GUÍA LEGAL

PARA HACER NEGOCIOS EN COLOMBIA

2 0 1 8

CAPÍTULO 13
CUMPLIMIENTO
REGULATARIO
CUMPLIMIENTO
REGULATORIO

Siete cosas que un inversionista debe saber sobre las normas de cumplimiento regulatorio en Colombia:

1
Como parte del proceso de ingreso de Colombia a
la Organización para la Cooperación y el Desarrollo
Económico (OCDE) se ha expedido legislación
en diversas materias para dar cumplimiento a las
buenas prácticas exigidas por la organización, que
conllevan mayores obligaciones de transparencia y
cumplimiento para las empresas.
2
La Constitución Política consagra, como derechos
fundamentales, el derecho a la intimidad personal y
familiar y al buen nombre y, en particular, el derecho
que tiene toda persona a conocer, actualizar y
rectificar las informaciones que sobre ellas se hayan
recogido en bancos de datos personales y en
archivos de entidades públicas y privadas.

3
Desde el año 2012, las empresas deben dar cum-
4
En Colombia hay responsabilidad administrativa de
plimiento al Régimen de Protección de Datos Perso- las personas jurídicas y sus sucursales que operen
nales, el cual impone una serie de deberes y obliga- en el exterior por actos de corrupción transnacional,
ciones a quienes recolecten, traten y circulen datos que cobija a las sociedades matrices en los casos en
personales. Adicionalmente, para ciertas compañías que sus subordinadas incurran en alguna conducta
(según su tamaño) es obligatorio registrar las bases de corrupción o soborno.
de datos en el Registro Nacional de Bases de Datos
(RNBD) administrado por la Superintendencia de In-
dustria y Comercio (SIC).

5
Las sociedades que cumplan determinados requisitos
deben implementar Programas de Transparencia y
Ética Empresarial.
6
En Colombia, el lavado de activos y la financiación
del terrorismo pueden acarrear a los responsables,
bien sean personas jurídicas o naturales, sanciones
penales y administrativas.

7 Las empresas que cumplan determinados requisitos están obligadas a poner en marcha un
sistema de autocontrol y gestión del riesgo de lavado de activos y financiación del terrorismo.

234
15.1 Protección de Datos Personales

El Régimen de Protección de Datos Personales (RPDP) se orienta a ordenar a quienes realicen el tratamiento1
de datos personales, el cumplimiento de una serie de principios y deberes al momento de recolectar, tratar
y circular esta clase de información, so pena de incurrir en sanciones por parte de la Superintendencia de
Industria y Comercio, autoridad nacional de protección de datos personales.

Para la graduación de la sanción por infracción al RPDP, la Superintendencia de Industria y Comercio atiende
a la gestión efectiva realizada por el responsable del Tratamiento para la adecuada protección de los datos
personales.

No existe un criterio legal que defina si las medidas adoptadas son adecuadas o efectivas, razón por la cual
se ha planteado una obligación de diligencia del Responsable en la creación de un Programa Integral de
Gestión de Datos Personales.

Así, el principio de responsabilidad demostrada, introducido como obligación en cabeza de los Responsables
del Tratamiento, implica que los Responsables deben ser capaces de demostrar, a petición de la Superinten-
dencia de Industria y Comercio, que han implementado las medidas apropiadas y efectivas para cumplir con
las obligaciones del RPDP.

15.1.1 Aplicación del RPDP

El RPDP es aplicable a los datos personales registrados en cualquier base de datos que los haga suscepti-
bles de tratamiento, por entidades de naturaleza pública o privada, cuando su tratamiento es efectuado en
territorio colombiano o cuando al responsable o el encargado del tratamiento no establecido en territorio
nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. El RPDP
no le es aplicable a:

‐‐ Las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

‐‐ Las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la
prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.

‐‐ Las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.

‐‐ Las bases de datos y archivos de información periodística y otros contenidos editoriales.

‐‐ Las bases de datos y archivos recolectados en censos por parte del gobierno nacional destinados a uso
de muestra general.

1 Cualquier operación o conjunto de operaciones sobre Datos Personales, constituye tratamiento, tales como recolección, almacenamiento, uso, circulación o supresión.

235
15.1.2 Actores en el Régimen de Protección de Datos Personales

Titular Responsable Encargado

Persona natural cuyos Presona natural o jurídica que Presona natural o jurídica
datos son objeto de decide sobre la base de datos que realiza el tratamiento por
tratamiento y/o el tratamiento cuenta del responsable

15.1.3 Obligaciones de los Responsables y Encargados

Quienes realicen el tratamiento de datos personales, deberán cumplir con una serie de obligaciones entre las
que se encuentran:

‐‐ Contar con una Política de Tratamiento de Datos Personales acorde con los requerimientos de ley.

‐‐ Obtener autorizaciones por parte de los titulares para el tratamiento de datos personales, de manera
previa al tratamiento y con información empresa sobre su finalidad.

‐‐ Realizar transferencias y/o transmisiones de datos personales únicamente en la forma establecida en las
normas aplicables.

‐‐ Realizar el tratamiento de los datos personales únicamente para las finalidades que le han sido
autorizadas.

‐‐ Garantizar medidas de seguridad y confidencialidad estrictas en el tratamiento de los datos.

‐‐ Atender las consultas o reclamos que realicen los Titulares de los datos y garantizar los derechos de
dichos titulares.

‐‐ Realizar el registro de las bases de datos ante el RNBD, si las condiciones para ello le resultan aplicables.

‐‐ Designar un área o persona encargada de la seguridad de los datos personales al interior de la empresa.

