1) Punto de partida: el sistema ya no se interpreta “por artículos sueltos”
En la revisión general del Decreto Ejecutivo No. 298, una idea me quedó marcando: el reglamento no está escrito para que el cumplimiento se entienda como un listado de obligaciones aisladas, sino como un sistema operable.
En ese marco, el segundo eje de la serie no puede ser otro que el corazón técnico que alimenta el resto: el Plan Nacional de Acción Estratégico y la Evaluación Nacional de Riesgos (ENR).
¿Por qué? Porque aquí el Decreto 298 deja de ser “norma declarativa” y pasa a ser arquitectura de gestión: define cómo se fijan objetivos, cómo se prioriza el riesgo país, quién coordina, quién ejecuta y cómo se actualiza el sistema.
2) El Plan Nacional de Acción Estratégico como documento “vinculante” del sistema
El artículo 23 establece la naturaleza del Plan Nacional de Acción Estratégico: es un documento técnico aprobado por el CONCLAFT que fija objetivos, indicadores, estrategias y acciones para un periodo determinado; además, explícitamente se fundamenta en enfoque basado en riesgos y prioridades sectoriales, considerando estándares internacionales.
Hasta aquí podría parecer obvio. Lo determinante es lo siguiente: el mismo artículo afirma que su observancia y monitoreo es obligatorio para los miembros del CONCLAFT, que su ejecución recae en comités especializados, y que su evaluación/actualización dependerá de resultados de ENR u otras circunstancias relevantes.
Aquí aparece una primera tesis práctica:
Si el Plan es un documento técnico aprobado por el CONCLAFT y su observancia/monitoreo es obligatorio para miembros del sistema, entonces el Plan se convierte en el instrumento operativo de gobierno del riesgo país.
No es un documento “de cortesía” ni un plan aspiracional. En la práctica, se vuelve: el marco de prioridades institucionales, el filtro de supervisión, y el origen de líneas de acción que luego se traducen en exigencias, guías, protocolos y controles.
Y aquí viene el punto crítico: aunque el Plan obliga formalmente a miembros del CONCLAFT, la vida real del plan se descarga hacia el sector regulado porque la supervisión y los controles se diseñan con base en ese enfoque.
3) ¿Quién elabora el Plan y con qué insumos?
El artículo 24 encarga a la UAFE la elaboración del Plan, con base a: insumos y recomendaciones de miembros del CONCLAFT y comités especializados, resultados de la ENR, estándares internacionales (se menciona expresamente el GAFI), y “demás información relevante”.
Este artículo es potente porque:
1. Formaliza que el Plan no es improvisado, sino alimentado por metodología y por inteligencia institucional.
2. Le da a la UAFE un rol de ingeniería del sistema: no solo recibe reportes, sino que arma el marco estratégico de acción.
Riesgo operativo posible
La frase “demás información relevante” abre un espacio amplio para incorporar insumos no necesariamente transparentes para los sujetos obligados. Eso no es malo por sí mismo (en antilavado, parte de la información es necesariamente sensible), pero sí genera un desafío:
¿Cómo se traduce un plan sustentado parcialmente en información reservada en obligaciones exigibles con claridad al sujeto obligado?
Ese equilibrio entre inteligencia y seguridad jurídica va a ser uno de los grandes retos de operativización.
4) Evaluación Nacional de Riesgos (ENR): la base que reconfigura todo
El artículo 25 ordena que la UAFE ejecute la ENR mediante metodologías basadas en estándares internacionales, herramientas analíticas y con participación de entidades públicas y privadas inmersas en la materia.
Y después viene lo más importante: los resultados serán: presentados al CONCLAFT, divulgados a organismos del sector público y del sector privado competente, y servirán como insumo para formular y actualizar el Plan Nacional.
Enfoque basado en riesgos, pero “en serio”
Este artículo hace que la ENR no sea un informe decorativo. Si la ENR alimenta el Plan, y el Plan define acciones/indicadores/estrategias sectoriales, entonces el enfoque basado en riesgos se vuelve el criterio rector real del sistemas
En la práctica, esto produce un efecto en cascada: ENR amenazas y vulnerabilidades por sector.
Plan traduce esas prioridades en acciones/objetivos/indicadores
Comités ejecutan y coordinan.
Supervisión controla cumplimiento y evidencia.
Este flujo hace que el cumplimiento deje de ser una lista fija y pase a ser un modelo adaptable.
5) ¿Qué significa esto para un sujeto obligado?
Aquí viene lo que de verdad le importa al sector privado: ¿cómo se aterriza?
5.1 Matriz de riesgos: alineación (no “copiar-pegar”)
Con este diseño, la matriz de riesgos interna no debería ser una plantilla genérica. Debe poder demostrar:que entiende tipologías relevantes, que prioriza riesgos coherentemente con el sector, y que tiene controles proporcionales.
Aunque el Decreto 298 no te dice “haz la matriz así”, sí te está diciendo que el sistema entero se gobierna por ENR + Plan, y el control se ejecuta bajo enfoque basado en riesgos.
5.2 Debida diligencia: beneficiario final + trazabilidad + prohibición de anonimato
El artículo 31 obliga a aplicar debida diligencia bajo políticas de “Conozca a…” (cliente, empleado, mercado, corresponsal, proveedor y accionista/socio).
