Las tres cualidades de la Base de Datos de Clientes y su contenido

La legislación sobre protección de datos de carácter personal exige a la Base de Datos de Clientes, calidad y proporcionalidad, cualidades que se logran cuando la empresa tiene establecidas políticas y procedimientos adecuados para la recogida y utilización de los datos de los clientes, junto con un órgano responsable de su cumplimiento y un departamento encargado de velar por la calidad de esa información.

Para que esta información pueda ser utilizada de forma eficiente por toda la organización, deberá estar informatizada y revestida de las necesarias medidas de seguridad, de manera que sólo pueda ser explotada con una autorización específica por cada miembro de la organización.

El Departamento de Prevención del Fraude  es el que tiene bajo su responsabilidad, el cuidado de la calidad y proporcionalidad de la Base de Datos de Clientes.

Teniendo en cuenta lo establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, las cualidades (calidad y proporcionalidad)  de la información existente en la base de datos de clientes, deberán estar recogidas en el documento dedicado a la Política Expresa de Admisión de Clientes, y explicitadas en todas y cada una de las obligaciones de diligencia debida, formando parte de la cultura de trabajo de los empleados que trabajan en el “front office” de la empresa.

Como consecuencia, la información que éstos recojan en su actividad comercial deberá ser adecuada, pertinente, no excesiva, exacta, permanentemente puesta al día,  y sólo podrá usarse para las finalidades determinadas, explícitas y legítimas para las que fue requerida.

Para este trabajo, El Departamento de Prevención del Fraude:

• Colaborará con los distintos departamentos de negocio en la definición de los datos exigibles  a los clientes, teniendo en cuenta las necesidades informativas de cada modalidad de operación y tipo de clientes. En los aspectos que tienen que ver con la  prevención del blanqueo de capitales y de la financiación del terrorismo, lo hará en coordinación con su Departamento específico.
• Comprobará de forma selectiva,  dentro de la base de datos de clientes, que la información cedida a la misma por los departamentos de comercialización cumple con los requisitos de calidad y proporcionalidad, sin perjuicio de las competencias específicas del Departamento de  Auditoría en esta materia.

La razón por la que estas dos funciones están encomendadas al Departamento de Prevención del Fraude, es porque la principal información que ha de tener esa base de datos es la relativa a la identificación formal de los clientes como personas físicas, así como la identificación del titular real en las operaciones de riesgo en las que intervienen personas jurídicas, y éste departamento es el que posee las herramientas necesarias para controlar el fraude de identidad.

Igualmente este departamento está especialmente capacitado para colaborar con los restantes departamentos de negocio y cumplimiento, en la verificación del propósito e índole de la relación de negocios, cuando esta verificación resulte complicada utilizando las herramientas departamentales ordinarias. También puede intervenir  en la verificación externa de las operaciones de riesgo, entre las alertadas por las herramientas de monitorización,  que son las que permiten el seguimiento continuo de la relación de negocios.

El Departamento de Prevención del Fraude, por su especialización operativa, tiene un importante protagonismo dentro de la actividad KYC (conocimiento del cliente), cuidando de la veracidad de la información, y de que la misma se presente en la forma exigida por la legislación de protección de datos de carácter personal.

Los datos recogidos de los clientes, para que pasen a formar parte de la base de datos de clientes, han de cumplir con lo establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que exige para su tratamiento que “sean adecuados, pertinentes y no excesivos en relación  con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”

Igualmente, los datos de carácter personal existentes en la base de datos de clientes, según el artículo 4 anteriormente citado, han de ser exactos y puestos al día, y no podrán usarse para finalidades incompatibles con aquellas para las que se hayan obtenido.

El Departamento de seguridad informática, con sus herramientas tecnológicas y entre ellas el SIEM, ofrecerá la seguridad necesaria a la base de datos de clientes y controlará su adecuada explotación por el personal de los distintos departamentos de la empresa.

En las empresas que tienen un cierto grado de complejidad, esta seguridad sólo será posible mediante una estructura tecnológica conocida como SIEM, “security information and event management”,  que es una plataforma de control de la información que está a cargo del CISO (chief information security officer).

El CISO es el ejecutivo que, ayudado por su equipo informático, tiene la responsabilidad de  asegurar los activos de información y  de proteger adecuadamente su explotación.

El departamento de informática, por tanto, es el gestor de la seguridad de la información, y el que controla que su utilización por el personal de la empresa  se haga conforme a las reglas  concretadas en las políticas aprobadas por el órgano de dirección.

Los filtros de exclusión

En el cumplimiento de las obligaciones de diligencia debida, la cesión de información a la base de datos de clientes ha de pasar primero por un Filtro de Exclusión.

Este filtro tiene como misión impedir la aceptación como clientes de aquellas personas físicas y jurídicas sobre las que exista alguna prohibición legal o administrativa, o que representen un riesgo no asumible por la propia empresa.

Los filtros de exclusión han de estar explicitados en la Política Expresa de Admisión de Clientes, concepto tomado de la legislación sobre prevención del blanqueo de capitales por motivos de homogeneización sectorial, pero no circunscrito a esta materia específica.

Sería irracional que para cada materia de cumplimiento o de negocio, la empresa tuviera que crear una política expresa de admisión de clientes, por lo que resulta lógico que en la empresa exista una sola Política que recoja todas las exclusiones de clientes,  que deberá cumplimentarse antes de que se establezcan las relaciones de negocio o se permitan las operaciones. Lógicamente, entre las exclusiones estarán de forma destacada las derivadas de la prevención del blanqueo de capitales y de la financiación del terrorismo, pero también otras que puedan ser de interés para la empresa, como las derivadas de la investigación del fraude.