236
Las obligaciones y deberes de responsables y encargados pueden ser analizadas con más detalle depen-
diendo del tratamiento de datos que realice la compañía y, en todo caso, deberá cumplir como mínimo
con lo siguiente:

Realizar el registro de bases de Política de Tratamiento Modelos de autorizaciones

datos (para esto se debe hacer de la Información para el tratamiento de datos
un inventario) personales

Algunas obligaciones con las

Avisos de Privacidad
que deben cumplir una empresa
Manual de Póliticas y
para reducir el riesgo de incum-
Procedimientos
plimiento frente al Régimen de
Protección de Datos Personales
en materia legal

Deseignación de un área o una

Realizar contratos para la trans- persona encargada de seguri-
ferencia o transmisión de datos Avisos de zonas video-vigiladas dad de los datos personales al
personales (si aplica) interior de la empresa

15.1.4 Derechos del titular de los datos personales

‐‐ Los titulares de datos personales tienen derecho a:

‐‐ Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados
del tratamiento, cuando entre otros casos los datos sean parciales, inexactos, incompletos, fraccionados, que
induzcan a error, o no haya autorizado su uso.

237
‐‐ Solicitar al responsable del tratamiento que pruebe la autorización otorgada para el manejo de sus datos
personales, salvo cuando la información este expresamente excluida de la aplicación del régimen de
protección de base de datos.

‐‐ Ser informado por el responsable o el encargado del tratamiento previa solicitud, respecto del uso que le ha
dado a sus datos personales.

‐‐ Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en el RPDP.

‐‐ Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten la regulación
aplicable.

‐‐ Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

15.1.5 Transferencia internacional de datos personales

El RPDP solo permite la transferencia internacional de datos personales a países que tengan niveles adecuados
de protección de la información personal.

Se considera que un país tiene un nivel adecuado de protección de datos personales cuando:

‐‐ Tiene normas aplicables al tratamiento de datos personales

‐‐ Las normas aplicables al tratamiento de datos personales del país receptor contemplan los principios aplicables
al tratamiento de datos en Colombia, entre ellos, los principios de; legalidad, finalidad, libertad, veracidad o
calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

‐‐ Las normas aplicables al tratamiento de datos personales del país receptor contemplan deberes de los
responsables y encargados.

‐‐ En el país receptor existan autoridades judiciales y administrativas que tutelen los derechos de los titulares y
el cumplimiento de la ley.

‐‐ En el país receptor existan entidades o autoridades públicas que se encarguen de la supervisión de la

legislación de datos personales y de la protección de los derechos de los titulares.

Actualmente, de acuerdo con la SIC, existen treinta y siete (37) países que cumplen con los estándares de
niveles adecuados de protección antes mencionados, los cuales se listan a continuación:

238
 PAÍSES CON ESTÁNDARES ADECUADOS DE PROTECCIÓN DE DATOS PERSONALES
Alemania Eslovenia Islandia
Perú España Letonia
Austria Portugal Bulgaria
Estonia Estados Unidos Lituania
Italia Reino Unido Chipre
Polonia Finlandia Luxemburgo
Bélgica República Checa Costa Rica
Francia Malta República de Corea
Croacia México Rumania
Grecia Dinamarca Hungría
Noruega Serbia Eslovaquia
Irlanda Países Bajos Suecia

Japón

Cuando los responsables del tratamiento cuenten con un contrato o implementen otro instrumento jurídico con
el responsable destinatario, en el cual (I) se regulen las condiciones bajo las cuales se deberá llevar a cabo la
transferencia y (II) mediante las cuales se garantice el cumplimiento de los principios rectores del Régimen Co-
lombiano de Protección de Datos Personales. No será necesario solicitar la declaración de conformidad, pero
será necesario informar a la delegatura de protección de datos personales de la SIC acerca de la operación
a realizar, declarando que ha sido suscrito un contrato con el objeto antes mencionado.

Finalmente, es importante tener en cuenta que la transferencia de datos personales a países que no propor-
cionen niveles adecuados de protección de datos está prohibida, salvo:

‐‐ Cuando el titular lo haya autorizado expresamente.

‐‐ Por razones médicas, cuando así lo exija el tratamiento del titular.

‐‐ Trasferencias bancarias o bursátiles.

‐‐ Transferencias en el marco de tratados internacionales.

‐‐ Transferencias necesarias para la ejecución de un contrato entre el titular y el responsable o la ejecución de

medidas contractuales, siempre que haya autorización.

‐‐ Y cuando sea legalmente exigido para salvaguardar el orden público.

239
15.1.6 Programa Integral de Gestión de Datos Personales

Las empresas deben implementar un Programa de Gestión de Datos Personales en aras de proteger adecua-
damente los derechos de los titulares. El programa está estructurado de la siguiente manera:

Programa integral de gestión de

datos personales (PIGDP)

Compromiso de la Evaluación y revisión

Controles del programa
organización continua

Implementación de un sistema
Destinar recursos para la Modelo de Auditoría Interna
de gestión de riesgos de trata-
implementación de PIGDP del PIGDP
miento de datos personales

Procedimientos operacionales
Definir roles y responsabili- (medidas técnicas, humanas, Desarrollo de plan de super-
dades frente al PIGDP administrativas) desde la re- visión y revisión anual
colección hasta la disposición

Establecer cultura de PDP Inventario, registro y control Demostrar el cumplimiento a

(formación y educación) de las BD la SIC y los titulares

Reportes internos para Politicas (controles

administrativos,físicos y Medidas de desempeño
accionistas y socios
tecnológicos)

Protocolos de respuesta y
manejo de violaciones e
incidentes

Gestión de las transferencias

y transmisiones (nacionales e
internacionales) y las
comunicaciones, avisos, etc.

