Por: Superintendencia de Sociedades
24/02/2022
Me refiero a su comunicación radicada con el número de la referencia, mediante la cual, previas las consideraciones allí expuestas, formula una consulta relacionada con la normatividad vigente sobre el proceso de debida diligencia intensificada de las Empresas Obligadas a implementar el SAGRILAFT, en los siguientes términos:
“1. Teniendo en cuenta la circular 100-000016 de 24 de diciembre de 2020 de esta Superintendencia, en lo particular en el numeral 5.3, 5.3.1., 5.3.1.1. y 5.3.2., que
menciona la obligatoriedad de las empresas obligadas a realizar la debida diligencia intensificada, y en virtud de este ejercicio ¿es posible que las entidades públicas se puedan negar a la entrega de información por parte de la empresa obligada?
2. ¿Existe alguna excepción por parte de las empresas públicas la cual permita el no cumplimiento en la entrega de información con relación a la debida diligencia
intensificada de conformidad con la circular 100-000016 del 24 de diciembre de 2020?
3. En caso de que le asista alguna excepción por parte de las entidades públicas con relación a la obligatoriedad al cumplimiento de la debida diligencia intensificada, por favor mencionar el soporte normativo de esta.
4. Existe algún mecanismo legal u obligación de las entidades públicas que disponga de la publicación de la información correspondiente a la debida diligencia ampliada para ella y sus respectivos funcionarios.”
Previamente a responder sus inquietudes, debe señalarse que, en atención al derecho de petición en la modalidad de consulta, la Superintendencia de Sociedades con fundamento en los artículos 14 y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, emite conceptos de carácter general y abstracto sobre las materias a su cargo, y sus respuestas a las consultas no son vinculantes ni comprometen la responsabilidad de la entidad.
También es procedente informarle, para efecto del conteo de términos en la atención de su consulta, que mediante el artículo 5º de la parte resolutiva del Decreto Legislativo 491 del 28 de marzo de 2020, expedido con ocasión de la emergencia sanitaria derivada del Coronavirus COVID-19 y mientras ésta se mantiene, el Gobierno Nacional amplió los términos para que entidades como esta Superintendencia atiendan peticiones de consulta en treinta y cinco (35) días.
Con el alcance indicado, y para dar respuesta a su consulta, éste Despacho procede a efectuar las siguientes consideraciones de índole jurídico:
1. DEBIDA DILIGENCIA INTENSIFICADA SOBRE ENTIDADES PÚBLICAS
En primer lugar, resulta importante mencionar que, respecto de las compañías que se encuentran supervisadas por la Superintendencia de Sociedades, la obligación de adoptar un sistema de prevención de LA/FT/FPADM se predica, únicamente, de aquellas que cumplen los requisitos establecidos en los numerales 4º y 6º del Capítulo X de la Circular 100-000005 de 2017 expedida por esta Superintendencia, y modificado por la Circular 100-000016 de 2020.1
Dentro de las órdenes que deben cumplirse, en el marco de la gestión del riesgo LA/FT/FPADM, se halla el adelantamiento de procesos de debida diligencia para
asegurar el adecuado conocimiento de la Contraparte y su Beneficiario Final. De acuerdo con el numeral 5.3.1. del referido Capítulo X, el objetivo de tales
procedimientos es:
“(…)
a. Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
b. Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad.
c. Tratándose de Personas Jurídicas, se deben tomar Medidas Razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y el número
de identificación de los Beneficiarios Finales, haciendo uso de las herramientas de que disponga. Las medidas tomadas deben ser proporcionales al nivel del
riesgo y su materialidad o complejidad inducida por la estructura de titularidad de la sociedad mercantil o la naturaleza de los asociados mayoritarios.
d. Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
e. Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que
las transacciones que se realicen sean consistentes con el conocimiento que tiene la Empresa Obligada sobre la Contraparte, su actividad comercial y el perfil
de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.
