CONCEPTO 202210400000069953 DE 2022
(mayo 16)
<Fuente: Archivo interno entidad emisora>
INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR
MEMORANDO
| Para: | ANDRÉS VERGARA BALLÉN Director Financiero ICBF |
| Asunto: | Solicitud concepto obligación del ICBF en suministrar información requerida por las empresas obligadas a implementar el SAGRILAFT |
| Fecha: | 16 mayo de 2022 |
Estimado doctor xxxx:
De manera atenta y en el marco de nuestras competencias, esta Oficina emite concepto solicitado por la Dirección Financiera del ICBF, sobre la obligación de suministrar información requerida por las empresas que deben implementar el SAGRILAFT.
Previo análisis del ordenamiento jurídico vigente y con fundamento en los artículos 23 de la Constitución Política, 26 del C.C., 13 del C.P.A.C.A, sustituido por el artículo 1 de la Ley 1755 de 2015, y el numeral 4 del artículo 6 del Decreto 987 de 2012, se procede a dar respuesta en los términos que siguen:
1. PROBLEMA JURÍDICO
De acuerdo con lo expresado por la Dirección Financiera, atendiendo a la obligación de las empresas vigiladas por la Súper Sociedades a implementar el sistema SAGRILAFT, se cuestiona si ¿el ICBF está en la obligación de entregar datos sensibles relacionados con la alta gerencia de la entidad, donde se encuentran personas que están dentro de la categoría de PEP (personas expuestas políticamente)?
2. RUTA METODOLÓGICA PARA RESPONDER EL PROBLEMA JURÍDICO
Para dar respuesta al problema jurídico: (i) se establecerá el marco jurídico aplicable; (ii) se revisarán los antecedentes de la solicitud; y (iii) se realizará el respectivo análisis jurídico concerniente a las preguntas formuladas y se presentará la respuesta respectiva.
2.1 MARCO NORMATIVO APLICABLE
Con el fin de resolver el asunto puesto a consideración se tendrá en cuenta la Circular Básica Jurídica de la Superintendencia de Sociedades (Circular Externa No. 100-000005 del 22 de noviembre de 2017), la cual fue modificada en su Capítulo X, por la Circular Externa No. 100-000016 del 24 de diciembre de 2020, la Circular Externa No. 100-000004 del 09 de abril de 2021, el Decreto 830 del 26 de julio 2021 y la Ley 1581 de 2012.
2.2 ANTECEDENTES EXPUESTOS POR LA DIRECCIÓN FINANCIERA
La Dirección Financiera señala que en aplicación de la Circular Externa 100-000016 del 24 de diciembre de 2020 (que modificó el Capítulo X de la Circular Básica Jurídica 100000005 de 2017) se han recibido distintas consultas por parte de empresas obligadas a tener un SAGRILAFT, mediante las cuales se requiere información relacionada, entre otras cosas, con la alta gerencia de la Entidad. Con dicho fin, las empresas han solicitado la siguiente información:
“Para Persona Jurídica:
- Formato de Registro de proveedores y cuestionario totalmente diligenciado y firmado por representante legal (archivo adjunto).
- Certificado de existencia y representación legal (no mayor a dos meses).
- RUT - No mayor a un año de emisión.
- Certificación bancaria actualizada.
- Copia de la cedula del Representante Legal.
- Composición accionaria.
- Certificado de SG-SST emitido por ARL (dónde indique el porcentaje de implementación).
- Manual de Seguridad en el Trabajo (Archivo adjunto).
- Certificación BASC (Si aplica).
- Últimos Estados financieros.
- Dos referencias comerciales actualizadas.
- Formato firmado Certificado SAGRILAFT/ANTICORRUPCIÓN (archivo adjunto).
Los anteriores son algunos de los documentos soporte de los formatos que solicitan diligenciar las empresas, las cuales no tienen en consideración el tipo de sociedades a las cuales solicitan la información, ya que solo envían formatos estándar para ser tramitados y diligenciados.
En virtud de lo anterior, nos generan dudas sobre la solicitud de información relacionada con la alta gerencia, la cual a nuestra consideración son datos sensibles, ya que son servidores públicos que ocupan o tienen funciones específicas en la Dirección General y pueden ser descritos como personas expuestas políticamente (PEP).”