240
15.1.7 Plazos para inscripción de las bases de datos en el RNBD

El RPDP contempla la obligación de inscribir las bases de datos en el RNBD a los responsables del tratamiento
que cumplan las siguientes características; (I) que sean sociedades y entidades sin ánimo de lucro con activos
totales superiores a 100.000 Unidades de Valor Tributario (UVT); (II) que sean personas jurídicas de naturale-
za pública, dentro de los siguientes plazos:

‐‐ Si los responsables del tratamiento son sociedades y entidades sin ánimo de lucro con activos totales superiores
a 610.000 UVT (USD $6.741.720), la fecha para inscribir las bases de datos es a más tardar el treinta (30)
de septiembre de 2018.

‐‐ Si los responsables del tratamiento son sociedades y entidades sin ánimo de lucro con activos totales superiores
a 100.000 (USD $1.105.200) y hasta 610.000 UVT (USD $6.741.720), la fecha para inscribir las bases de
datos es a más tardar el treinta (30) de noviembre de 2018.

‐‐ Finalmente, si los responsables del tratamiento son personas jurídicas de naturaleza pública, la fecha para la
inscripción de las bases de datos es a más tardar el treinta y uno (31) de enero de 2019.

Las bases de datos que se creen con posterioridad al vencimiento de estos plazos, deberán inscribirse dentro
de los 2 meses siguientes, contados a partir de su creación.

La información registrada en RNBD debe ser actualizada; (I) dentro de los primeros diez (10) días hábiles de
cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la infor-
mación registrada, y (II) anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2019.

15.2 Prevención del soborno y corrupción transnacional

La legislación establece una responsabilidad administrativa para las personas jurídicas que por medio de uno
o varios empleados, contratistas, administradores o asociados, propios o de cualquier sociedad subordinada;
den, ofrezcan o prometan a un servidor público extranjero, directa o indirectamente; sumas de dinero, cual-
quier objeto de valor pecuniario u otro beneficio o utilidad; a cambio de que el servidor público extranjero
realice, omita, o retarde cualquier acto relacionado con el ejercicio de sus funciones y en relación con un
negocio o transacción internacional.

La Superintendencia de Sociedades es la autoridad facultada para imponer sanciones administrativas, que

pueden ir desde multas, hasta inhabilidad para contratar con el Estado colombiano por 20 años.

241
Los efectos de las sanciones se hacen extensivas a (I) las sociedades absorbentes o creadas en el marco de
procesos de fusión, (II) las sociedades escindentes y/o beneficiarias en procesos de escisión, y (III) al sujeto
adquiriente en situaciones de cambio de control. También pueden aplicar a las sucursales que operen en el
exterior, y a la sociedad matriz cuando una de sus subordinadas incurra en las conductas señaladas.

Para efectos de graduar la sanción, la Superintendencia de Sociedades atenderá diversos criterios, entre ellos,
la existencia, ejecución y efectividad de Programas de Ética Empresarial.

15.2.1 Programa de Ética Empresarial

El Programa de Ética Empresarial consiste en los procedimientos específicos a cargo del oficial de cumplimien-
to encaminados a poner en funcionamiento las políticas de cumplimiento, con el fin de identificar, detectar,
prevenir, gestionar y mitigar los riesgos de soborno transnacional, así como otros que se relacionen con cual-
quier acto de corrupción.

15.2.1.1 Obligados

Están obligadas a implementar Programas de Ética Empresarial, las personas jurídicas sujetas a vigilancia de
la Superintendencia de Sociedades, que en el año inmediatamente anterior hayan realizado de manera ha-
bitual negocios de cualquier naturaleza con personas naturales o extranjeras, de derecho público o privado,
siempre y cuando concurra cualquiera de las siguientes situaciones:

1.Que la sociedad colombiana haya realizado el negocio o transacción internacional a través de terceros:

‐‐ Intermediario o contratista.
‐‐ O una sociedad subordinada.
‐‐ O una sucursal que hubiere sido constituida en otro Estado por esa Sociedad.

2.Que la sociedad colombiana que haya realizado negocios o transacciones internacionales pertenezca a
alguno de los siguientes sectores económicos, cuando además, a 31 de Diciembre, del año inmediatamente
anterior, cumpla con alguno de los criterios referentes a ingresos brutos, activos totales o empleados:

242
Obligación de implementar programas de ética empresarial

Ingresos Brutos a 31 de Activos totales a 31 de Planta de personal a 31 de

SECTORES ECONÓMICOS
diciembre de 2017 diciembre de 2017 diciembre de 2017

≥COP $ 55.328.775.000 ≥COP $ 55.328.775.000

Farmacéutico ≥2.000 empleados
≥USD $ 18.442.925 ≥USD $ 18.442.925

≥COP $ 110.657.550.000 ≥COP $ 110.657.550.000

Infraestructura y construcción ≥2.000 empleados
≥USD $36.885.850 ≥USD $36.885.850

≥COP $ 110.657.550.000 ≥COP $ 110.657.550.000

Manufacturero ≥2.000 empleados
≥USD $36.885.850 ≥USD $36.885.850

≥COP $ 110.657.550.000 ≥COP $ 110.657.550.000

Minero-Energético ≥2.000 empleados
≥USD $36.885.850 ≥USD $36.885.850

≥COP $
Tecnologías de la Información
368.858.500.000≥
y Comunicaciones
USD $ $122.952.833
≥COP $ 368.858.500.000
≥1.000 empleados
≥USD $ $122.952.833

15.2.1.2 Principios

La Superintendencia de Sociedades emitió una guía, mediante la cual imparte instrucciones administrativas
relacionadas con la promoción de programas de transparencia y ética empresarial, así como de los mecanis-
mos internos de auditoría, anticorrupción y prevención del soborno transnacional.

