Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 11 de febrero de 2013

LA BASE DE DATOS DE CLIENTES





La base de datos de clientes es uno de los principales activos que la empresa debe cuidar dentro de sus procesos de gestión.

Este activo se va construyendo en el tiempo mediante el crecimiento de la empresa gracias a la eficiencia combinada entre marketing y ventas, pero para que tenga valor para la organización deberá estar revestido con altos estándares de calidad, proporcionalidad y seguridad.




En cada empresa, la base de datos de clientes debe ser única, aunque opere de forma segmentada para las distintas unidades de negocio y cumplimiento, lo que puede conseguirse fácilmente mediante procedimientos informáticos. Los datos sobre clientes  son sólo una parte  de la información general de la empresa.

La legislación sobre protección de datos de carácter personal exige  a esta información sensible calidad y proporcionalidad, cualidades que se logran cuando la empresa, para la recogida y utilización de los datos de los clientes, tiene establecidas políticas y procedimientos adecuados. Debe de haber también un órgano responsable del cumplimiento de esas políticas y  procedimientos, y un departamento encargado de velar por la calidad de la información.

Igualmente, para que esta información pueda ser utilizada de forma eficiente por toda la organización deberá estar informatizada y revestida de las necesarias medidas de seguridad, de manera que sólo pueda ser explotada por cada miembro de la organización con una autorización específica.

Esta seguridad sólo será posible en las empresas que tienen un cierto grado de complejidad, mediante una estructura tecnológica conocida como SIEM, “Security information and event management”,  que es una plataforma de control de la información que está a cargo del CISO (chief information security officer).
El CISO es el ejecutivo que, ayudado por su equipo informático, tiene la responsabilidad de  asegurar los activos de información y  de proteger adecuadamente su explotación.

El departamento de informática, por tanto, es el gestor de la seguridad de la información, y el que controla que su utilización por el personal de la empresa  se haga conforme a las reglas  concretadas en las políticas aprobadas por el órgano de dirección.





NUESTRO MODELO PARA LA BASE DE DATOS DE CLIENTES

El MODELO que estamos utilizando para la prevención y control del fraude de identidad, ya vimos en el capítulo 2 que descansaba en estos cuatro pilares:
  •  POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES
  • BASE DE DATOS DE CLIENTES 
  • DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE
  • DEPARTAMENTO DE SEGURIDAD INFORMÁTICA



EL ÓRGANO DE CONTROL INTERNO Y COMUNICACIÓN (OCIC), es el responsable del diseño y de la aplicación de la política expresa de admisión de cliente y de los procedimientos de diligencia debida. Por lo tanto, es el responsable último de la información y de la seguridad de la  BASE DE DATOS DE CLIENTES, para lo que se ayudará de:
  • EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE
  • EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA



EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, tendrá bajo su responsabilidad el cuidado de la calidad y proporcionalidad de la BASE DE DATOS DE CLIENTES, según estos criterios:

Las cualidades,  calidad y proporcionalidad,  de la información existente en la base de datos de clientes, teniendo en cuenta lo establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, deberán estar recogidas en el documento dedicado a la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, y explicitadas en todas y cada una de las obligaciones de diligencia debida, formando parte de la cultura de trabajo de los empleados que trabajan en el “front office” de la empresa.

Como consecuencia, la información que éstos recojan en su actividad comercial deberá ser adecuada, pertinente, no excesiva, exacta, permanentemente puesta al día,  y sólo podrá usarse para las finalidades determinadas, explícitas y legítimas para las que fue requerida.

El Departamento que auxiliará al OCIC en el control de la calidad y proporcionalidad de la información existente en la BASE DE DATOS DE CLIENTES  será el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, para lo que ejercerá estas dos funciones:

  • Función Ex ante: Colaboración con los distintos departamentos de negocio en la definición de los datos exigibles  a los clientes, teniendo en cuenta las necesidades informativas de cada modalidad de operación y tipo de clientes. Esta función ex ante, en los aspectos que tienen que ver con la  prevención del blanqueo de capitales y la financiación del terrorismo, se hará en coordinación con su Departamento específico.
  • Función Ex post: Comprobación selectiva  dentro de la base de datos de clientes, de que la información cedida a la misma por los departamentos de comercialización cumple con los requisitos de calidad y proporcionalidad, sin perjuicio de las competencias específicas del Departamento de  Auditoría en esta materia.