De acuerdo con lo anterior, la Dirección Financiera solicita se resuelvan los siguientes cuestionamientos:
1. ¿Debe el ICBF entregar toda la información solicitada por las empresas obligadas a implementar SAGRILAFT?
2. ¿En qué casos el ICBF debe responder de manera parcial o total a las solicitudes de información de las empresas?
3. ¿Cuándo la información que solicitan las empresas es reservada, debo remitir la información privada de los funcionarios del ICBF?
3. ANÁLISIS JURÍDICO
Para atender el problema jurídico planteado, es importante hacer referencia al marco jurídico aplicable a este caso. En particular, es necesario aludir a la regulación concerniente al sistema de autocontrol y gestión del riesgo integral de lavado de activos y de financiamiento del terrorismo (SAGRILAFT), así como al régimen aplicable a las Personas Expuestas Públicamente (PEP).
Dentro de este marco jurídico se encuentra la Circular Básica Jurídica de la Superintendencia de Sociedades (Circular Externa No. 100-000005 del 22 de noviembre de 2017), la cual fue modificada en su Capítulo X por parte de la Circular Externa No. 100000016 del 24 de diciembre de 2020, la cual tiene como objeto:
“(...) profundizar el enfoque basado en riesgos tanto en la supervisión de esta Entidad como en la creación de políticas y matrices por parte de las sociedades comerciales, sucursales de sociedades extranjeras y empresas unipersonales, obligadas al cumplimiento del régimen de AUTOCONTROL Y GESTIÓN DEL RIESGO INTEGRAL LA/FT/FPADM Y REPORTE DE OPERACIONES SOSPECHOSAS A LA UIAF, y en la identificación, segmentación, calificación, individualización, control y actualización de los factores de riesgos y los riesgos asociados a la probabilidad de que éstas puedan ser usadas o puedan prestarse como medio en actividades relacionadas con el lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva.” (Se resalta).
Sumado a ello, se debe tener en cuenta que mediante Circular Externa No. 100-000004 del 9 de abril de 2021 se modificó, entre otras cosas, el acápite sobre debida diligencia intensificada de la Circular Externa No.100-000016 del 24 de diciembre de 2020. Adicionalmente, es muy importante hacer referencia a lo dispuesto en el Decreto 830 del 26 de julio 2021, "Por el cual se modifican y adicionan algunos artículos al Decreto 1081 de 2015, Único Reglamentario del Sector Presidencia de la República, en lo relacionado con el régimen de las Personas Expuestas Políticamente (PEP)."
De igual manera, es conveniente tener en cuenta las orientaciones y prescripciones contenidas en la Ley 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales.”
El contenido de la ley y el decreto citados se desarrollará más adelante para efectos del propósito de este concepto.(1)
En el primer apartado de este análisis jurídico se definió el SAGRILAFT como el sistema de autocontrol y gestión del riesgo integral de lavado de activos y de financiamiento del terrorismo. Según el acápite 4 del Capítulo X de la Circular Básica Jurídica, están obligadas a implementar el SAGRILAFT las siguientes personas jurídicas:
- Las empresas sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades que hubieren obtenido Ingresos Totales o tenido Activos iguales o superiores a cuarenta mil (40.000) SMLMV, con corte al 31 de diciembre del año inmediatamente anterior.
- Las empresas de los siguientes sectores de la economía que cumplan los presupuestos establecidos en el Capítulo X de la Circular Básica Jurídica, a saber: agentes inmobiliarios, comercializadores de materiales y piedras preciosas, prestadores de servicios jurídicos y contables, empresas del sector de la construcción de edificios y obras de ingeniería civil, servicios de activos virtuales y sectores de supervisión especial o regímenes especiales.