En esta guía se propone la adopción de los siguientes ocho principios para la elaboración del Programa
de Ética Empresarial, inspirados en las mejores prácticas internacionales, y de acuerdo con los riesgos que
afecten a cada entidad:

1.Compromiso de los altos directivos en la prevención del soborno transnacional: Independientemente del
tamaño, estructura interna y mercados geográficos donde la persona jurídica desarrolle sus actividades, es
recomendable que los altos directivos y asociados, se obliguen, de manera decidida, a prevenir el soborno
transnacional, para lo cual se sugiere:

‐‐ Poner en marcha las Políticas de Cumplimiento y el Programa de Ética Empresarial.

‐‐ Adelantar acciones para divulgar la Política de Prevención del Soborno Transnacional.

243
2.Evaluación de los riesgos relacionados con el soborno transnacional: Se sugiere adoptar procedimientos
de evaluación que sean proporcionales al tamaño, estructura, naturaleza, países de operación y actividades
específicas de cada persona jurídica.

3.Programa de Ética Empresarial: Se recomienda que en este se recopilen de manera integral, todas las nor-
mas internas, así como los valores éticos que cada persona jurídica considere apropiados para llevar a cabo
sus negocios de manera ética, transparente y honesta. El Programa deberá constar por escrito y estar incluido
en el Manual de Cumplimiento.

Adicionalmente, debería detallar los riesgos específicos de soborno transnacional; determinar los proced-
imientos generales en materia de auditoría de cumplimiento y debida diligencia; políticas de entrega de rega-
los a terceros, remuneración y pago de comisiones respecto de transacciones internacionales, y donaciones;
entre otros.

También se sugiere establecer mecanismos de control, procedimientos sancionatorios, líneas éticas, cláusulas
de salida.

4.Oficial de cumplimiento: Se recomienda designar a un individuo con la idoneidad, experiencia y liderazgo

requeridos para gestionar los riesgos identificados; que sea preferiblemente un empleado con funciones de
dirección, confianza y manejo, que dependa de los altos directivos. Dentro de sus funciones están dirigir las
actividades periódicas de evaluación de riesgos; dar entrenamiento permanente a los empleados y ordenar el
inicio de procedimientos internos de investigación.

5.Debida Diligencia: Se recomienda adelantar procesos de debida diligencia de manera habitual, mediante
la revisión de aspectos legales, contables y financieros, con el objetivo de obtener los elementos necesarios
para identificar y mitigar los riesgos relacionados con el soborno transnacional. Este proceso se deberá ad-
elantar por medio de empleados o terceros especializados en estas labores.

6.Control y supervisión de las Políticas de Cumplimiento y Programa de Ética Empresarial: Se deben imple-
mentar procedimientos de control, supervisión y evaluación de la efectividad de las Políticas de Cumplimiento,
así como actualizar el Programa de Ética Empresarial, considerando los cambios y complejidad de los nego-
cios internacionales que realiza la compañía, así como las modificaciones en la legislación.

7.Divulgación de las Políticas de Cumplimiento y el Programa de Ética Empresarial: Se deberán poner en

marcha mecanismos idóneos para la correcta comunicación de las Políticas de Cumplimiento y del Programa
Ética Empresarial, a través de comunicaciones internas/externas y capacitaciones.

8.Canales de comunicación: Se deben adoptar mecanismos que le permitan a los empleados, asociados,
contratistas, y en general a cualquier persona, el reporte confidencial de infracciones.

244
15.2.1.3 Plazos

Desde el año 2017, las sociedades que cumplan con cualquiera de los criterios señalados en el numeral
15.2.1.1. deben adoptar el Programa de Ética Empresarial dentro del año siguiente a la fecha en la cual se
conviertan en obligados.

15.3 Otros

Respecto de las personas naturales, el sistema penal Colombiano establece sanciones a aquellas que en ben-
eficio propio o de una persona jurídica incurran en los delitos de cohecho impropio, cohecho propio, soborno
y cohecho por dar u ofrecer, todos estos tipificados en el Código Penal Colombiano.

De igual forma, las personas naturales que incurran en actos de soborno transnacional quedarán inhabilita-
das para contratar con el estado hasta por 20 años. Esta inhabilidad se extiende a las sociedades en las que
sean socias tales personas, a sus matrices y a sus subordinadas, con excepción de las sociedades anónimas
abiertas.

15.3 Riesgo de lavado de activos y financiación del terrorismo

El lavado de activos y la financiación del terrorismo son delitos consagrados en el Código Penal, definidos de
la siguiente manera:

LAVADO DE ACTIVOS FINANCIACIÓN DEL TERRORISMO

Se presenta cuando se adquiere, resguarde, invierta, transporte, transforme, Se presenta cuando directa o indirectamente
almacene, conserve, custodie o administre bienes que tengan su origen mediato se provea, recolecte, entregue, reciba, ad-
o inmediato en actividades ilegales tales como: ministre, aporte, custodie o guarde fondos,
bienes o recursos, o realice cualquier otro
1. Tráfico de migrantes.
acto que promueva, organice, apoye, man-
2. Trata de personas.
tenga, financie o sostenga económicamente
3. Extorsión.
a grupos armados al margen de la ley o a
4. Enriquecimiento ilícito.
sus integrantes, o a grupos terroristas nacio-
5. Secuestro extorsivo.
nales o extranjeros, o a terroristas nacionales
6. Rebelión.
o extranjeros, o a actividades terroristas.
7. Tráfico de armas.
8. Tráfico de menores de edad.
9. Financiación del terrorismo y administración de recursos relacionados con
actividades terroristas.
10. Tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas.
11. Delitos contra el sistema financiero.
12. Delitos contra la administración pública.
13. Contrabando, contrabando de hidrocarburos o sus derivados.
14. Fraude aduanero o favorecimiento y facilitación del contrabando.
Y se les dé a los bienes provenientes de dichas actividades la apariencia de
legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen,
ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier
otro acto para ocultar o encubrir su origen ilícito.