En la práctica, las exclusiones funcionarán mediante los filtros establecidos en sus respectivas  plataformas tecnológicas por los departamentos de control y cumplimiento, que coordinará el SIEM del departamento de seguridad informática.

Las exclusiones, en algunos casos,  darán lugar a determinadas obligaciones de información o de cesión de datos, como por ejemplo:

•  En las exclusiones originadas por el cumplimiento de la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, el departamento del mismo nombre tendrá que cumplir con las obligaciones de información establecidas por la Ley 10/2010 y su Reglamento de desarrollo. Y si la entidad fuese usuaria de algún repositorio externo fundamentado en el artículo 33.2 de dicha Ley, procederá a la cesión de una parte de esta información al repositorio, en cumplimiento de las obligaciones de reciprocidad que están establecidas para el funcionamiento de este tipo de bases de datos PBC/FT.
• En las exclusiones originadas por los filtros de prevención del fraude, serán las propias plataformas tecnológicas de prevención del fraude las que se alimenten  de la información excluida, mejorando así  su funcionamiento futuro.

Aquella información que supere los filtros de exclusión será la que se ceda a la Base de Datos de Clientes.

La Base de Datos de Clientes, por tanto, puede entenderse como el recipiente  que contiene toda la información sobre los clientes en formato electrónico, que será utilizada por cada departamento productivo y de cumplimiento mediante sus propias herramientas tecnológicas para su respectiva función, siendo el departamento de informática, a través de su plataforma SIEM,  el gestor de su seguridad y  el controlador  de su utilización conforme a las reglas de uso determinadas por la empresa, mientras que el departamento de prevención del fraude será el que controle operativamente la calidad y proporcionalidad de esa información.

Entendida la Base de Datos de Clientes como el recipiente informatizado que contiene toda la información de los clientes, podríamos entenderla como un repositorio centralizado de información de clientes, lo que  se asemeja mucho más al concepto clásico de cartera de clientes.

Este repositorio centralizado de información de clientes requiere una definición operativa de su contenido.

Hay muchas maneras de definir  el contenido de este repositorio, pero por razones de economicidad interesa hacerlo siguiendo los criterios que impone la Ley 10/2010.

Debe contener la información KYC (Know Your Customer – Conoce a tu cliente), exigida por la legislación de prevención del blanqueo, que tiene tres componentes:

•  Información pasiva de los clientes
•  Información activa de los clientes
•  Información derivada de los clientes

Información pasiva de los clientes

Es la que recoge la empresa al inicio de la relación de negocios a través de su "front office" o departamentos que están en contacto directo con los clientes, utilizando para ello los procesos de verificación de datos y su confrontación con fuentes internas y externas.

Esta información la clasificaremos siguiendo la metodología PBC/FT del siguiente modo:

•  La obtenida mediante la identificación formal de los clientes a través de documentos fehacientes.
•  La obtenida mediante la identificación del titular real, en el caso de que los  clientes sean  personas jurídicas y esta información sea necesaria para asegurar la relación de negocios, o lo exija  alguna norma de cumplimiento.
• La obtenida durante el proceso de averiguación del propósito e índole de la relación de negocios que los clientes pretenden establecer con la empresa, para lo que se comprobará la información aportada por los clientes y la información existente de los clientes en diferentes fuentes. 

Información activa de los clientes

Es la que generan los clientes cuando operan dentro de la empresa; se consigue mediante la Plataforma Tecnológica de Monitoreo de Operaciones.

Información derivada de los clientes

Que se obtiene de los clientes mediante las plataformas tecnológicas de análisis y control de la información y las de cumplimiento normativo.

Toda esta información forma parte del repositorio centralizado de información KYC contenido en la Base de Datos de Clientes, que es el recipiente virtual en donde trabajarán las diferentes plataformas tecnológicas de negocio, control y cumplimiento, que actuarán como filtros selectivos por los que circulará de forma constante la información existente en el Repositorio,  enriqueciendo de esta manera la información del  mismo.

Estas plataformas tecnológicas especializadas estarán construidas para efectuar un trabajo de investigación específico, y para que sean eficientes deberán cumplir con las siguientes reglas:

• Aunque en su construcción participe  una empresa tecnológica especializada, deberán estar diseñadas con la participación de sus usuarios finales. Podrán ser herramientas creadas para uso exclusivo de una  empresa concreta  o para una generalidad de empresas.
• Para su óptimo funcionamiento, cada plataforma tecnológica tendrá definidos sus correspondientes factores de riesgo por los departamentos operativos o de cumplimiento de las que dependan.
• Han de trabajar con datos revestidos de la necesaria  calidad y proporcionalidad.

Cada una de las diferentes plataformas departamentales  de control y cumplimiento será la que, en base a sus específicos filtros de control, proceda a seleccionar en la base de datos de clientes aquellos tipos que representen un riesgo superior al riesgo promedio de cara a sus objetivos específicos.

La programación de las plataformas tecnológicas de control y cumplimiento, estará reservada a los departamentos responsables de su explotación, quienes deberán definir previamente sus propios factores de riesgo, junto con la indicación expresa de cómo se debe  actuar con cada uno de los grupos de riesgo seleccionados. Entre estos departamentos se encuentran los de prevención del fraude y los de prevención del blanqueo de capitales y de la financiación del terrorismo.

La explotación económica de la información KYC la realizan  los distintos departamentos de negocio de la empresa como los de producción, ventas, marketing, etc., a partir de La Base de Datos de Clientes, y mediante sus propias Plataformas de Negocio.