Ahora, en el punto 5.3.1. del Capítulo X de esta misma Circular se contemplan las medidas razonables de la debida diligencia que las empresas obligadas deben aplicar a las contrapartes. En cuanto a las medidas mínimas se establecen:
“a. Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
b. Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad.
c. Tratándose de Personas Jurídicas, se deben tomar Medidas Razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y el número de identificación de los Beneficiarios Finales, haciendo uso de las herramientas de que disponga. Las medidas tomadas deben ser proporcionales al nivel del riesgo y su materialidad o complejidad inducida por la estructura de titularidad de la sociedad mercantil o la naturaleza de los asociados mayoritarios.
d. Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
e. Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones levadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene la Empresa Obligada sobre la Contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.”
La Circular Básica Jurídica aclara que las empresas obligadas a tener SAGRILAFT tienen el deber de construir un instrumento que le permita consolidar e identificar alertas presentes o futuras. El instrumento debe contener “(...) como mínimo, el nombre de la Contraparte, ya sea persona natural o jurídica, la identificación, el domicilio, el Beneficiario Final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeña, fecha del proceso de conocimiento o monitoreo de la Contraparte.” (Se resalta).
Aunado a esto, en la Circular Externa No. 100-000004 de 2021 se regula el proceso de debida diligencia intensificada, el cual debe “(A) aplicarse a aquellas Contrapartes y sus Beneficiarios Finales que (i) la Empresa Obligada considere que representan un mayor riesgo; (i) sean identificadas como PEP; y (i) se encuentren ubicadas en países no cooperantes y jurisdicciones de alto riesgo; y (B) ser aplicados por todas las Empresas Obligadas que desarrollen actividades con Activos Virtuales, (...)” (Se resalta).
En relación con los procesos para el conocimiento de las Personas Expuestas Públicamente, según la Circular citada, el “SAGRILAFT debe contener mecanismos y establecer las Medidas Razonables que permitan identificar que una Contraparte o su Beneficiario Final detentan la calidad de PEP.”
Además, en estos casos la debida diligencia intensificada se extenderá a “(i) los cónyuges o compañeros permanentes del PEP; (i) los familiares de las PEP, hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil; (i) los asociados de un PEP, cuando el PEP sea socio de, o esté asociado a, una persona jurídica y, además, sea propietario directa o indirectamente de una participación superior al 5% de la persona jurídica, o ejerza el control de la persona jurídica, en los términos del artículo 261 del Código de Comercio.”
Como se mencionó previamente, al tratarse de PEP, es fundamental hacer alusión al Decreto 830 del 26 de julio 2021, que modificó el Decreto 1081 de 2015, Único Reglamentario del Sector Presidencia de la República. En su artículo 1, relativo al ámbito de aplicación, dispone:
“ARTÍCULO 2.1.4.2.2. Ámbito de aplicación. El presente capitulo aplicará a las Personas Expuestas Políticamente (PEP), a los sujetos obligados a implementar medidas y sistemas de administración de prevención de riesgo de lavado de activos y financiación del terrorismo, y a los sujetos de reporte de la Unidad de Información y Análisis Financiero (UIAF); quienes deberán aplicar las medidas de debida diligencia del cliente de acuerdo con la normatividad vigente y las adicionales que se definen en el presente Capítulo, en desarrollo de los procesos de vinculación y monitoreo de la relación comercial con las Personas Expuestas Políticamente (PEP).” (Se resalta).
A renglón seguido, el artículo 2 del Decreto 830 de 2021 enlista las personas que se consideran como PEP. En este grupo, en el numeral 3, incluye los “Presidentes, Directores. Gerentes, Secretarios Generales, Tesoreros, Directores Financieros de: (i) los Establecimientos Públicos, (ii) las Unidades Administrativas Especiales, (iii) las Empresas Públicas de Servicios Públicos Domiciliarios, (iv) las Empresas Sociales del Estado, (v) las Empresas Industriales y Comerciales del Estado y (vi) las Sociedades de Economía Mixta.”
Es importante indicar que, según el parágrafo del artículo citado, la calidad de PEP se mantendrá durante el ejercicio del cargo más los dos (2) años siguientes a su desvinculación por cualquier causa.