245
Colombia cuenta con diferentes entidades especializadas encargadas, entre otras, de verificar la aplicación
de la regulación de prevención del lavado de activos y la financiación del terrorismo (LA/FT), y de imponer
las sanciones derivadas de su incumplimiento:

• La Superintendencia de Sociedades
• La Superintendencia Financiera
• La Dirección de Impuestos y Aduanas Nacionales (DIAN).
• La Unidad de Investigación y Análisis Financiero (UIAF)
• La Fiscalía General de la Nación

15.3.1 Obligaciones

OBLIGADO OBLIGACIONES LEGALES

Personas jurídicas que estén sujetas a la vigilancia permanente o control de la Su- Implementación del sistema de autocontrol y riesgo
perintendencia de Sociedades, que pertenezcan a los sectores que a continuación LA/FT (“SAGRLAFT”). En particular, el diseño, apro-
se mencionan, y siempre y cuando cumplan con todos los requisitos establecidos bación e implementación de una política para la pre-
para cada sector (“Empresas Obligadas”): vención y control del riesgo LA/FT.
Código CIIU de actividad Que a 31 de diciembre del
Las Empresas Obligadas, deberán adoptar el Siste-
económica que produzca año inmediatamente anterior
ma (LA/FT) en un término máximo de doce meses
Sector para la empresa el mayor haya obtenido Ingresos to-
contados a partir del 1 de septiembre de 2016.
ingreso operacional tales iguales o superiores a:

En general, el cumplimiento en la implementación del

L6810 y/o L6820 60.000 SMMLV (COP $ SAGRLAFT tiene un plazo de doce (12) meses conta-
Inmobiliario 44.263.020.000 USD $ dos a partir del corte a 31 de diciembre del año en
14.754.340) que superen los ingresos mencionados.
B05 y/o B07 y/o B08 60.000 SMMLV (COP $
Explotación de
44.263.020.000USD $
minas y canteras
14´754.340)

M6910 30.000 SMMLV (COP $

Servicios jurídicos 22.131.510.000
USD $ 7.377.170)

Servicios contables, N8291 y/o M6920 30.000 SMMLV. (COP $

de cobranza y/o 22.131.510.000
de calificación USD $ 7.377.170)
crediticia

Comercio de ve- 04511 y/o 04512 y/o 130.000 SMMLV (COP $

hículos, sus partes, 04530 y/o 04541 95.903.210.000
piezas y accesorios USD $31.967.736)

Construcción de ed- F4111 y/o F4112 100.000 SMMLV

ificios (COP $ 73.771.700.000
USD $ 24.590.566)

Otro sector difer- 160.000 SMMLV

ente a los enun- (COP $
ciados. 73.771.700.000
USD $ 24.590.566)

246
Personas jurídicas que estén sujetas a la vigilancia permanente o control Reportar a la UIAF información relacionada con su operación comercial
de la Superintendencia de Sociedades, que pertenezcan a los sectores de la siguiente manera:
que a continuación se mencionan, y siempre y cuando cumplan con to-
dos los requisitos establecidos para cada sector (“Empresas Obligadas”): PERIODICIDAD
REPORTE
DE REPORTE
Una vez
Reporte de Operaciones determinada
Sospechosas (ROS) la operación
sospechosa.
Cada (3)
meses, todos
los sujetos ob-
ligados que no
hayan deter-
minado la ex-
Reporte de Ausencia de istencia de las
Operaciones Sospecho- operaciones
sas (ROS) sospechosas
dentro de los
15 primeros
días calendario
del mes sigui-
ente del citado
trimestre.
Dentro de los
Reporte de transacciones 15 primeros
de compraventa de días calen-
vehículos automotores dario del mes
siguiente
Dentro de los
Reporte de ausencia
15 primeros
de transacciones de
días calen-
compraventa de vehículos
dario del mes
automotores
siguiente

i.Empresas exportadoras de oro. Reportar a la UIAF información relacionada con su operación

comercial de la siguiente manera:
ii.Empresas importadoras de oro.

iii.Casas fundidoras de oro.

iv.Sociedades de Comercialización
Internacional que dentro de su actividad económica tengan la
comercialización de oro.

247
v. Sociedades de Comercialización Internacional
que dentro de su actividad económica realicen op- REPORTE PERIODICIDAD DE REPORTE
eraciones de exportación de oro. Reporte de Operaciones De manera inmediata, una vez determi-
Sospechosas (ROS). nada la operación sospechosa en un a
vi. Sociedades de Comercialización Internacional tiempo razonable.
que dentro de su actividad económica realicen op-
Reporte de Ausencia de Durante el mes inmediatamente anterior,
eraciones de importación de oro.
Operaciones Sospecho- deben reportar, dentro de los diez
sas (ROS). (10) primeros días calendario del mes
siguiente.
Reporte de transac- Cuatrimestralmente, dentro de los diez
ciones de compraventa (10) primeros días calendario sigui-
de oro. entes a la fecha de corte del periodo
cuatrimestral.
Reporte de ausencia Cada cuatro (4) meses, dentro de los
de transacciones de diez (10) primeros días calendario del
compraventa de oro. mes siguiente al cuatrimestre.