(…)”.
Como puede advertirse, el propósito de la información a recolectar es asegurar la plena identificación de la persona, natural o jurídica, con la que se establecerá la relación jurídica (Contraparte) y de la persona natural en quien pueden radicarse los efectos
1 Modificada parcialmente por las Circulares Externas 100-000004 y 100-000015 de 2021. finales de la operación (Beneficiario Final); lo anterior, en conjunto con la información relacionada con: (i) la estructura de propiedad de la persona jurídica que funja como Contraparte; (ii) el propósito de la relación a establecer; (iii) la consistencia de las transacciones realizadas con el conocimiento que se ha obtenido de la actividad comercial, la fuente de fondos y el perfil de riesgos de la Contraparte.
Habiendo expuesto esto, conviene resaltar que una de las premisas del señalado Capítulo X es la proporcionalidad que los procedimientos de gestión deben tener frente a los riesgos identificados: “A mayor riesgo, mayor control”. Con esta premisa, se apunta a exigir que la sociedad intensifique las medidas con las que busca mitigar su exposición al riesgo cuando estos tienen una alta materialidad.
Una de las manifestaciones de esta premisa se halla en la obligación de realizar una debida diligencia intensificada respecto de las Contrapartes que (i) representen un mayor riesgo; (ii) sean Personas Expuestas Políticamente (PEP’s); (iii) estén domiciliadas en jurisdicciones no cooperantes o de alto riesgo; o (iv) desarrollen actividades con Activos Virtuales. Estos procedimientos son complementarios a la debida diligencia ordinaria (numeral 5.3.1) y buscan tener mayor control sobre los riesgos a los que la Empresa Obligada puede ser más vulnerable.
Así las cosas, estos procedimientos de debida diligencia implican: (i) obtener la aprobación de la instancia o empleado de jerarquía superior para la vinculación o
continuación de la relación jurídica; (ii) adoptar Medidas Razonables para establecer el origen de los recursos; y (iii) realizar un monitoreo continuo e intensificado de la relación contractual. Todo lo anterior, conforme se expone en el numeral 5.3.2. del tantas veces señalado Capítulo X.
Ahora bien, con su consulta, advertimos que busca establecer: (i) si es necesario realizar un procedimiento de debida diligencia intensificada sobre una entidad pública; (ii) si las entidades públicas, en el marco del desarrollo de estos procedimientos, pueden rehusarse, justificadamente, a suministrar información relacionada con la debida diligencia; y (iii) si es posible exigirle a la entidad pública información que se rehusó a entregar.
Considerando lo anterior, conviene recordar que, según expone el Grupo de Acción Financiera Internacional (GAFI) en su recomendación No. 10, las relaciones jurídicas que se establezcan con empresas públicas representan un riesgo menor:
“(…)
Riesgos menores
16. Hay circunstancias en las que el riesgo de lavado de activos o financiamiento del terrorismo puede ser menor. En estas circunstancias, y siempre que medie
un análisis adecuado del riesgo por parte del país o la institución financiera, puede ser razonable que un país permita a sus instituciones financieras aplicar
medidas simplificadas de DDC. Al evaluar los riesgos de lavado de activos y financiamiento del terrorismo relativos a los tipos de clientes, países o áreas
geográficas, y productos en particular, servicios, transacciones o canales de envío, entre los ejemplos de posibles situaciones de riesgo menor se pueden
citar los siguientes:
(a) Factores de riesgo con respecto al cliente:
Instituciones financieras y APNFD – cuando éstas están sujetas a requisitos para combatir el lavado de activos y el financiamiento del terrorismo en concordancia con las Recomendaciones del GAFI, han implementado con eficacia esos requisitos y están supervisadas o monitoreadas con eficacia en
concordancia con las recomendaciones para asegurar el cumplimiento con dichos requisitos.