Sobre la obligación de las PEP, el artículo 3 del Decreto 830 de 2021 incluye los siguientes puntos:
"ARTÍCULO 2.1.4.2.4. Obligación de las Personas Expuestas Políticamente y de las entidades. Personas consideradas como Personas Expuestas Políticamente (PEP) informarán su cargo, fecha de vinculación y fecha de desvinculación durante la debida diligencia realizada en los procesos de vinculación, monitoreo y actualización de los datos del cliente, a los sujetos obligados del artículo 2.1.4.2.2.
Las Personas Expuestas Políticamente deberán, además, declarar: (i) los nombres e identificación de las personas con las que tengan sociedad conyugal, de hecho, o de derecho; (i) los nombres e identificación de sus familiares hasta segundo grado de consanguinidad, primero afinidad y primero civil; (i) la existencia de cuentas financieras en algún país extranjero en caso de que tengan derecho o poder de firma o de otra índole sobre alguna; y (iv) los nombres e identificación de las personas jurídicas o naturales, patrimonios autónomos o fiducias conforme lo dispuesto en el artículo 2.1.4.2.3. del presente Decreto.
(…)
La declaración mencionada en el numeral (i) deberá efectuarse ante: (a) el intermediario del mercado cambiario; (b) las entidades financieras en donde posea producto o servicios financiero en Colombia, y (c) a los sujetos obligados al cumplimiento de la regulación vigente sobre el riesgo de lavado de activos y financiación del terrorismo. (...)” (Se resalta).
Es preciso indicar que el deber de debida diligencia que recae sobre las empresas obligadas en los términos del Capítulo X de la Circular Básica Jurídica, debe ser comprendido bajo el principio de autocontrol y gestión del riesgo. Esto se materializa, según el punto 5.2. de la Circular, en un proceso que incluye la identificación de riesgos, la medición o evaluación de estos, así como el control y el monitoreo de los mismos. De acuerdo con la Circular(2) estas fases están proyectadas como actividades circunscritas al ámbito interno de las empresas obligadas, de manera que la información de los beneficiarios finales y las contrapartes, que se recaude para estos fines, no será objeto de publicación, pues la empresa deberá designar dentro de su planta de trabajo a un Oficial de Cumplimiento “responsable de la auditoría y verificación del cumplimiento del SAGRILAFT' (5.1.2.). (Resaltado fuera de texto)
En ese orden ideas, a menos que la información recaudada por la Empresa Obligada sea requerida por la autoridad de inspección, vigilancia y control, en este caso, la Superintendencia de Sociedades, la misma no podrá ser transmitida a una persona jurídica o natural distinta a quien la solicitó.
Ahora bien, dado que el objeto de consulta hace referencia al suministro de datos sensibles de algunos servidores del ICBF en el marco del cumplimiento del SAGRILAFT por parte de las empresas obligadas, es importante tener en cuenta la Ley 1581 de 2012. Según su artículo 2, los principios y disposiciones contenidas en la ley son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.
El artículo 5 del a ley define los datos sensibles como “(...) aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”
El dato personal, a su vez puede ser (i) público o de dominio público, (ii) semiprivado, (iii) privado, y (iv) reservado o secreto. Dicha clasificación fue explicada en la sentencia T-238 de 2018, así:
1. La información pública es aquella que, según los mandatos de la ley o de la Constitución, puede ser obtenida y ofrecida sin reserva alguna y sin importar si se trata de información general, privada o personal. Se trata por ejemplo de los documentos públicos, las providencias judiciales debidamente ejecutoriadas, los datos sobre el estado civil de las personas o sobre la conformación de la familia. Este tipo de información se puede solicitar por cualquier persona de manera directa y no existe el deber de satisfacer algún requisito para obtenerla.
2. Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley” (Ley 1266 de 2008)
Esta Corporación se ha pronunciado sobre los datos que pueden constituir información semiprivada. En efecto, desde la sentencia T-729 de 2002(3) reiterada por la sentencia C-337 de 2007(4), la Corte señaló que ésta se refiere “a los datos que versan sobre información personal o impersonal que no está comprendida en la regla general anterior, porque para su acceso y conocimiento presenta un grado mínimo de limitación, de tal forma que sólo puede ser obtenida y ofrecida por orden de autoridad administrativa o judicial en el cumplimiento de sus funciones o en el marco de los principios de la administración de datos personales”
3. La información privada es aquella que por versar sobre información personal y por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, los documentos privados, las historias clínicas y la información extraída a partir de la inspección del domicilio.