Reporte de transac- Cuatrimestralmente, dentro de los diez

ciones de exportaciones (10) primeros días calendario del mes
y/o importaciones de siguiente al cuatrimestre.
oro.
Reporte de ausencia Cada cuatro (4) meses, dentro de los
de transacciones de diez (10) primeros días calendario del
exportaciones y/o mes siguiente al cuatrimestre.
importaciones de oro.

Los Administradores o (“factores”) de la persona nat- Quienes actúen como factores están obligados a:
ural o jurídica que preste los servicios de compra de i.adoptar medidas, metodologías y procedimientos orientados a evitar que
cartera al descuento las operaciones en que intervengan puedan ser utilizadas, directa o indi-
rectamente, como instrumento para el ocultamiento, manejo, inversión o
aprovechamiento de dinero u otros bienes provenientes de actividades de-
lictivas o destinados a su financiación; o para dar apariencia de legalidad
a las actividades delictivas o a las transacciones y fondos vinculados con
las mismas; o para el lavado de activos y/o la canalización de recursos
hacia la realización de actividades terroristas; o para buscar el ocultamien-
to de activos provenientes de dichas actividades.

ii.Informar a las autoridades competentes sobre cualquier operación

sospechosa de lavado de activos o actividad delictiva.

iii.Dejar constancia, en formulario especialmente diseñado al efecto, de la

información relativa a las transacciones en efectivo que realice, en mone-
da legal o extranjera cuyo valor sea superior a las cuantías que periódica-
mente señale la Superintendencia Financiera.

iv.Solamente podrán prestar servicios de compra de cartera al descuento

las empresas legalmente organizadas e inscritas en la Cámara de Comer-
cio correspondiente.

248
Usuarios de comercio exterior con la obligación de
reportar de manera directa a la UIAF:
REPORTE PERIODICIDAD DE REPORTE
I. Los depósitos públicos y los depósitos privados. Reporte de Opera- De manera inmediata una vez de-
ciones Sospechosas terminada la operación sospecho-
II. Las sociedades de intermediación aduanera. (ROS). sa, deben proceder a reportar a la
UIAF .
III. Las sociedades portuarias.
Reporte de Ausen- Cada tres (3) meses, cuando no se
cia de Operaciones haya determinado la existencia de
IV.Los usuarios de zona franca.
Sospechosas (ROS). operaciones sospechosas, en algu-
no de los meses del trimestre o en
V.Las empresas transportadoras. (por empresas transportado-
todos, deben reportar este hecho
ras se entienden todas aquellas personas jurídicas ejecutan
a la UIAF, dentro de los diez (10)
operaciones de tránsito aduanero. Así mismo, dentro de
primeros días calendario del mes
esta categoría se entienden incluidos los operadores de
siguiente al trimestre.
transporte multimodal, las empresas de cabotaje artículos y
las empresas de transbordo). Reporte de transac- Mensualmente dentro de los diez
ciones individuales (10) primeros días calendario del
VI. Los agentes de carga internacional: ( se entiende por en efectivo. mes siguiente, todas las transac-
agentes de carga Internacional: las personas jurídicas inscri- ciones que involucren pagos de din-
tas ante la DIAN para actuar exclusivamente en el modo de ero en efectivo por un monto igual o
transporte marítimo). superior a la suma de diez millones
de pesos $10.000.000 m/cte o
VII.Los usuarios aduaneros permanentes. su equivalente en otras monedas.
Reporte de ausencia Cada tres (3) meses, cuando no se
VIII.Los usuarios altamente exportadores. de transacciones en haya determinado la existencia de
efectivo. transacciones en efectivo individ-
uales o múltiples, en alguno de los
meses del trimestre o en todos, de-
ben reportar este hecho a la UIAF,
dentro de los diez (10) primeros
días del mes siguiente al trimestre.

15.3.2 Sistema de autocontrol y gestión del riesgo LA/FT (SAGRLAFT)

El SAGRLAFT es el sistema adoptado por Colombia de acuerdo a los lineamientos de política pública
contra la prevención de LA/FT, el cual tiene en cuenta los riesgos propios de cada empresa, analizando
el tipo de negocio, la operación, el tamaño, las áreas geográficas donde opera y demás características
particulares. Las Empresas Obligadas deben contar con una matriz de riesgo de LA/FT que les permita
medir y monitorear su evolución. En caso de constituirse un grupo empresarial, cada compañía individ-
ualmente debe adoptar su propia matriz de riesgo.

