RESUMEN: ¿Qué documentos del SAGRILAFT deben ser confidenciales según la normativa? La Superintendencia de Sociedades emitió un oficio que aclara los aspectos relacionados con la confidencialidad de los documentos del SAGRILAFT en las empresas obligadas. La normativa señala que, aunque los documentos del sistema deben ser divulgados a empleados y partes interesadas para garantizar su adecuado cumplimiento, existen excepciones legales que preservan la reserva de ciertos datos, como los reportes de operaciones sospechosas. Además, el cumplimiento de esta política debe respetar las disposiciones sobre protección de datos personales establecidas en las leyes colombianas.
En este contexto, el oficio destaca que la reserva no se extiende a toda la documentación del sistema SAGRILAFT, sino únicamente a aquellos aspectos específicamente regulados por la ley. Asimismo, subraya la obligación de las contrapartes de suministrar información en cumplimiento de la debida diligencia, sin que ello implique levantar la reserva de libros o registros privados. Estas disposiciones son clave para equilibrar la transparencia y la confidencialidad en la implementación del sistema.
Ver a continuación oficio Supersociedades sobre: ¿Qué documentos del SAGRILAFT deben ser confidenciales según la normativa?:
ASUNTO:
ALGUNOS ASPECTOS RELACIONADOS CON EL CAPÍTULO X DE LA CIRCULAR BÁSICA JURÍDICA
SUPERINTENDENCIA DE SOCIEDADES
OFICIO 220-308795 DEL 20 DE NOVIEMBRE DE 2024
Me refiero a su escrito radicado en esta entidad como se menciona en la referencia, mediante el cual solicita se emita un concepto relacionado con la reserva del documento del SAGRILAFT.
Previo a atender lo propio, debe señalarse que, en atención al derecho de petición en la modalidad de consulta, la Superintendencia de Sociedades con fundamento en los artículos 14 y 28 de la Ley 1437 de 2011, emite conceptos de carácter general y abstracto sobre las materias a su cargo, de manera que, sus respuestas a las consultas no son vinculantes, ni comprometen la responsabilidad de la entidad.
Con el alcance indicado, este Despacho se permite resolver su consulta, la cual fue planteada en los siguientes términos:
“PRIMERO. RESPONDER la siguiente solicitud de concepto: Sobre la Política y Manual de Procedimientos SAGRILAFT implementado en una empresa, ¿recae una obligación de confidencialidad en el documento?
SEGUNDO. RESPONDER la siguiente solicitud de concepto: Sobre la Matriz de Riesgos SAGRILAFT implementado en una empresa, ¿recae una obligación de confidencialidad en el documento?
TERCERO. RESPONDER la siguiente solicitud de concepto: ¿Existen documentos dentro del sistema SAGRILAFT que deben ser confidenciales y no pueden ser compartidos con terceros? ¿Cuáles son?
CUARTO. RESPONDER la siguiente solicitud de concepto: ¿Cuáles documentos dentro del sistema SAGRILAFT no son considerados confidenciales y pueden ser compartidos libremente con terceros?
QUINTO. RESPONDER la siguiente solicitud de concepto: ¿Una empresa cuenta con la facultad de no revelar o compartir los documentos del sistema SAGRILAFT?, y de igual forma, ¿Cuáles son los documentos del sistema SAGRILAFT que una empresa no puede mantener en reserva frente a la petición de terceros?”
Tratándose del tema objeto de consulta se responden la totalidad de las inquietudes en un mismo contexto pues las preguntas realizadas apuntan a una materia similar entre todas, por lo cual recordemos como primera medida, que el artículo 61 del Código de Comercio establece de manera expresa las excepciones al derecho de reserva señalando que “los libros y papeles del comerciante no podrán examinarse por personas distintas de sus propietarios o personas autorizadas para ello, sino para los fines indicados en la Constitución Nacional y mediante orden de autoridad competente”.
Ahora bien, la Superintendencia de Sociedades mediante la Circular 100-000016 de 2020 indica que para la puesta en marcha del SAGRILAFT, se requiere del cumplimiento efectivo de la Política LA/FT/FPADM y los procedimientos asociados a esta, entre ellos, como elemento clave del sistema, la divulgación y capacitación, los cuales deben estar incluidos en el manual, a saber:
“5.1.3. El SAGRILAFT deberá ser divulgado dentro de la Empresa Obligada y a las demás partes interesadas, en la forma y frecuencia para asegurar su adecuado cumplimiento, como mínimo una (1) vez al año.
Igualmente, la Empresa Obligada deberá brindarles capacitación a aquellos empleados, asociados y, en general, a todas las partes interesadas que considere que deban conocer el SAGRILAFT, lo cual se hará en la forma y frecuencia que la Empresa Obligada determine, con el propósito de asegurar su adecuado cumplimiento. Como resultado de esta divulgación y capacitación, todas las partes interesadas deberán estar en capacidad de identificar qué es una Operación Inusual o qué es una Operación Sospechosa, y el contenido y la forma como debe reportarse, entre otras.
