La legislación sobre protección de datos de carácter personal exige a
la Base de Datos de Clientes, calidad y proporcionalidad, cualidades que
se logran cuando la empresa tiene establecidas políticas y procedimientos
adecuados para la recogida y utilización de los datos de los clientes, junto
con un órgano responsable de su cumplimiento y un departamento encargado de
velar por la calidad de esa información.
Para que esta información pueda ser utilizada de forma eficiente por toda
la organización, deberá estar informatizada y revestida de las necesarias medidas
de seguridad, de manera que sólo pueda ser explotada con una autorización
específica por cada miembro de la organización.
El Departamento de Prevención del
Fraude es el que tiene bajo su
responsabilidad, el cuidado de la calidad y proporcionalidad de la Base de
Datos de Clientes.
Teniendo en cuenta lo establecido en el artículo 4 de la Ley Orgánica
15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, las
cualidades (calidad y proporcionalidad) de la información
existente en la base de datos de clientes, deberán estar recogidas en el
documento dedicado a la Política Expresa de Admisión de Clientes, y
explicitadas en todas y cada una de las obligaciones de diligencia debida,
formando parte de la cultura de trabajo de los empleados que trabajan en el
“front office” de la empresa.
Como consecuencia, la información que éstos recojan en su actividad
comercial deberá ser adecuada, pertinente, no excesiva, exacta,
permanentemente puesta al día, y sólo podrá usarse para las finalidades
determinadas, explícitas y legítimas para las que fue
requerida.
Para este trabajo, El Departamento de Prevención del Fraude:
- Colaborará con los distintos departamentos de negocio en la definición de los datos exigibles a los clientes, teniendo en cuenta las necesidades informativas de cada modalidad de operación y tipo de clientes. En los aspectos que tienen que ver con la prevención del blanqueo de capitales y de la financiación del terrorismo, lo hará en coordinación con su Departamento específico.
- Comprobará de forma selectiva, dentro de la base de datos de clientes, que la información cedida a la misma por los departamentos de comercialización cumple con los requisitos de calidad y proporcionalidad, sin perjuicio de las competencias específicas del Departamento de Auditoría en esta materia.
La razón por la que estas dos funciones están encomendadas al Departamento
de Prevención del Fraude, es porque la principal información que ha de tener
esa base de datos es la relativa a la identificación formal de los clientes
como personas físicas, así como la identificación del titular real en las
operaciones de riesgo en las que intervienen personas jurídicas, y éste
departamento es el que posee las herramientas necesarias para controlar el
fraude de identidad.
Igualmente este departamento está especialmente capacitado para colaborar
con los restantes departamentos de negocio y cumplimiento, en la
verificación del propósito e índole de la relación de negocios, cuando esta
verificación resulte complicada utilizando las herramientas departamentales
ordinarias. También puede intervenir en la verificación externa de las operaciones
de riesgo, entre las alertadas por las herramientas de monitorización, que
son las que permiten el seguimiento continuo de la relación de negocios.
El Departamento de Prevención del Fraude, por su especialización operativa,
tiene un importante protagonismo dentro de la actividad KYC (conocimiento del
cliente), cuidando de la veracidad de la información, y de que la misma se
presente en la forma exigida por la legislación de protección de datos de
carácter personal.
Los datos recogidos de los clientes, para que pasen a formar parte de la base
de datos de clientes, han de cumplir con lo establecido en el artículo 4 de
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, que exige para su tratamiento que “sean adecuados, pertinentes
y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hayan obtenido”
Igualmente, los datos de carácter personal existentes en la base de datos
de clientes, según el artículo 4 anteriormente citado, han de ser exactos
y puestos al día, y no podrán usarse para finalidades incompatibles
con aquellas para las que se hayan obtenido.
El Departamento de seguridad
informática, con sus herramientas tecnológicas y entre ellas el SIEM,
ofrecerá la seguridad necesaria a la base de datos de clientes y controlará su
adecuada explotación por el personal de los distintos departamentos de la
empresa.
En las empresas que tienen un cierto grado de complejidad, esta seguridad
sólo será posible mediante una estructura tecnológica conocida como SIEM,
“security information and event management”, que es una plataforma de
control de la información que está a cargo del CISO (chief information
security officer).
El CISO es el ejecutivo que, ayudado por su equipo informático, tiene la
responsabilidad de asegurar los activos de información y de
proteger adecuadamente su explotación.
El departamento de informática, por tanto, es el gestor de la seguridad de
la información, y el que controla que su utilización por el personal de la
empresa se haga conforme a las reglas concretadas en las políticas
aprobadas por el órgano de dirección.
Los filtros de exclusión
En el cumplimiento de las obligaciones de diligencia debida, la cesión de
información a la base de datos de clientes ha de pasar primero por un Filtro de
Exclusión.
Este filtro tiene como misión impedir la aceptación como clientes de
aquellas personas físicas y jurídicas sobre las que exista alguna prohibición legal
o administrativa, o que representen un riesgo no asumible por la propia
empresa.
Los filtros de exclusión han de estar explicitados en la Política Expresa
de Admisión de Clientes, concepto tomado de la legislación sobre prevención del
blanqueo de capitales por motivos de homogeneización sectorial, pero no
circunscrito a esta materia específica.
Sería irracional que para cada materia de cumplimiento o de negocio, la
empresa tuviera que crear una política expresa de admisión de clientes,
por lo que resulta lógico que en la empresa exista una sola Política que recoja
todas las exclusiones de clientes, que deberá cumplimentarse antes de que
se establezcan las relaciones de negocio o se permitan las operaciones.
Lógicamente, entre las exclusiones estarán de forma destacada las derivadas de
la prevención del blanqueo de capitales y de la financiación del terrorismo,
pero también otras que puedan ser de interés para la empresa, como las
derivadas de la investigación del fraude.