4. La información reservada versa sobre información personal y guarda estrecha relación con los derechos fundamentales del titular a la dignidad, a la intimidad y a la libertad, motivo por el cual se encuentra reservada a su órbita exclusiva y “(...) no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones. Cabría mencionar aquí la información genética, y los llamados "datos sensibles" o relacionados con la ideología, la inclinación sexual, los hábitos de la persona, etc.”(5)
La Ley 1581 de 2012 establece las condiciones para el tratamiento de datos. En ese sentido, señala que el titular de los datos tendrá, entre otros, el derecho de conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento; así como solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la citada ley.(6)
Dentro de los principios consagrados en la norma se encuentra el de finalidad, incluido en el literal b) del artículo 4, donde se señala que el “tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular”.
Asimismo, el literal f) del mismo artículo precisa que el tratamiento de datos “se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley (...)”. Aunado a esto, en el citado artículo 4 la ley incluye los principios de seguridad y confidencialidad, así:
“g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.” (Se resalta).
Con base en estas cláusulas, queda clara la obligación que pesa sobre quienes participen en el tratamiento de datos sensibles de garantizar su confidencialidad, seguridad, circulación restringida y uso adecuado conforme a las finalidades del mismo.
3.1. RESPUESTA A LAS PREGUNTAS FORMULADAS
Con el fin de atender las preguntas formuladas por la Dirección Financiera, a través del memorando No. 202212300000011823, resulta útil presentar un análisis conjunto de las dos primeras preguntas y posteriormente de la tercera.
1. ¿Debe el ICBF entregar toda la información solicitada por las empresas obligadas a implementar SAGRILAFT? 2. ¿En qué casos el ICBF debe responder de manera parcial o total a las solicitudes de información de las empresas?
El ICBF se encuentra en la obligación de proporcionar toda la información que las empresas obligadas le soliciten para implementar su SAGRILAFT, siempre y cuando dicha información se encuentre dentro del ámbito temático trazado en el punto 5.3. del Capítulo X de la Circular Básica Jurídica, referente a los procedimientos de debida diligencia y debida diligencia intensificada.
En el apartado mencionado de la Circular se incluyen criterios orientadores sobre las medidas mínimas que deben adoptar las empresas obligadas en relación con la identificación de contrapartes y beneficiarios finales, lo que incluye la información sobre la composición de las sociedades, estructura, la finalidad de la contraparte y su consistencia con las operaciones llevadas a cabo con la empresa obligada.
Además, es importante recordar que la Circular precisa que los formatos empleados por las empresas obligadas para el conocimiento de las contrapartes “(...) podrán ajustarse de acuerdo con las características de cada industria o sector económico al que pertenezcan, y conforme a los Factores de Riesgo LA/FT/FPADM identificados, a la Matriz de Riesgo LA/FT/FPADM y la materialidad del Riesgo LA/FT/FPADM.” En aplicación de esto, “Para el análisis de las operaciones con las Contrapartes, la Empresa Obligada debe construir una base de datos u otro mecanismo que le permita consolidar e identificar alertas presentes o futuras. Esta base de datos debe contener, como mínimo el nombre de la Contraparte ya sea persona natural o jurídica, la identificación, el domicilio, el Beneficiario Final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeña, fecha del proceso de conocimiento o monitoreo de la Contraparte.” (Resaltado fuera de texto).
Este proceso de debida diligencia se intensifica, entre otras cosas, cuando se trata de los PEP, y con ello, “(...) además de las medidas comunes de procedimiento de conocimiento de la Contraparte, las Empresas Obligadas en el proceso de Debida Diligencia Intensificada deben: (i) obtener la aprobación de la instancia o empleado de jerarquía superior para la vinculación o para continuar con la relación contractual; (i) adoptar Medidas Razonables para establecer el origen de los recursos; y (i) realizar un monitoreo continúo e intensificado de la relación contractual.”