249
15.3.2.1 Elementos
IDENTIFICACIÓN DEL RIESGO
Identificación de los factores que den
lugar al riesgo de LA/FT para lo cual
las empresas obligadas deben:
1. Establecer metodologías para la
segmentación de los factores de riesgo
y clasificar los respectivos factores de
riesgo.
2. Establecer metodologías para la
identificación del riesgo de LA/FT y sus
riesgos relacionados, respecto de cada
uno de los factores de riesgo segmen-
tados.
3. Identificar las formas a través de las
cuales se puede presentar el riesgo de
LA/FT.
15.3.2.2 Etapas
1 2
Diseño y aprobación del
Sistema
MEDICIÓN O EVALU-
CONTROL DEL RIESGO
ACIÓN DEL RIESGO
El Sistema debe permitirle El Sistema debe permitir la
a las Empresas Obliga- toma de medidas condu-
das medir la posibilidad centes para el control del
o probabilidad de riesgo LA/FT.
ocurrencia del riesgo
inherente de LA/FT frente Como resultado de la
a cada uno de los facto- aplicación de los controles
res de riesgo, así como respectivos, las empresas
el impacto en caso de deben estar en capacidad
materializarse. de establecer el perfil de
riesgo de LA/FT, y como
consecuencia se debe
producir una disminución,
o su mitigación en caso
de ocurrencia.
Superposicion y Divulgación del Sistema y
cumplimiento del Sistema capacitación.
250
MONITOREO DEL RIESGO
El Sistema debe el permitir
ejercicio y la vigilancia
del riesgo LA/FT y, estar
en condiciones de detectar
operaciones inusuales y
operaciones sospechosas
mediante:
1. Un proceso de vigilan-
cia efectiva que facilite la
rápida detección y correc-
ción de las deficiencias del
Sistema, con una periodici-
dad acorde con el riesgo
LA/FT de la empresa.
2. Un control integral de
todos los riesgos, que fun-
cione en forma oportuna,
efectiva y eficiente.
3
15.3.2.2.1 Diseño y aprobación del sistema: El diseño del sistema estará bajo la supervisión y
dirección del oficial de cumplimiento de la empresa o quien haga sus veces, quien en todo caso no podrá ser
un tercero, el cual, conjuntamente con el representante legal, debe presentar el proyecto de sistema para su
aprobación por la junta directiva de la compañía o por el máximo órgano social.

15.3.2.2.2 Supervisión y cumplimiento del sistema: El representante legal deberá disponer de las
medidas operativas, económicas, físicas, tecnológicas, y de recursos que sean necesarias y requeridas para
que el oficial de cumplimiento o quien haga sus veces, pueda poner en marcha el Sistema y pueda desarrollar
las labores de la supervisión y cumplimiento.

A su turno, el oficial de cumplimiento debe rendir informes, tanto al representante legal como a la junta direc-
tiva o, en su defecto, al máximo órgano social, con la frecuencia y periodicidad que se establezca en el siste-
ma. En todo caso debe haber, por lo menos, un informe semestral dirigido a cada destinatario. Los informes
deben contener como mínimo:

‐‐ Una evaluación y análisis sobre la eficiencia y efectividad del sistema y, de ser el caso, proponer las mejoras
respectivas.

‐‐ Una sección que demuestre los resultados de la gestión del oficial de cumplimiento y de la administración de
la empresa, y en general, en el cumplimiento del sistema.

‐‐ El sistema debe tener un régimen de sanciones para asegurar el cumplimiento por parte de los involucrados
en su aplicación, así como un archivo con los documentos generados en virtud de la aplicación del sistema y
su desarrollo.

15.3.2.2.3 Divulgación del sistema y capacitación: El sistema debe ser divulgado en la empresa y a
las demás partes interesadas, en la forma y frecuencia que se considere pertinente para asegurar su adecuado
cumplimiento. Así mismo, deben realizarse capacitaciones al personal.

15.3.2.3 Medidas de prevención y gestión del riesgo LA/FT

15.3.2.3.1 Evaluación y análisis de operaciones, negocios y contratos: Deben evaluarse y anal-

izarse las operaciones, negocios y contratos que desarrolle la empresa, para identificar las fuentes de riesgo,
es decir, las contrapartes, los productos, los canales de distribución y la jurisdicción territorial.

15.3.2.3.2 Procedimientos de debida diligencia: La debida diligencia en el conocimiento de los clien-

tes y demás contrapartes debe ser implementada de acuerdo con las necesidades propias de cada empresa,
es decir, teniendo en cuenta su operación, tamaño, actividad económica, forma de comercialización, áreas
geográficas donde opera y demás características particulares.

15.3.2.3.3 Reglamentar el manejo de dinero en efectivo en la empresa: La empresa debe

establecer controles y procedimientos para reglamentar el manejo de dinero en efectivo en los negocios con
sus contrapartes, para lo cual debe tener en cuenta las características propias del negocio y la actividad de la
empresa.

251
15.3.2.3.4 Otras medidas: El sistema debe establecer los mecanismos y controles necesarios que permi-
tan reducir la posibilidad de que las operaciones, negocios y contratos que se hayan celebrado o se tenga
intención de celebrar, sean utilizados para dar apariencia de legalidad a actividades de lavado de activos o
de financiamiento del terrorismo.

15.3.2.3 Plazos

Las empresas que a agosto de 2016 ya tenían la calidad de Empresas Obligadas, tenían la obligación a más
tardar el 1 de septiembre de 2017, de revisar y ajustar su política o sistema de prevención y gestión del riesgo
de LA/FT.

Las empresas que a partir del 31 de diciembre de 2016 adquirieron la calidad de Empresas Obligadas deben
poner en marcha el sistema dentro de un plazo máximo de doce meses, contado a partir del 1 de enero del
año siguiente a aquel en el que se cumplan los requisitos.

Marco Legal

PROTECCIÓN DE DATOS PERSONALES

NORMA CONTENIDO
Ley 1581 de 2012 Régimen de Protección de Datos Personales.
Decreto 1377 de 2013 Regula la Ley 1581 de 2012.
Decreto 886 de 2014 Regula la Ley 1581 of 2012.
Decreto 1074 del 2015 Regula la Ley 1581 of 2012.
Regula la Circular Única de la Superintendencia de Industria y
Circular Externa No. 01 del 8 de noviembre de 2016
Comercio.
Circular Externa No. 02 del 23 de noviembre de 2016 Regula el Registro Nacional de Bases de Datos.
Establece nuevas fechas para el cumplimiento del registro de
Circular Externa No 01 de 2017
datos.
Circular externa No 05 de 2017 Determina los niveles de protección de datos personales.
Incluye a Japón como el país con niveles adecuados para la
External Circular No 08 de 2017
protección de datos personales.
Decreto 090 de 2018 Regula el Decreto 1074 de 2015.

