificación de los accionistas de sociedades por acciones, por ley no son de carácter público y no requieren ser publicados. 

Aunado a lo anterior, el segundo grupo de disposiciones legales es la reserva y confidencialidad con la cuentan los libros de los comerciantes, en los que se incluye por ejemplo el libro de registro de accionistas. Según el art. 61 del Código de Comercio los libros del comerciante no pueden ser examinados por personas distintas de sus propietarios o las personas autorizadas por ley (por ejemplo, administradores). En igual sentido, el Código de Comercio plantea sanciones a los tenedores por violar esta reserva, y establece las excepciones en los que los libros del comerciante pueden ser exhibidos a terceros por fuera de los autorizados por ley, lo cual requiere la intervención de la autoridad judicial.  

De la revisión de estas disposiciones legales se evidencia la posible incongruencia entre el deber de confidencialidad que le asiste al administrador tenedor y responsable de los libros del comerciante en comparación con el deber que tendría de entregar la información necesaria a terceros para que puedan completar su proceso de debida diligencia y el conocimiento de los beneficiarios reales. 

Por lo anterior, a continuación, se plantean algunas recomendaciones practicas para dar cumplimiento a las normas de tal manera que se proteja la responsabilidad de los administradores y oficiales de cumplimiento durante los procesos de debida diligencia de terceros: 

1. A partir de la expedición de la Ley 2195 de 2022 las personas estarán obligadas a colaborar y tendrán el deber de entregar la información requerida por las empresas obligadas para completar su proceso de debida diligencia. Si bien a la fecha no existen sanciones específicas por el incumplimiento de este deber, en el futuro las mismas se pueden desarrollar. En consecuencia, se sugiere a administradores y oficiales de cumplimiento cumplir con el deber y establecer de forma anticipada el paquete de documentos e información mínima que tendrán a disposición de terceros para estos procesos de debida diligencia. 
2. Incluso bajo este deber, el tenedor de los libros del comerciante deberá asegurar el cumplimiento de sus deberes de confidencialidad y del tratamiento de datos personales de terceros. Se sugiere establecer una política o procedimiento escrito interno que establezca la forma en que se cumplirá con el deber de entrega de información protegiendo los deberes de confidencialidad y tratamiento de datos personales. 
3. Con respecto a las autorizaciones y tratamiento de datos personales, se sugiere entregar la información con las autorizaciones necesarias, por ejemplo, estableciendo una autorización general del máximo órgano social de la entrega de información a terceros en cumplimiento de las políticas internas, y solicitando el consentimiento expreso por escrito de las personas naturales sobre las que se deba enviar datos personales como nombres, números de identificación, direcciones, entre otros.  
4. La información debe ser registrada en los formularios de vinculación o entregada por separado, pero no se sugiere enviar copias completas de los libros del comerciante con el fin de no incumplir las reglas de exhibición. 
5. Al momento de entregar la información se debe asegurar la confidencialidad de la misma y el uso de la misma únicamente para los propósitos de la debida diligencia y conocimiento de contraparte. Se sugiere confirmar que existan acuerdos de confidencialidad vigentes o de lo contrario, solicitar la inclusión de una clausula de confidencialidad en los formularios de vinculación donde se entrega la información para asegurar su finalidad y correcto uso. 

 Por Cristian Lozano | Sr. Associate counsel and Alternate AML compliance officer | VISA