La capacitación debe ser implementada de forma que el SAGRILAFT sea asimilado por los interesados y por quienes deban ponerlo en marcha, de manera que forme parte de la cultura de la Empresa Obligada. Si bien la periodicidad de estas capacitaciones estará determinada por cada Empresa Obligada, estas deberán tener lugar por lo menos una (1) vez al año y se debe dejar constancia de su realización, así como de los nombres de los asistentes, la fecha y los asuntos tratados”.
Por lo tanto, la Circular no especifica criterio alguno respecto a la confidencialidad de los documentos contentivos del SAGRILAFT, por el contrario, establece que este debe ser divulgado tanto al interior de la Empresa Obligada, es decir, a sus empleados, asociados y administradores, como a las demás vinculados o partes interesadas en el mismo.
Ahora bien, en la puesta en marcha de la aplicación del SAGRILAFT, la mencionada Circular respecto de las disposiciones legales en materia de protección de datos personales, señala:
“5.5. Documentación de las actividades del SAGRILAFT
(…)
La información suministrada por la Contraparte, como parte del proceso de Debida Diligencia y Debida Diligencia Intensificada, así como el nombre de la persona que la verificó, deben quedar debidamente documentadas con fecha y hora, a fin de que se pueda acreditar la debida y oportuna diligencia por parte de la Empresa Obligada. De cualquier forma, el desarrollo e implementación del SAGRILAFT por parte de la Empresa Obligada deberá respetar las disposiciones legales en materia de protección de datos personales contenidas en las Leyes 1266 de 2008, 1581 de 2012, y demás normas aplicables”.
Del mismo modo, el numeral 5.6 de la mencionada Circular, establece que la Empresa Obligada y el Oficial de Cumplimiento deberán garantizar la reserva del reporte de una Operación Sospechosa remitido a la UIAF, de conformidad con lo previsto en la Ley 526 de 1996 y demás normas que la adicionen, modifiquen o sustituyan.
Es de resaltar que esta entidad no puede enlistar los documentos e informaciones que se obtienen por parte de los obligados a implementar el SAGRILAFT toda vez que esta es una evaluación que debe hacer quien recibe la información y procede a su tratamiento en los términos de la legislación nacional, siendo así que se reitere para ilustración del peticionario, lo indicado por esta Oficina así:
“(…) Por otro lado, el parágrafo 4 del artículo 12 de la Ley 2195 de 2022 es claro al indicar que cuando una empresa obligada, en aras de cumplir con el SAGRILAFT, solicita información tendiente a dar cumplimiento al principio de debida diligencia, la contraparte tendrá la obligación de suministrar la información en los términos del referido artículo. (Subrayado fuera del texto).
En la misma línea, el Oficio 220-158863 del 21 de julio de 2022, en sus apartes pertinentes señala lo siguiente:
“(…) De igual manera el legislador en el artículo 12 de la Ley 2195, antes transcrito, configuró libremente la obligación de revelación del beneficiario final de la operación, sin que con ello se entienda levantada la reserva del libro de registro de accionistas.
Como se lee fácilmente en el Parágrafo 4°, las personas naturales, personas jurídicas, estructuras sin personería jurídica o similares, que realizan operaciones comerciales con sujetos obligados a llevar a cabo un sistema de prevención del riesgo de LA/FT/FPADM, tienen la obligación de suministrar la información que les sea requerida en cumplimiento de su deber de debida diligencia para identificar al beneficiario final de la operación y el entendimiento de su modelo de negocio, sin que ello signifique, de alguna manera, que se levante la reserva del libro de registro de accionistas.
La norma obliga a que se revele quién es en realidad el beneficiario “final” de la operación. Así mismo, obliga a que se deje constancia sobre el objetivo final que se pretenda con la celebración del negocio jurídico particular de que se trate.
También hace hincapié en que se indague por el origen de los fondos que sirven de sustento a la celebración del negocio y que se haga seguimiento a las transacciones que se realicen durante la ejecución de la operación y el destino de los recursos asignados, desde luego para descartar que pueda tratarse de operaciones de lavado de activos, financiación del terrorismo o destrucción de armas de destrucción masiva.(…)”.1
En los anteriores términos su solicitud ha sido atendida en el plazo y con los efectos descritos en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo sustituido por el artículo 1º de la Ley 1755 de 2015, no sin antes señalar que puede consultarse en la página web de la Entidad, la normatividad, los conceptos jurídicos respecto de los temas de su interés, así como se coloca a su disposición la herramienta Tesauro donde podrá encontrar mayor información al respecto de la doctrina y la jurisprudencia emitida por la entidad.
Notas:
1 COLOMBIA. SUPERINTENDENCIA DE SOCIEDADES. Oficio 220-101154 (17 de mayo de 2023). Asunto:SAGRILAFT – BENEFICIARIO FINAL. Disponible en:
https://tesauro.supersociedades.gov.co/jsonviewer/DcCWoIgBuw_0dse9YG8w
Puedes encontrar más información sobre: ¿Qué documentos del SAGRILAFT deben ser confidenciales según la normativa?, en supersociedades.gov.co
Además del tema relacionado con: ¿Qué documentos del SAGRILAFT deben ser confidenciales según la normativa?, quizás te interese leer: SAGRILAFT ¿Quiénes están obligados a implementarlo? ¡Te lo explicamos!