El due dilligence o debida diligencia es una figura que engloba todos los actos que implican llevar a cabo una investigación de una empresa o persona, con antelación a la celebración de un contrato o inicio de un negocio, es decir, un deber de cuidado.
A la par de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) entró a escena una herramienta jurídica, que hasta ese momento, parecía estar reservada al mundo financiero: la investigación del due dilligence.
Este proceso de búsqueda y recopilación de información generó un descontento entre el empresariado, pues como lo han señalado de forma franca, ha complicado o, peor aún, ahuyentado a sus clientes, y además, enfrenta al sector empresarial a un reto desconocido, comenta el licenciado Salvador Mejía, Socio Director de ASIMETRICS.
El cumplir con la obligación de recabar información y documentación de sus clientes fue recibida como un factor tan importante como para terminar una relación de negocios, y no como un instrumento para proteger su operatividad.
Siendo honesto, la realidad ha demostrado que un elevado porcentaje del empresariado mexicano, junto con sus abogados, no estaban preparados para hacer frente a las obligaciones provenientes de la ley antilavado, de entre las que destaca la referida a la identificación de los clientes que celebren actividades vulnerables en términos del listado de su artículo 17, y de acuerdo con los lineamientos señalados por su Reglamento y sus Reglas de Carácter General.
Si se revisa la operatividad del sector financiero, se podrá apreciar que el hecho de que las áreas de compliance investiguen a un cliente antes de establecer una relación contractual o de liberación de recursos económicos no es un capricho. Es más, dichos sondeos están regulados por las diversas Disposiciones de Carácter General en materia de prevención de lavado de dinero (existe una específica para cada sector, es decir, las hay para bancos, sociedades financieras de objeto múltiple, casas de bolsa, etc.), las que contienen una serie de reglas operativas “mínimas-máximas” para desarrollar procesos de análisis de riesgos, y conocer con quién se está buscando hacer negocios, o en su caso, contar con los argumentos pertinentes para no iniciar una relación.
Prácticas internacionales
Las mejores prácticas internacionales plantean que si bien la columna vertebral de un sistema de prevención de lavado de dinero es el manual interno redactado con base en las necesidades de cada entidad, serán los expedientes de identificación de los clientes, junto con el proceso que permita su elaboración, los que harán una verdadera diferencia.
Una investigación superficial de los antecedentes de un cliente potencial, aun cuando cumpla con los requisitos mínimos-máximos, no garantizará que una persona o empresa con la cual no se desea realizar un negocio se mantenga alejada. Es menester señalar que las prácticas internacionales detallan claramente que el enhaced due dilligence (debida diligencia forzada) no es un lujo, sino una necesidad.
Lo anterior se motiva al decir que si una entidad financiera omite realizar una investigación detallada de su cliente, y este resulta ligado a un grupo criminal incluido en cualquiera de las listas negras de los Estados Unidos de América, aquella enfrentará sanciones que van desde multas, congelamiento de bienes y cuentas bancarias hasta acusaciones criminales, sumándose el correspondiente impacto en su reputación, que aunque resulta difícil de medir, es innegable reconocer que es capaz de afectar a cualquier empresa, sobre todo si cotiza en la bolsa.
En la práctica, el concepto de debida diligencia está arraigado con fuerza en la mayoría de las corporaciones globales. Ejemplo de esta afirmación es General Electric y su esquema corporativo que incluye dos políticas internas enfocadas a prevenir el lavado de dinero, la corrupción y los fraudes:
- GE Miney Global Anti-Money Laundering Policy
- The Spirit & The Letter
Estas políticas son aplicables en todos los negocios de la mencionada compañía, sin menoscabo de que no sean parte del sistema financiero. Adicionalmente, ambas comparten un elemento esencial de investigación: know your customer o KYC por sus siglas. Esta práctica es un ejemplo de due dilligence, y se aplica no solo a sus posibles clientes sino también a sus proveedores o intermediarios.
¿Cómo llevarla a cabo?
- Una investigación de debida diligencia requiere que el cliente entregue a la empresa o entidad los datos demográficos mínimos previstos en las diversas disposiciones antilavado, como lo son:
- nombre y género
- fecha y lugar de nacimiento
- RFC o su equivalente
- credencial de identificación oficial, y la documentación soporte
En algunos casos se llenarán los formatos atinentes a la información del primer y segundo círculo familiar, junto con la de sus asociados de negocios.
Una vez que el área de ventas ha obtenido todos esos datos, estos serán introducidos a los “sistemas de originación” conectados con los “sistemas de búsqueda” en listas negras y de personas políticamente expuestas, así como en metabuscadores, para que en una instancia final el departamento de compliance revise la información y emita una opinión sobre el cliente.