A partir de esto, más allá de un tipo de información taxativamente señalada como obligatoria o no, dentro de aquella que el ICBF debe proporcionar a las empresas obligadas a tener SAGRILAFT, lo fundamental es observar si lo requerido por dichas empresas se enmarca dentro de las medidas razonables que la Superintendencia de Sociedades le exige en el marco del proceso de autocontrol y gestión de la debida diligencia.
En todo caso, esto no es óbice para que se dé también cumplimiento a las disposiciones normativas en torno a la protección de datos sensibles con base en la Ley 1581 de 2012, punto que se abordará en el siguiente acápite.
3. ¿Cuándo la información que solicitan las empresas es “reservada”, debo remitir la información privada de los funcionarios del ICBF?
Para responder esta pregunta es necesario realizar una aclaración preliminar. En el desarrollo de la situación fáctica que motivó esta solicitud, se indica que la Superintendencia de Sociedades ha requerido la siguiente información: “ Formato de Registro de proveedores y cuestionario totalmente diligenciado y firmado por representante legal (archivo adjunto). Certificado de existencia y representación legal (no mayor a dos meses). RUT - No mayor a un año de emisión. Certificación bancaria actualizada. Copia de la cedula del Representante Legal. Composición accionaria. Certificado de SG-SST emitido por ARL (donde indique el porcentaje de implementación).
Manual de Seguridad en el Trabajo (Archivo adjunto). Certificación BASC (Si aplica). Últimos Estados financieros. Dos referencias comerciales actualizadas. Formato firmado Certificado SAGRILAFT/ANTICORRUPCIÓN (archivo adjunto).” En ese sentido, se observa que la información requerida no se enmarca dentro del concepto de información "reservada” que desarrolla la Corte Constitucional. En todo caso, por cuenta del contenido de la información requerida se deberán adoptar las medidas derivadas de la Ley 1581 de 2012.
En efecto, como se evidenció en el análisis previo, tanto la Circular Básica Jurídica como el Decreto 830 de 2021 regulan las obligaciones en materia de reporte de información que recaen en cabeza de las Personas Expuestas Políticamente (PEP). La regulación no contempla en sí misma una reserva específica derivada de la fuente de información que se solicita.
Ahora bien, si lo que se requiere por parte de las empresas obligadas constituyen datos con información privada o semiprivada a la luz de los criterios señalados en la Ley 1581 de 2012 y la jurisprudencia constitucional, será imperativo que se dé aplicación a los principios contenidos en esta norma a través de instrumentos que permitan salvaguardar la integridad de la información proporcionada a las empresas obligadas, su seguridad, confidencialidad, circulación restringida y el uso exclusivo de la misma para los fines por los cuales fue requerida, esto es, el desarrollo de la debida diligencia en el marco de la implementación de un SAGRILAFT.
Este instrumento podría constituirse a través de un compromiso de confidencialidad y no divulgación, mediante el cual la empresa obligada asume compromisos específicos en relación con la indemnidad de la información que se le proporciona, en especial cuando se trate de datos sensibles.
El compromiso de confidencialidad y no divulgación sería necesario para el tratamiento de la información y la autorización de tratamiento de datos personales, donde se considera información confidencial: a) Aquella que, como conjunto, por la configuración o estructuración exacta de sus componentes, no sea generalmente conocida. b) La que esté protegida de acuerdo con su clasificación. c) Aquella información que no esté sujeta a medidas de protección razonables, de acuerdo con las circunstancias del caso, a fin de mantener su carácter confidencial, y d) Información que de acuerdo con la naturaleza del Instituto se debe mantener en absoluta reserva y aquella que la normativa colombiana catalogue como información reservada y/o confidencial o que no sea considerada información pública del Estado.
Esta fórmula es completamente coherente con la naturaleza de la debida diligencia derivada del SAGRILAFT, pues precisamente este es un sistema de autocontrol y gestión en el cual la información recaudada reposa en la empresa obligada, a menos que la Superintendencia de Sociedades exija acceso a la misma, lo que tampoco constituirá un mecanismo de publicitación o circulación abierta de la información.