252
 LEY ANTICORRUPCIÓN Y SOBORNO EN COLOMBIA
NORMA CONTENIDO
Ley 599 de 2000 Código Penal Colombiano
Ley 1474 de 2011 Ley Anticorrupción
Decreto 734 de 2012 Reglamenta la ley Anticorrupción
Ley 1778 de 2016 Responsabilidad de las personas jurídicas por actos de corrup-
ción transnacional.
Resolución 100-002657 de 2016 La Superintendencia de Sociedades define los criterios para la
implementación de los programas de ética corporativa.
Circular externa 100-000003 del 26 de Julio de 2016 Guía para implementar planes de cumplimiento.
Oficio 220-188158 del 29 de septiembre de 2016 emiti- Se emite opinión general y abstracta de los criterios para deter-
do por la Superintendencia de Sociedades. minar qué empresas deben implementar los programas de ética
corporativa.

REGULACIÓN CONTRA EL RIESGO DEL LAVADO DE DINERO Y FINANCIAMIENTO DEL TERRORISMO (ML / FT)
NORMA CONTENIDO
Decreto 663 de 1993 Estatuto Orgánico del Sistema Financiero.
Ley 222 de 1995 Señala que dentro de las funciones de la Superintendencia de
Sociedades se encuentra la facultad de imponer penas o multas,
sucesivas o no, por hasta 200 salarios mínimos mensuales vigen-
tes, a quienes incumplan la ley, sus órdenes o los estatutos.
Ley 599 de 2000 Código Penal Colombiano.
Ley 793 de 2002
Por medio del cual se deroga la ley 333 de 1996 y establece
las reglas que rigen la extinción de dominio.
Decreto 3420 de 2004. Modifica la composición y funciones de La Comisión Interin-
stitucional de Coordinación para el Control del Blanqueo de
Capitales y otras disposiciones. CCICLA, creado por el Decreto
950 de 1995.
Ley 970 de 2005 Aprueba la Convención de las Naciones Unidas contra la Cor-
rupción, adoptada por la Asamblea General de las Naciones
Unidas.
Ley 1121 de 2006 Establece las reglas para la prevención, detección, investigación
y sanción de la financiación del terrorismo y otras disposiciones.
Regula el procedimiento para la publicación y cumplimiento de
las obligaciones asociadas a listas internacionales vinculantes
para Colombia.

253
Resolución 363 de 2008 Impone a las empresas exportadoras de oro y/o importadores,
entidades fundidoras de oro y empresas comerciales internacio-
nales que en su actividad económica comercialicen oro y / o
realicen operaciones de exportación y / o importación de oro
informando a la Unidad de Información y Análisis Financiero
(UIAF).
Ley 526 de 2009 Por la cual se crea la IUAF.
Ley 1186 de 2009 Mediante la cual se aprobó el Memorando de entendimiento
entre los gobiernos de los estados del grupo de acción financiera
de América del Sur contra el lavado de dinero (GAFISUD). Medi-
ante el cual se creó y puso en marcha el grupo de acción finan-
ciera de América del Sur contra el lavado de dinero (GAFILAT).
Ley 1453 de 2011 Mediante la cual se modifican: el Código Penal Colombiano,
el Código de Procedimiento Penal, el Código de la Infancia
y Adolescencia, las normas de extinción de dominio y otras
disposiciones en materia de seguridad.
Decreto 1023 de 2012 Establece que la Superintendencia de Sociedades instruirá a las
empresas sujetas a su vigilancia sobre las medidas para prevenir
los riesgos de lavado de dinero / financiamiento del terrorismo.
Decreto 2669 de 2012 Por el cual se regula la actividad de factoring realizada por las
sociedades mercantiles, se reglamenta el artículo 8 de la ley
1231, se enmienda el artículo 5 del Decreto del 2006 y se
dictan otras disposiciones.
CONPES 3793 - Diciembre 18 de 2013 El objetivo general de este documento es establecer los
lineamientos para poner en marcha la Política Nacional contra
el Lavado de Activos y Financieros del Terrorismo. La idea es
implementar un sistema Integral y más efectivo para prevenir,
detectar, investigar y juzgar las actividades de lavado de dinero
y financiamiento del terrorismo.
Decreto 1074 de 2015 Señala que la Superintendencia de Sociedades es la autoridad
encargada de ejercer la vigilancia sobre las sociedades mer-
cantiles, las sucursales de empresas extranjeras y las empresas
individuales.
Decreto 1068 de 2015 Dispone que las entidades públicas y privadas pertenecientes a
sectores distintos del financiero, del asegurador y del Mercado
bursátil deberán comunicar a la UIAF las operaciones sospecho-
sas, de conformidad con el artículo 102 (2) (d) y artículos 103
y 104 del Estatuto Orgánico del Sistema Financiero cuando
esa unidad así lo requiera y en la forma y oportunidad que se
indique.
Circular Externa 100-000005 de 2018 emitida por la Regulación contra el riesgo del lavado de dinero y financiamien-
Superintendencia de Sociedades to del terrorismo (ML / FT).
Decreto 1674 de 2016 Incluye un Nuevo capítulo al Título 4, Parte 1 Sección 2 del De-
creto 1081 de 2015, relacionado con PEP (“Personas Expuestas
Políticamente).

254