No obstante, también es posible efectuar una investigación de segundo nivel sobre el cliente si se estima que los resultados obtenidos no son satisfactorios, o en su caso, este es considerado como de alto riesgo.
Investigar ¿atenta contra la privacidad?
No es inusual que las corporaciones se pregunten si la ejecución de las investigaciones de due dilligence a terceros viola de alguna manera lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sustentando sus dudas, por lo general, en un debate previo entre sus áreas de compliance y jurídico.
Ante esa disyuntiva, las empresas esperarían que como asesor externo respalde la postura del personal jurídico: realizar un due dilligence conlleva una violación de la protección de los datos personales.
Sin embargo, dicha afirmación no podría estar más errada.
Ejecutar un due dilligence no viola el contenido de la LFPDPPP, y para sostener la postura es imperioso observar las siguientes particularidades (art. 18, LFPIORPI):
- la legislación permite, es más obliga, a las entidades financieras y a los sujetos obligados por la ley antilavado a recopilar cierta información de clientes y usarios (identificar), y en ciertos supuestos, a mandar reportes regulatorios a la Comisión Nacional Bancaria y de Valores o al SAT, según competa
- en el evento de que un cliente no entregue la información y documentación requerida, la entidad o empresa puede (o debe) abstenerse de realizar operaciones con aquel
- dentro de las obligaciones derivadas de la normatividad antilavado, a la par del deber del due dilligence, se encuentra la atinente a establecer las medidas de seguridad pertinentes para garantizar que la información y documentación del cliente esté lo suficientemente resguardada y custodiada, y a disposición de la entidad regulatoria que corresponda. Con tal medida, se garantiza que los titulares de datos personales conservarán su privacidad
- de ser necesario realizar un due dilligence de segundo nivel, el personal de compliance hará búsquedas en sistemas automatizados y/o en bases de datos proveídos por terceros, y que son alimentadas por información pública y/o por investigaciones privadas, o en fuentes abiertas
Aunado a ello, el artículo 63 de la LFPIORPI prevé que quien revele o divulgue por cualquier medio información vinculada con cualquier aviso o requerimiento de información relacionado con las actividades vulnerables será sancionado con prisión de cuatro a 10 años y con 500 días de multa conforme al Código Penal Federal.
Lo único a destacar como obligación adicional a cumplir es que el estar sometidos al imperio de la ley antilavado no es obstáculo para que también satisfagan las obligaciones de protección de privacidad de datos personales y autodeterminación informativa cuando la recopilación de dicha información se haga de forma directa con sus titulares. El principal cometido será darle a conocer al titular de los datos (con quien se esté celebrando una actividad vulnerable) la información que se está recabando y con qué fines, a través del aviso de privacidad.
El citado aviso contendrá por lo menos (art. 16, LFPDPPP):
- identidad y domicilo del responsable que está recabando los datos
- finalidad del tratamiento
- medios que el responsable ofrezca a los titulares para limitar su uso o divulgación
- los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición
- si los datos recabados serán transferidos
- procedimiento y medio por el cual el responsable comunicará al titular los cambios al aviso de privacidad
Al respecto, para cubrir estas exigencias, al elaborar el aviso de privacidad, dentro de la finalidad del tratamiento, se incluirá el destinado al cumplimiento de la LFPIORPI, de modo que se informe al titular el destino de esos datos (art. 15, LFPDPPP).
Entonces, para cumplir con las obligaciones de identificación y presentación de avisos previstas en la LFPIORPI, no es necesario contar con el consentimiento expreso del titular de los datos personales requeridos para llevar a cabo tanto el tratamiento como la transferencia de los mismos, pues este está previsto en una ley (art. 37, LFPDPPP).
No obstante, el hecho de que el requisito del consentimiento expreso esté exceptuado por la LFPDPPP, no es razón suficiente para dejar de cumplir con el principio de información y, por ende, presentar el aviso de privacidad respectivo.
Comentarios finales
Con base en todas las razones vertidas no resulta difícil aceptar que una debida diligencia es un mecanismo insustituible para proteger a las empresas en una época caracterizada por los capitales provenientes de la delincuencia financiera y su búsqueda para dar una apariencia de legalidad, y así lograr infiltrarse a los negocios legítimos, dejando atrás un gran problema para el empresariado.
Que una corporación opte por un due dilligence, sin menoscabo de que por su objeto social u operatividad, no esté obligada a ello, representa una forma ideal para blindar su capital y reputación comercial, toda vez que la mayor parte de los escándalos regulatorios del sector económico y financiero han tenido su epicentro en la ausencia o debilidad de los expedientes de identificación de sus clientes.
