La protección de datos personales y la prevención del LA/FT. Imagen Freepik
Los principios de protección de datos personales (PDP) desarrollan los derechos fundamentales de habeas data y debido tratamiento de datos personales, y constituyen la estructura sobre la que se edifica una protección efectiva.
Por: Cielo Ángela Peña*
La palabra “efectiva” merece ser resaltada, pues se trata de concretar en la práctica el reconocimiento y respeto de estos derechos –habeas data y debido tratamiento de datos personales– cuya inobservancia o vulneración pone en riesgo otros derechos fundamentales (intimidad, el buen nombre y la información, etc), que integran la esfera de la dignidad humana, pilar de los estados democráticos.
En este sentido, los principios en materia de PDP, más allá y al margen de un ordenamiento legal que los consagre, deben integrarse al quehacer diario de las organizaciones que tratan información personal, pues son los que fundamentan y limitan su tratamiento.
En Colombia, conforme a la Ley Estatutaria 1581 de 2012, los principios son de obligatoria observancia incluso en los ámbitos donde dicha ley no resulta aplicable, como las bases de datos destinadas a la prevención, detección, monitoreo y control del lavado de activos y la financiación del terrorismo.
Debido a esto, quienes administran datos con esta finalidad, también deben prevenir vulneraciones de derechos y responder por los daños que un tratamiento inadecuado pueda causar a los titulares.
Estándares internacionales en evolución
Con ocasión de la profundización digital y los avances tecnológicos, surge la necesidad de actualizar principios y derechos en PDP, en respuesta a nuevos riesgos.
Así, organismos internacionales como la ONU, la OEA, la OCDE, el Parlamento Europeo, la Red Iberoamericana de Protección de Datos y la Asamblea Global de Privacidad han definido principios, derechos y medidas proactivas como: explicabilidad, responsabilidad demostrada, no discriminación, sobre decisiones individuales automatizadas, privacidad desde el diseño y por defecto, evaluación de impacto relativa a PDP, entre otros.
Ignorar estos principios, abre la puerta a vulneraciones de derechos y expone a las organizaciones a riesgos que afectan su actividad.
Responsabilidad demostrada y el enfoque en riesgo
El principio de responsabilidad demostrada o accountability constituye un eje esencial en materia de PDP.
Su aplicación se concreta a través de un programa de gestión basado en riesgos, donde “la persona /titular” es el foco del análisis de riesgo. Los sistemas de gestión de riesgo en PDP y LA/FT no son independientes, son complementarios y deben integrarse.
Dado que los sistemas de prevención de LA/FT implican recolectar, almacenar, consultar, analizar y difundir información personal —incluyendo datos sensibles y negativos como antecedentes judiciales o sanciones—, es indispensable adoptar un enfoque que contemple, además de los aspectos operativos, legales y reputacionales, el impacto sobre los derechos de los titulares.
Incorporar esta perspectiva en las matrices de riesgo es clave para asegurar que las medidas aplicadas sean proporcionales, necesarias y adecuadas, y no impacten negativamente la privacidad.
Lo anterior adquiere especial relevancia a la luz de la Sentencia T-113 de 2025 de la Corte Constitucional, que advirtió sobre la improcedencia de denegar servicios financieros con base en restricciones automáticas y sin una valoración individual del riesgo del consumidor financiero.
Es claro que el derecho a la privacidad no es absoluto, puede tener limitaciones razonables relacionadas con la tutela de otros derechos fundamentales y objetivos de interés público[1], pero ello impone una ponderación que atienda a la razonabilidad y necesidad de las limitaciones.
La consulta masiva de datos mediante técnicas como el web scraping, el uso de información disponible públicamente pero no de naturaleza pública, el aumento del tratamiento de datos biométricos en procesos de identificación y autenticación, el análisis de datos y las decisiones automatizadas, conllevan riesgos para la privacidad, posibles sesgos y riesgo de discriminación, por lo que su impacto exige una comprensión adecuada y una gestión responsable de los sistemas de prevención de LA/FT, revistiendo especial trascendencia en los procesos de debida diligencia de clientes, contrapartes y beneficiarios finales.
Así las cosas, hoy, las personas y organizaciones que implementan sistemas de prevención de LA/FT enfrentan desafíos de gran envergadura. Esto exige aplicar con rigor los principios de protección de datos personales y las obligaciones del régimen de cumplimiento.
La observancia efectiva y respetuosa de ambos marcos no solo es posible, sino imprescindible para una gestión ética de la información, centrada en la dignidad humana y alineada con los fines legítimos y de interés público de los sistemas de prevención del LA/FT.
*Exsuperintendente delegada para protección de datos personales en la SIC.
[1] Principios Actualizados sobre la Privaciad y la Proteccion de Datos Personales aprobados por el Comité Jurídico Internacional y aprobado por la Asamblea General de la OEA mediante Resolucion AG/RES. 2974 del 11 de noviembre de 2021