Sociedades mercantiles públicas cotizadas en una bolsa y sujetas a requisitos sobre la revelación (ya sea por normas de la bolsa o por las leyes u otros medios coercitivos), que imponen requerimientos para asegurar una adecuada transparencia sobre el beneficiario final.
Administraciones o empresas públicas.” (Negrilla fuera del texto).
A partir de lo anterior, se debe señalar que, si bien el riesgo es menor, la debida diligencia sí debe ser realizada. En consecuencia, lo que varía no es el deber de realizar los procedimientos de debida diligencia sino la proporcionalidad de estos procedimientos frente al riesgo que implica establecer una relación jurídica con una empresa pública. Frente a los riesgos menores, la señalada recomendación No. 10 describe los siguientes procedimientos denominados “Medidas Simplificadas”:
“(…)
21. Medidas simplificadas de DDC
Cuando los riesgos de lavado de activos o financiamiento del terrorismo son más bajos, se puede permitir a las instituciones financieras que ejecuten medidas
simplificadas de DDC, las cuales deben tomar en cuenta la naturaleza del riesgo menor. Las medidas simplificadas deben corresponderse con los factores de un
riesgo menor (ej.: las medidas simplificadas pueden relacionarse solamente a medidas de aceptación del cliente o a aspectos del monitoreo continuo).
Ejemplos de posibles medidas:
Verificación de la identidad del cliente y del beneficiario final luego del establecimiento de la relación comercial (ej.: si las transacciones de la cuenta sobrepasan un umbral monetario definido).
Reducción de la frecuencia de actualizaciones de la identificación del cliente.
Reducción del grado de monitoreo continuo y examen de las transacciones, basado en un umbral monetario razonable.
No recopilación de información específica o se ejecutan medidas específicas para entender el propósito y el carácter que se pretende dar a la relación comercial, sino que se infiere el propósito y la naturaleza a partir del tipo de transacciones o relación comercial establecida.
Las medidas de DDC simplificadas no son aceptables siempre que exista una sospecha de lavado de activos o financiamiento del terrorismo o cuando se
apliquen en escenarios específicos de mayor riesgo”.
Estas medidas, como se resalta en la recomendación, no son aceptables siempre que exista una sospecha de riesgo LA/FT/FPADM.
En consecuencia, frente a las empresas públicas sí deben realizarse procedimientos de debida diligencia. Sin embargo, no es necesario realizar procedimientos de debida diligencia intensificada, ya que, de acuerdo con la naturaleza de este riesgo, según se expone en la recomendación No. 10 del GAFI, es posible realizar procedimientos simplificados de debida diligencia como la no recopilación de información específica; lo anterior, siempre y cuando no exista sospecha de riesgo LA/FT/FPADM.
2. INFORMACIÓN DE ENTIDADES PÚBLICAS SOMETIDA A RESERVA
En el artículo 24 de la Ley 1437 de 2011, modificado por el artículo 1 de la Ley 1755 de 2015, se dispone que solo tendrá el carácter de reservado los documentos o información expresamente sometida a la reserva legal; esto, tal como se enlista a continuación:
1. Los relacionados con la defensa o seguridad nacionales.
2. Las instrucciones en materia diplomática o sobre negociaciones reservadas.
3. Los que involucren derechos a la privacidad e intimidad de las personas, incluidas en las hojas de vida, la historia laboral y los expedientes pensionales y demás registros de personal que obren en los archivos de las instituciones públicas o privadas, así como la historia clínica.
4. Los relativos a las condiciones financieras de las operaciones de crédito público y tesorería que realice la nación, así como a los estudios técnicos de valoración de los activos de la nación. Estos documentos e informaciones estarán sometidos a reserva por un término de seis (6) meses contados a partir de la realización de la respectiva operación.
5. Los datos referentes a la información financiera y comercial, en los términos de la Ley Estatutaria 1266 de 2008.
6. Los protegidos por el secreto comercial o industrial, así como los planes estratégicos de las empresas públicas de servicios públicos.