Y define beneficiario final de forma robusta: no solo “propietario”, sino quien controle directa o indirectamente, o en cuyo nombre se realiza la transacción, incluyendo control efectivo final sobre persona jurídica o estructura jurídica.
Además, fija la conservación de registros por diez años desde el fin de la relación o la última transacción.
Y añade un elemento que tiene impacto práctico inmediato: operaciones nominativas, prohibición de cuentas/inversiones anónimas o transacciones sin carácter nominativo.
La discusión ya no es si tienes o no formatos. La discusión es si tu sistema realmente puede: reconstruir el “rastro”, sostener identificación de beneficiario final en estructuras complejas, y conservar evidencia suficiente para auditoría y control.
5.3 PEPs: diligencia reforzada con alcance ampliado
El reglamento establece que los sujetos obligados deben aplicar debida diligencia reforzada a PEPs y amplía el perímetro a cónyuge o pareja, familiares hasta cuarto grado de consanguinidad y segundo de afinidad, y colaboradores directos.
Además, exige información adicional (laboral, domiciliar, contactos, ingresos, fechas de designación, etc.).
Pregunta crítica: ¿Tu organización realmente puede operar esto sin colapsar en burocracia o sin generar fricción comercial?
Porque aquí el cumplimiento exige: segmentación inteligente, automatización mínima, y una política clara de “qué sí, qué no y hasta dónde”.
6) Datos personales: legitimidad, pero también un nuevo campo minado
El artículo 32 reconoce que el sujeto obligado está legítimamente autorizado para tratar datos personales para prevención de LA/FT, conforme a la Ley de Protección de Datos, garantizando confidencialidad, seguridad y uso exclusivo para prevención/detección.
Y aquí viene una frase fuerte: las personas naturales, jurídicas o estructuras deberán proporcionar información al sujeto obligado o su tercero, “sin que se pueda aducir reserva de ninguna naturaleza”.
Esto ayuda muchísimo cuando en la operación real aparece la típica resistencia: “eso es confidencial” , “no puedo entregar esa información”, “por protección de datos no te doy nada”
El Decreto 298 te da respaldo normativo: el tratamiento es legítimo por obligación legal y con fines específicos, siempre que se garantice seguridad y confidencialidad.
Pero ojo: ese respaldo no exime el deber de: minimizar datos, controlar accesos, auditar proveedores, y blindar canales internos.
Si no lo haces, el riesgo ya no es solo antilavado: también es riesgo de datos personales, sancionatorio y reputacional.
7) Terceros en debida diligencia: tercerizar no es lavarse las manos
El artículo 33 es clarísimo: si dependes de terceros o contratas proveedores externos para ejecutar debida diligencia, debes implementar mecanismos idóneos para garantizar tratamiento adecuado de la información, reserva y confidencialidad; y además acatar guías y protocolos que establezca la UAFE.
La tercerización se vuelve un riesgo en sí mismo. Y el sujeto obligado debe gobernarlo como tal: contratos con cláusulas de seguridad y confidencialidad, auditorías, trazabilidad de consultas, y evidencia de cumplimiento de protocolos.
8) Control: la UAFE con herramientas amplias (in situ y extra situ)
El artículo 34 faculta a la UAFE (para sujetos sin entidad de control específica) a utilizar cualquier modalidad, mecanismo, metodología o instrumentos de control, in situ o extra situ, con mejores prácticas y requerimiento de documentación “en cualquier soporte”.
Y añade algo procesalmente fuerte: los actos de control gozan de presunción de legalidad, fuerza vinculante y rigen desde notificación por el tiempo que determine la UAFE.
Esto obliga a madurar el cumplimiento: porque si el control puede pedir documentación amplia y aplicar medidas vinculantes desde notificación, el sujeto obligado debe estar listo para: responder rápido, sostener evidencia, y no improvisar.
En pocas palabras: el cumplimiento debe ser “audit-ready”.
9) Resoluciones del Consejo de Seguridad ONU: listas, monitoreo y actualización
El artículo 35 exige observar procedimientos para implementar resoluciones del Consejo de Seguridad de la ONU sobre terrorismo y proliferación, y monitorear disposiciones y listas emitidas por dicho organismo.
Y ordena control por parte de UAFE y entidades de control.
Esto es un recordatorio de que el sistema ya no solo mira lavado clásico, sino: Sanciones, listas, congelamiento, y obligaciones vinculadas a FP (proliferación).
CONCLUSIÓN
Con este bloque (arts. 23 a 25 y luego 31 a 35), el Decreto 298 deja un mensaje fuerte:
El cumplimiento ya no puede ser una formalidad documental. Es una gestión técnica basada en riesgo, gobernada por ENR y Plan, ejecutada por controles robustos y sostenida por evidencia.
Y aquí dejo la pregunta que, honestamente, creo que define el éxito o fracaso de la operativización:
¿Estamos construyendo sistemas de cumplimiento para pasar auditorías, o sistemas de cumplimiento que realmente entienden riesgo, lo miden, lo controlan y pueden demostrarlo?
No hay comentarios:
Publicar un comentario