4. CONCLUSIONES
A partir de las consideraciones expuestas en los acápites anteriores, es pertinente concluir lo siguiente:
1. El ICBF está obligado a proporcionar la información que requieran las empresas obligadas en el marco de lo dispuesto en la Circular Básica Jurídica de la Superintendencia de Sociedades.
2. La información concerniente a personas expuestas políticamente (PEP) debe proporcionarse en los términos de la circular antes mencionada y sus modificaciones, y del artículo 3 del Decreto 830 de 2021.
3. Las empresas obligadas a tener un SAGRILAFT no deben hacer pública la información entregada, salvo en lo que se refiere a la atención de los requerimientos de la Superintendencia de Sociedades.
4. La entrega de la información mencionada podría conllevar la suscripción de un compromiso de confidencialidad y no divulgación, mediante el cual la empresa obligada asume compromisos específicos en relación con la indemnidad de la información que se le proporciona, en especial cuando se trate de datos privados y semiprivados. Esto en los términos de la Ley 1581 de 2012.
La presente respuesta tiene naturaleza de concepto jurídico y constituye un criterio auxiliar de interpretación, de conformidad con los establecido en los artículos 26 del Código Civil y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, sustituido por el artículo 1 de la Ley 1755 de 2015. No obstante lo anterior, tiene carácter vinculante para las dependencias internas del Instituto y terceros que colaboren en la prestación del servicio público o en el desarrollo de la función administrativa de competencia del ICBF, en virtud de la función asignada a la Oficina Asesora Jurídica de mantener la unidad doctrinaria e impartir las directrices jurídicas necesarias para el desarrollo de las funciones del Instituto, de conformidad con los numerales 8 y 15 del Artículo 6 del Decreto 987 de 2012.
Cordialmente,
EDGAR LEONARDO BOJACÁ CASTRO
Jefe Oficina Asesora Jurídica
1. Para tener claridad sobre la terminología empleada en esta normatividad, es conveniente acudir al Capítulo X de la Circular Básica Jurídica que contiene una serie de definiciones fundamentales para atender la consulta objeto de este concepto, a saber:
- Contraparte: “es cualquier persona natural o jurídica con la que la Empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos de cualquier orden. Entre otros, son contrapartes los asociados, empleados, clientes, contratistas y proveedores de Productos de la Empresa.”
- Debida diligencia: “es el proceso mediante el cual la Empresa adopta medidas para el conocimiento de la Contraparte, de su negocio, operaciones, y Productos y el volumen de sus transacciones, que se desarrolla establecido en el numeral 5.3.1 de este Capítulo X.”
- Debida diligencia intensificada: “es el proceso mediante el cual la Empresa adopta medidas adicionales y con mayor intensidad para el conocimiento de la Contraparte, de su negocio, operaciones, Productos y el volumen de sus transacciones, conforme se establece en el numeral 5.3.2 de este Capítulo X.”
- Empresa Obligada: “es la Empresa que debe dar cumplimiento a lo previsto en el presente Capítulo X y que se encuentran listadas en el numeral 4 de dicho capítulo.”
- PEP: “significa personas expuestas políticamente, es decir, son los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando en los cargos que ocupen, tengan en las funciones del área a la que pertenecen o en las de la ficha del empleo que ocupan, bajo su responsabilidad directa o por delegación, la dirección general, de formulación de políticas institucionales y de adopción de planes, programas y proyectos, el manejo directo de bienes, dineros o valores del Estado. Estos pueden ser a través de ordenación de gasto, contratación pública, gerencia de proyectos de inversión, pagos, liquidaciones, administración de bienes muebles e inmuebles. Incluye también a las PEP Extranjeras y las PEP de Organizaciones Internacionales.” (Resaltado fuera de texto).
2.> Punto 5.2 y siguientes.
3. M.P. Eduardo Montealegre Lynett.
4. M.P. Jaime Córdoba Triviño.
5. Sentencia T-729 de 2002, M.P. Eduardo Montealegre Lynett.
7. Circular Externa No. 100-000005 del 22 de noviembre de 2017, la cual fue modificada en su Capítulo X por parte de la Circular Externa No. 100-000016 del 24 de diciembre de 2020, a su vez modificada por la Circular Externa No. 100-000004 del 09 de abril de 2021.