En la práctica, las exclusiones funcionarán mediante los filtros
establecidos en sus respectivas plataformas tecnológicas por los
departamentos de control y cumplimiento, que coordinará el SIEM del
departamento de seguridad informática.
Las exclusiones, en algunos casos, darán lugar a determinadas
obligaciones de información o de cesión de datos, como por ejemplo:
- En las exclusiones originadas por el cumplimiento de la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, el departamento del mismo nombre tendrá que cumplir con las obligaciones de información establecidas por la Ley 10/2010 y su Reglamento de desarrollo. Y si la entidad fuese usuaria de algún repositorio externo fundamentado en el artículo 33.2 de dicha Ley, procederá a la cesión de una parte de esta información al repositorio, en cumplimiento de las obligaciones de reciprocidad que están establecidas para el funcionamiento de este tipo de bases de datos PBC/FT.
- En las exclusiones originadas por los filtros de prevención del fraude, serán las propias plataformas tecnológicas de prevención del fraude las que se alimenten de la información excluida, mejorando así su funcionamiento futuro.
Aquella información que supere los filtros de
exclusión será la que se ceda a la Base de Datos de Clientes.
La Base de Datos de Clientes, por tanto, puede entenderse como el
recipiente que contiene toda la información sobre los clientes en formato
electrónico, que será utilizada por cada departamento productivo y de
cumplimiento mediante sus propias herramientas tecnológicas para su respectiva
función, siendo el departamento de informática, a través de su plataforma
SIEM, el gestor de su seguridad y el controlador de su
utilización conforme a las reglas de uso determinadas por la empresa, mientras
que el departamento de prevención del fraude será el que controle
operativamente la calidad y proporcionalidad de esa información.
Entendida la Base de Datos de Clientes como el recipiente informatizado que
contiene toda la información de los clientes, podríamos entenderla como un
repositorio centralizado de información de clientes, lo que se asemeja
mucho más al concepto clásico de cartera de clientes.
Este repositorio centralizado de información de clientes requiere una
definición operativa de su contenido.
Hay muchas maneras de definir el contenido de este repositorio, pero
por razones de economicidad interesa hacerlo siguiendo los criterios que impone
la Ley 10/2010.
Debe contener la información KYC (Know Your Customer – Conoce a tu
cliente), exigida por la legislación de prevención del blanqueo, que tiene tres
componentes:
- Información pasiva de los clientes
- Información activa de los clientes
- Información derivada de los clientes
Información
pasiva de los clientes
Es la que recoge la empresa al inicio de la relación de negocios a través
de su "front office" o departamentos que están en contacto directo
con los clientes, utilizando para ello los procesos de verificación de datos y
su confrontación con fuentes internas y externas.
Esta información la clasificaremos siguiendo la metodología PBC/FT del
siguiente modo:
- La obtenida mediante la identificación formal de los clientes a través de documentos fehacientes.
- La obtenida mediante la identificación del titular real, en el caso de que los clientes sean personas jurídicas y esta información sea necesaria para asegurar la relación de negocios, o lo exija alguna norma de cumplimiento.
- La obtenida durante el proceso de averiguación del propósito e índole de la relación de negocios que los clientes pretenden establecer con la empresa, para lo que se comprobará la información aportada por los clientes y la información existente de los clientes en diferentes fuentes.
Información activa de los clientes
Es la que generan los clientes cuando operan dentro de la empresa; se
consigue mediante la Plataforma Tecnológica de Monitoreo de Operaciones.
Información derivada de los clientes
Que se obtiene de los clientes mediante las plataformas tecnológicas de
análisis y control de la información y las de cumplimiento normativo.
Toda esta información forma parte del repositorio centralizado de
información KYC contenido en la Base de Datos de Clientes, que es el recipiente
virtual en donde trabajarán las diferentes plataformas tecnológicas de negocio,
control y cumplimiento, que actuarán como filtros selectivos por los que
circulará de forma constante la información existente en el Repositorio,
enriqueciendo de esta manera la información del mismo.
Estas plataformas tecnológicas especializadas estarán construidas para
efectuar un trabajo de investigación específico, y para que sean eficientes
deberán cumplir con las siguientes reglas:
- Aunque en su construcción participe una empresa tecnológica especializada, deberán estar diseñadas con la participación de sus usuarios finales. Podrán ser herramientas creadas para uso exclusivo de una empresa concreta o para una generalidad de empresas.
- Para su óptimo funcionamiento, cada plataforma tecnológica tendrá definidos sus correspondientes factores de riesgo por los departamentos operativos o de cumplimiento de las que dependan.
- Han de trabajar con datos revestidos de la necesaria calidad y proporcionalidad.
Cada una de las diferentes plataformas departamentales de control y
cumplimiento será la que, en base a sus específicos filtros de control, proceda
a seleccionar en la base de datos de clientes aquellos tipos que
representen un riesgo superior al riesgo promedio de cara a sus objetivos
específicos.
La programación de las plataformas tecnológicas de control y cumplimiento,
estará reservada a los departamentos responsables de su explotación, quienes
deberán definir previamente sus propios factores de riesgo, junto con la
indicación expresa de cómo se debe actuar con cada uno de los grupos de
riesgo seleccionados. Entre estos departamentos se encuentran los de prevención
del fraude y los de prevención del blanqueo de capitales y de la financiación
del terrorismo.
La explotación económica de la información KYC la realizan los
distintos departamentos de negocio de la empresa como los de producción,
ventas, marketing, etc., a partir de La Base de Datos de Clientes, y mediante
sus propias Plataformas de Negocio.
No hay comentarios:
Publicar un comentario