Suele surgir con frecuencia una pregunta con distintas variaciones: ¿cuán pública es la información de que dispone una empresa?, ¿cuánto debe velar por ella? Acá te contamos algunos puntos clave a tener en cuenta.
Cuando hablamos de la información en las empresas y qué es público y qué es privado, tenemos que tener en cuenta, al menos en la Argentina, si dichas empresas cotizan en el mercado de valores. De ser así, estas cuentan con el Código de Gobierno Societario establecido por la CNV, la cual establece diferentes parámetros que deben contener la disponibilidad de la información, tales como datos sobre los estados financieros, las autoridades y la fiscalización interna y externa.
La diferencia entre compañías que cotizan en la bolsa y las que no, resulta sustancial, ya que además empresas privadas que no lo hacen poseen un margen más amplio de resguardo de información y sobre qué muestran y qué no.
Luego existe otro tipo de organismo: las entidades estatales y/o organizaciones estatales. De acuerdo con los principios de la ley 27.275 “AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA DIRECCIÓN NACIONAL DE ACCESO A LA INFORMACIÓN PÚBLICA”, toda la información en poder del Estado se presume pública, salvo las excepciones impuestas en esta Ley, entendiendo por información “todo tipo de datos contenidos en documentos de cualquier formato”.
Podemos hacernos ahora una pregunta clave: ¿cómo se define qué es privado y qué es público?
Hay que delimitar la línea entre la información pública y la información privada más allá del acceso a ella. Particularmente, las leyes buscan garantizar la protección de los siguientes elementos:
- el derecho a la intimidad e identidad de las personas (sea una empresa pública o privada);
- el derecho que tiene cada ciudadano a conocer la información que se recoge sobre cada uno en las bases de datos, es decir, tener acceso a las bases de datos donde se encuentra esa información;
- el derecho a incluir nuevos datos que el ciudadano considere que se necesitan agregar para tener un perfil completo;
- que la información recabada pueda ser rectificada y/o corregida conforme las peticiones particulares;
- el derecho a solicitar que se excluya determinada información de una base de datos, ya sea por uso erróneo, indebido o voluntad del titular.
Si reflexionamos sobre lo dicho, podríamos encontrar ciertos solapamientos entre los derechos y las obligaciones de los distintos tipos de personerías jurídicas y el ámbito que compete estrictamente al Estado en lo que respecta a velar por el cumplimiento de esos derechos y obligaciones.
En esos límites lábiles es donde más importancia cobra la figura del compliance officer (CO). ¿Por qué?
El compliance eficaz juega un rol clave en cuanto a la información
Para asegurar ante organismos públicos un rol eficaz de compliance y que se cumpla con la normativa vigente estipulada en la Ley 27.275, se deberán tener en cuenta diferentes parámetros:
- página web con datos de información de gestión;
- acceso al ciudadano, es decir, un canal de comunicación directa entre el ciudadano y el organismo;
- asesoramiento;
- incentivos internos ante el incumplimiento;
- gestión eficaz de la información y de los mecanismos de control.
Es clave que el CO sea cauteloso con la protección de datos sensibles, puesto que se debe tener discreción y coherencia con respecto a cuáles son los datos que pueden hacerse públicos y cuáles no.
¿Cuándo puede ser obligatorio que información privada se haga pública?
De acuerdo con el art. 1, 3° párrafo de la Ley 27.275 Transparencia y máxima divulgación: “toda la información en poder, custodia o bajo control del sujeto obligado debe ser accesible para todas las personas. El acceso a la información pública sólo puede ser limitado cuando concurra alguna de las excepciones previstas en esta ley, de acuerdo con las necesidades de la sociedad democrática y republicana, proporcionales al interés que las justifican”.
Las excepciones en las que los sujetos obligados pueden exceptuarse de compartir/proveer la información de sus clientes están taxativamente enumeradas en el art. 8 de la Ley 27.275):
ARTÍCULO 8° — Excepciones. Los sujetos obligados sólo podrán exceptuarse de proveer la información cuando se configure alguno de los siguientes supuestos:
a) Información expresamente clasificada como reservada o confidencial o secreta, por razones de defensa o política exterior.
La reserva en ningún caso podrá alcanzar a la información necesaria para evaluar la definición de las políticas de seguridad, defensa y de relaciones exteriores de la Nación; ni aquella otra cuya divulgación no represente un riesgo real e identificable de perjuicio significativo para un interés legítimo vinculado a tales políticas;
b) Información que pudiera poner en peligro el correcto funcionamiento del sistema financiero o bancario;
c) Secretos industriales, comerciales, financieros, científicos, técnicos o tecnológicos cuya revelación pudiera perjudicar el nivel de competitividad o lesionar los intereses del sujeto obligado;
d) Información que comprometa los derechos o intereses legítimos de un tercero obtenida en carácter confidencial;
e) Información en poder de la Unidad de Información Financiera encargada del análisis, tratamiento y transmisión de información tendiente a la prevención e investigación de la legitimación de activos provenientes de ilícitos;
f) Información elaborada por los sujetos obligados dedicados a regular o supervisar instituciones financieras o preparada por terceros para ser utilizada por aquellos y que se refieran a exámenes de situación, evaluación de su sistema de operación o condición de su funcionamiento;
g) Información elaborada por asesores jurídicos o abogados de la administración pública nacional cuya publicidad pudiera revelar la estrategia a adaptarse en la defensa o tramitación de una causa judicial o divulgare las técnicas o procedimientos de investigación de algún delito u otra irregularidad o cuando la información privare a una persona del pleno ejercicio de la garantía del debido proceso;
h) Información protegida por el secreto profesional;
i) Información que contenga datos personales y no pueda brindarse aplicando procedimientos de disociación, salvo que se cumpla con las condiciones de licitud previstas en la ley 25.326 de protección de datos personales y sus modificatorias;
j) Información que pueda ocasionar un peligro a la vida o seguridad de una persona;
k) Información de carácter judicial cuya divulgación estuviera vedada por otras leyes o por compromisos contraídos por la República Argentina en tratados internacionales;
l) Información obtenida en investigaciones realizadas por los sujetos obligados que tuviera el carácter de reservada y cuya divulgación pudiera frustrar el éxito de una investigación;
m) Información correspondiente a una sociedad anónima sujeta al régimen de oferta pública.
Las excepciones contenidas en el presente artículo no serán aplicables en casos de graves violaciones de derechos humanos, genocidio, crímenes de guerra o delitos de lesa humanidad.
¿Qué entra finalmente dentro del control del área de compliance en términos de manejo de información y qué no?
No existe una respuesta taxativa a priori. Siempre dependerá de cada caso en particular. Sin embargo, podemos afirmar, de modo sintético, que se necesita un debido control del CO ante la información que se tiene.
Se debe aplicar correctamente el criterio de protección en cuanto al secreto financiero, impositivo o defensa exterior; además se debe tener una interacción fluida y constructiva con los organismos de contralor que contiene la información
Asimismo, se deben proteger datos personales de archivos, registros, bancos de datos, entre otros, que están bajo la órbita del CO conforme la Ley.
Y, por último, los secretos comerciales e industriales son de vital importancia para el CO, ya que deberá siempre velar por la protección de ellos, pero en consecuencia y acorde a la información pública.