La razón por la que estas dos funciones en nuestro MODELO están encomendadas al Departamento de Prevención del Fraude, es porque la principal información que ha de tener esa base de datos es la relativa a la identificación formal de los clientes como personas físicas, así como la identificación del titular real en las operaciones de riesgo en las que intervienen personas jurídicas, y éste departamento es el que posee las herramientas necesarias para controlar el fraude de identidad.

Igualmente este departamento está especialmente capacitado para colaborar con los restantes  departamentos de negocio y cumplimiento, en la verificación del propósito e índole de la relación de negocios, cuando esta verificación resulte complicada utilizando las herramientas departamentales ordinarias. También puede intervenir  en la verificación externa de las operaciones de riesgo entre las alertadas por las herramientas de monitorización,  que son las que permiten el seguimiento continuo de la relación de negocios.

El Departamento de Prevención del Fraude, por su especialización operativa, tiene un importante protagonismo dentro de la actividad KYC  de conocimiento del cliente, cuidando de la veracidad de la información, y de que la misma se presente en la forma exigida por la legislación de protección de datos de carácter personal, siendo los datos:




Los datos recogidos de los clientes, para que pasen a formar parte de la base de datos de clientes, han de cumplir con lo establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que exige para su tratamiento que “sean adecuados, pertinentes y no excesivos en relación  con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”

Igualmente, los datos de carácter personal existentes en la base de datos de clientes, según el artículo 4 anteriormente citado, han de ser exactos y puestos al día, y no podrán usarse para finalidades incompatibles con aquellas para las que se hayan obtenido.


EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA

El departamento de seguridad informática, con sus herramientas tecnológicas y entre ellas el SIEM, ofrecerá la seguridad necesaria a la base de datos de clientes y controlará su adecuada explotación por el personal de los distintos departamentos de la empresa.



FUNCIONAMIENTO PRÁCTICO DEL MODELO

En el cumplimiento de las obligaciones de diligencia debida, la cesión de información a la base de datos de clientes ha de pasar primero por un FILTRO DE EXCLUSIÓN

Este filtro tiene como misión impedir la aceptación como clientes de aquellas personas físicas y jurídicas sobre las que exista alguna prohibición legal o administrativa, o que representen un riesgo no asumible por la propia empresa.

Los filtros de exclusión han de estar explicitados en la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, concepto tomado de la legislación sobre prevención del blanqueo de capitales por motivos de homogeneización sectorial, pero no circunscrito a esta materia específica.

Sería irracional que para cada materia de cumplimiento o de negocio, la empresa tuviera que crear una política expresa de admisión de clientes, por lo que resulta lógico que en la empresa exista una sola POLÍTICA que recoja todas las exclusiones de clientes,  que deberá cumplimentarse antes de que se establezcan las relaciones de negocio o se permitan las operaciones. Lógicamente, entre las exclusiones estarán de forma destacada las derivadas de la prevención del blanqueo de capitales y de la financiación del terrorismo, pero también otras que puedan ser de interés para la empresa, como las derivadas de la investigación del fraude.

En la práctica, las exclusiones funcionarán mediante los filtros establecidos en sus respectivas  plataformas tecnológicas por los departamentos de control y cumplimiento, que coordinará el SIEM del departamento de seguridad informática.

Las exclusiones, en algunos casos,  darán lugar a determinadas obligaciones de información o de cesión de datos, como por ejemplo:
  • En las exclusiones originadas por el cumplimiento de la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, el departamento del mismo nombre tendrá que cumplir con las obligaciones de información establecidas por la Ley 10/2010 y su Reglamento de desarrollo. Y si la entidad fuese usuaria de algún repositorio externo fundamentado en el artículo 33.2 de dicha Ley, procederá a la cesión de una parte de esta información al repositorio, en cumplimiento de las obligaciones de reciprocidad que están establecidas para el funcionamiento de este tipo de bases de datos AML.
  • En las exclusiones originadas por los filtros de prevención del fraude, serán las propias plataformas tecnológicas de prevención del fraude las que se alimenten  de la información excluida, mejorando así  su funcionamiento futuro.




Aquella información que supere los filtros de exclusión será la que se ceda a la BASE DE DATOS DE CLIENTES.


La BASE DE DATOS DE CLIENTES, por tanto, puede entenderse como el recipiente  que contiene toda la información en formato electrónico sobre los clientes, que será utilizada para su respectiva función por cada departamento productivo y de cumplimiento mediante sus propias herramientas tecnológicas, siendo el departamento de informática, a través de su plataforma SIEM,  el gestor de su seguridad y  el controlador  de su utilización conforme a las reglas de uso determinadas por la empresa, y siendo el departamento de prevención del fraude el que controle operativamente la calidad y proporcionalidad de esa información.