7. Los amparados por el secreto profesional.
8. Los datos genéticos humanos.
Por su parte, en el artículo 2 Ley 1712 de 2014 se reitera lo dispuesto por la Ley 1437 de 2011, el cual dispone que toda información en posesión, bajo control o custodia de un sujeto obligado es pública y no podrá ser reservada o limitada sino por disposición constitucional o legal, de conformidad con la ley.
A su vez, en los artículos 18 y 19 de la norma en mención, se dispone cual información es exceptuada, tal y como se evidencia a continuación:
“ARTÍCULO 18. INFORMACIÓN EXCEPTUADA POR DAÑO DE DERECHOS A PERSONAS NATURALES O JURÍDICAS. Corregido por el art. 2, Decreto Nacional 1494 de 2015. Es toda aquella información pública clasificada, cuyo acceso podrá ser rechazado o denegado de manera motivada y por escrito, siempre que el acceso pudiere causar un daño a los siguientes derechos:
a). Corregido por el art. 1, Decreto Nacional 2199 de 2015. El derecho de toda persona a la intimidad, bajo las limitaciones propias que impone la condición de
servidor público, en concordancia con lo estipulado por el artículo 24 de la Ley 1437 de 2011.;
b) El derecho de toda persona a la vida, la salud o la seguridad;
c) Los secretos comerciales, industriales y profesionales, así como los estipulados en el parágrafo del artículo 77 de la Ley 1474 de 2011.
PARÁGRAFO. Estas excepciones tienen una duración ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación de
sus datos personales o privados o bien cuando es claro que la información fue entregada como parte de aquella información que debe estar bajo el régimen de
publicidad aplicable.”
“ARTÍCULO 19. INFORMACIÓN EXCEPTUADA POR DAÑO A LOS INTERESES PÚBLICOS. Es toda aquella información pública reservada, cuyo acceso podrá ser rechazado o denegado de manera motivada y por escrito en las siguientes circunstancias, siempre que dicho acceso estuviere expresamente prohibido por una norma legal o constitucional:
a) La defensa y seguridad nacional;
b) La seguridad pública;
c) Las relaciones internacionales;
d) La prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso;
e) El debido proceso y la igualdad de las partes en los procesos judiciales;
f) La administración efectiva de la justicia;
g) Los derechos de la infancia y la adolescencia;
h) La estabilidad macroeconómica y financiera del país;
i) La salud pública.
PARÁGRAFO. Se exceptúan también los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos.”
En este orden de ideas, esta Oficina se permite dar respuesta a las preguntas formuladas en el mismo orden en que fueron presentadas:
Frente a la primera inquietud, en algunos casos, las entidades públicas, en calidad de contrapartes, pueden acogerse a la reserva de ley para no divulgar parte de su información; no obstante, el Sistema Interno de Prevención del Riesgo de LA/FT/FPADM de la entidad obligada debe contar con suficientes y diversos métodos
que permitan a la misma aproximarse, lo más posible, al conocimiento del beneficiario final, real y/o controlante. En todo caso, se recuerda que la debida diligencia de las entidades públicas puede ser objeto de Medidas Simplificadas en los términos de la referida recomendación No. 10.
Con relación a la segunda y tercera solicitud, en los artículos 24 de la Ley 1437 de 2011 modificado por el artículo 1 de la Ley 1755 de 2015, 27 y 28 de la Ley 1712 de 2012, se enlistan los casos en los que las entidades públicas podrán abstenerse de entregar la información solicitada.
Frente a la cuarta inquietud, en el artículo 11 de la Ley 1712 de 2012 se establece la información que las entidades públicas están obligadas a publicar en desarrollo de sus funciones y procedimientos a su cargo.
En los anteriores términos se han atendido sus inquietudes, no sin antes manifestarle que el presente oficio tiene los alcances del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