EL REPOSITORIO CENTRALIZADO DE INFORMACIÓN SOBRE CLIENTES

Entendida la BASE DE DATOS DE CLIENTES como el recipiente informatizado que contiene toda la información de los clientes, denominaré para mayor claridad su contenido como REPOSITORIO CENTRALIZADO DE INFORMACIÓN DE CLIENTES, lo que  se asemeja mucho más al concepto clásico de cartera de clientes.

El REPOSITORIO CENTRALIZADO DE INFORMACIÓN SOBRE CLIENTES requiere una definición operativa de su contenido.

Hay muchas maneras de definir  el contenido de este repositorio, pero por razones de economicidad interesa hacerlo siguiendo los criterios que impone la Ley 10/2010.

Esta base de datos debe contener la información KYC (Know Your Customer – Conoce a tu cliente), exigida por la legislación de prevención del blanqueo y que tiene tres componentes:
  • INFORMACIÓN PASIVA
  • INFORMACIÓN ACTIVA
  • INFORMACIÓN DERIVADA





INFORMACIÓN PASIVA

Es la que recoge la empresa al inicio de la relación de negocios a través de su "front office" o departamentos que están en contacto directo con los clientes, utilizando para ello procesos de verificación de datos y su confrontación con fuentes internas y externas.

Esta información la clasificaremos siguiendo la metodología AML del siguiente modo:
  • La obtenida mediante la identificación formal de los clientes a través de documentos fehacientes.
  • La obtenida mediante la identificación del titular real, en el caso de que los  clientes sean  personas jurídicas y esta información sea necesaria para asegurar la relación de negocios, o lo exija  alguna norma de cumplimiento.
  • La obtenida durante el proceso de averiguación del propósito e índole de la relación de negocios que los clientes pretenden establecer con la empresa, para lo que se comprobará,
    • La información aportada por los clientes.
    • Y la información existente de los clientes en diferentes fuentes. 


INFORMACIÓN ACTIVA

Es la que generan los clientes cuando operan dentro de la empresa; se consigue mediante la PLATAFORMA TECNOLÓGICA DE MONITOREO DE OPERACIONES.


INFORMACIÓN DERIVADA

Que se obtiene de los clientes mediante las PLATAFORMAS TECNOLÓGICAS DE ANÁLISIS Y CONTROL DE LA INFORMACIÓN Y LAS DE CUMPLIMIENTO NORMATIVO.


Toda esta información forma parte del REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC contenido en la BASE DE DATOS DE CLIENTES, que es el recipiente virtual en donde trabajarán las diferentes plataformas tecnológicas de negocio, control y cumplimiento, que actuarán como filtros selectivos por los que circula de forma constante la información existente en el Repositorio,  enriqueciendo de esta manera la información del  mismo.

Estas plataformas tecnológicas especializadas estarán construidas para efectuar un trabajo de investigación específico, y para que sean eficientes deberán cumplir con las siguientes reglas:
  • Aunque en su construcción participe  una empresa tecnológica especializada, deberán estar diseñadas con la participación de sus usuarios finales. Podrán ser herramientas creadas para uso exclusivo de una  empresa concreta  o para una generalidad de empresas.
  • Para su óptimo funcionamiento, cada plataforma tecnológica tendrá definidos sus correspondientes factores de riesgo por los departamentos operativos o de cumplimiento de las que dependan.
  • Han de trabajar con datos revestidos de la necesaria  calidad y proporcionalidad.


Cada una de las diferentes plataformas departamentales  de control y cumplimiento será la que, en base a sus específicos filtros de control, proceda a seleccionar en la base de datos de clientes aquellos tipos que representen un riesgo superior al riesgo promedio de cara a sus objetivos específicos.

La programación de las plataformas tecnológicas de control y cumplimiento, estará reservada a los departamentos responsables de su explotación, quienes deberán definir previamente sus propios factores de riesgo, junto con la indicación expresa de cómo se debe  actuar con cada uno de los grupos de riesgo seleccionados. Entre estos departamentos se encuentran los de prevención del fraude y los de prevención del blanqueo de capitales y de la financiación del terrorismo.


EXPLOTACIÓN ECONÓMICA DE LA INFORMACIÓN KYC

La EXPLOTACIÓN  económica de la información KYC la realizan  los distintos departamentos de negocio de la empresa como los de producción, ventas, marketing, etc., a partir de La BASE DE DATOS DE CLIENTES, mediante sus propias PLATAFORMAS DE NEGOCIO.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude