Sistema Costarricense de Información Jurídica

Ficha del Pronunciamiento

Dictamen : 007 del 12/1/2005
Consultante:	Gilberth Barrantes Campos
Cargo:	Auditor General Corporativo
Institución:	Banco de Costa Rica
Funcionario:	Magda Inés Rojas Chaves

ß&Ø¥ß%

Texto Dictamen 007

Dictamen : 007 del 12/01/2005

C-007-2005

C-007-2005
12 de enero de 2005


Licenciado
Gilbert Barrantes Campos
Auditor General Corporativo
Banco de Costa Rica
S. O.

Estimado señor:

Con la aprobación de la Procuradora General, me refiero a su atento oficio N° AUD-0501-2004 de 6 de diciembre anterior, por medio del cual solicita el criterio de la Procuraduría General en relación con la aplicación del artículo 18 de la Ley N° 8204 a la Auditoría Interna en el cumplimiento de sus funciones.

Señala Ud. que las auditorías tienen a su cargo la fiscalización de control interno de todas las dependencias de la Administración activa. En el plan de labores se encuentra un auditoraje que incluye la evaluación de las funciones operativas que se realizan en la Gerencia de Cumplimiento. Al solicitarle a dicha Gerencia el acceso a los archivos que registran la lista de las operaciones inusuales y sospechosas que les han sido reportadas, con el fin de evaluar su operatividad, se denegó dicho acceso con base en el artículo 18 de la Ley N° 8204. La División Jurídica, en oficio N° DJ/RA/694-04 de 25 de noviembre de 2004, concluye que el artículo 18 no es oponible a la Auditoría cuando en cumplimiento de sus funciones realice alguna investigación o análisis sobre el desempeño de la Oficialía de Cumplimiento. El oficial de cumplimiento solicitó al Director del Instituto Costarricense sobre Drogas criterio sobre el mismo punto. El Instituto, en oficio N° DG-516-2004 de 1 de diciembre siguiente, manifestó que el único órgano de apoyo y vigilancia a lo interno de la Institución a la cual la oficina de cumplimiento debe poner en conocimiento las operaciones sospechosas es el Comité de Cumplimiento. La Auditoría puede participar en las sesiones del Comité sin derecho a voto. De esa forma puede conocer los reportes de operaciones sospechosas, sin que le sea posible obtener información por parte de la oficialía de cumplimiento. Agrega el consultante que la Auditoría no tiene interés en conocer los clientes o transacciones que están siendo reportadas, sino que el objetivo es evaluar el procedimiento llevado a cabo para efectuar y comunicar el reporte, en aras de medir el cumplimiento de la normativa y establecer el grado de riesgo en que se puede encontrar el Banco ante un inadecuado procedimiento seguido por esa Gerencia. La Superintendencia General de Entidades Financieras hizo expresa indicación del deber de la Auditoría de evaluar la gestión de la Gerencia de Cumplimiento, según se señala en el Reglamento General a la Ley N° 8204, artículo 43. La Ley de Control Interno en el artículo 32 asigna deberes para no revelar a terceros información y guardar la confidencialidad del caso, en tanto que el artículo 33 faculta para solicitar los informes, datos, documentos y tener libre acceso a todos los libros, los archivos, los valores y cuentas.

Remite Ud. el oficio de 25 de noviembre anterior de la Asesoría Jurídica del Banco en el cual expresa que los motivos que posibilitarían el acceso de la Auditoría a la información son consustanciales a sus deberes funcionales y apareja un deber de confidencialidad que garantiza al menos formalmente la integridad de la información, razón por la cual no tendría sentido interponer objeciones.

Asimismo, se remite el oficio N° DG-516-2004 de 1 de diciembre anterior, del Instituto Costarricense contra las Drogas en relación con la información que se ha reportado sobre operaciones sospechosas. El criterio del Instituto es que el secreto bancario garantiza la confidencialidad de toda actividad bancaria. Esa confidencialidad cubre la información que se obtenga mediante reportes de operaciones sospechosas y la confidencialidad con que se debe tratar ese tipo de información. Considera que el artículo 18 de la Ley N° 8204 establece el principio de confidencialidad, sancionando su irrespeto. El artículo 130 de la Ley Orgánica del Banco Central impuso el deber de confidencialidad respecto de la comunicación que se dé sobre operaciones sospechosas entre la Superintendencia y el Poder Judicial. Reserva que se extiende a las comunicaciones que efectúen las instituciones financieras al órgano de supervisión, según el artículo 25 del Reglamento General a la Ley N° 8204. La normativa para el cumplimiento de dicha Ley aprobada por el CONASSIF reitera la exigencia del manejo confidencial de las transacciones sospechosas, cuando exige que la remisión del reporte y la documentación que lo acompaña se haga en sobre cerrado con la leyenda “confidencial”. Por lo que el único órgano de apoyo y vigilancia a lo interno al cual la oficina debe poner en conocimiento de las operaciones sospechosas es el Comité de Cumplimiento, siempre que se haya agotado de previo la remisión del reporte al órgano de supervisión. El Auditor puede conocer de los reportes de operaciones sospechosas mediante su comparecencia al Comité de Cumplimiento, pero no por información que le brinde la oficialía de cumplimiento.

Con el objeto de garantizar los valores de la Hacienda Pública, el ordenamiento otorga a la auditoría interna libre acceso a información relacionada con sus competencias. Acceso que es necesario para evaluar la gestión y los mecanismos de control interno tendentes a prevenir operaciones de legitimación de capitales.

A.- EL ACCESO A LA INFORMACION PERMITE SATISFACER LOS VALORES DE LA HACIENDA PUBLICA

El ordenamiento jurídico costarricense establece un sistema de fiscalización integrado y coherente de la Hacienda Pública. Parte fundamental de ese sistema lo constituye el control interno y dentro de éste, las auditorías internas. Encargadas de evaluar tanto la gestión administrativa como de evaluar los controles internos, a la auditoría se le garantiza un amplio acceso a la información relacionada con el accionar del organismo al que pertenece.

1.- Un sistema de fiscalización de la Hacienda Pública

A partir de la obligación de control de la Hacienda Pública, consagrada en el artículo 183 de la Carta Política, se ha establecido un sistema de fiscalización de la Hacienda Pública. Sistema de control que ha sido desarrollado por la Ley Orgánica de la Contraloría General de la República, Ley N° 7428 del 7 de septiembre de 1994 y más recientemente por la Ley General de Control Interno, N° 8292 de 27 de agosto de 2002. Un sistema que procura el adecuado manejo de los recursos públicos y que su utilización se ajuste a las disposiciones de la ley pero también que sea eficaz y eficiente.

En orden a la Hacienda Pública, debe recordarse que el ordenamiento consagra una definición amplia tanto en cuanto a su objeto como respecto de los sujetos sobre los cuales se puede ejercer control. Dispone el artículo 8 de la Ley Orgánica de la Contraloría General:

"La Hacienda Pública estará constituida por los fondos públicos, las potestades para percibir, administrar, custodiar, conservar, manejar, gastar e invertir tales fondos y las normas jurídicas, administrativas y financieras, relativas al proceso presupuestario, la contratación administrativa, el control interno y externo y la responsabilidad de los funcionarios públicos.

Respecto a los entes públicos no estatales, las sociedades con participación minoritaria del sector público o las entidades privadas, únicamente formarán parte de la Hacienda Pública los recursos que administren o dispongan, por cualquier título, para conseguir sus fines y que hayan sido transferidos o puestos a su disposición, mediante norma o partida presupuestaria, por los Poderes del Estado, sus dependencias y órganos auxiliares, el Tribunal Supremo de Elecciones, la administración descentralizada, las universidades estatales, las municipalidades y los bancos del Estado. Los recursos de origen distinto de los indicados no integran la Hacienda Pública; en consecuencia, el régimen jurídico aplicable a esas entidades es el contenido en las Leyes que las crearon o los ordenamientos especiales que las regulan.

El patrimonio público será el universo constituido por los fondos públicos y los pasivos a cargo de los sujetos componentes de la Hacienda Pública. Serán sujetos componentes de la Hacienda Pública, el Estado y los demás entes u órganos públicos, estatales o no, y las empresas públicas, así como los sujetos de Derecho Privado, en cuanto administren o custodien fondos públicos por cualquier título, con las salvedades establecidas en el párrafo anterior".

La definición amplia de Hacienda Pública comprende no sólo los fondos públicos a que hace referencia el artículo 9 de la misma Ley, sino también las potestades públicas de contenido financiero y las normas jurídicas relativas al proceso presupuestario, la contratación administrativa y los controles sobre la Hacienda Pública. De esa forma, el sistema de control sobre la Hacienda Pública es parte de esta misma. Por consiguiente, tiene sustento constitucional.

Dentro de ese sistema, ocupan una posición especial las auditorías internas a quienes la ley confía una serie de atribuciones. Algunas de ellas referidas a verificar que el accionar administrativo se oriente por el principio de eficacia y de eficiencia, de manera tal que se cumplan los fines que justifican la creación del organismo público y sus competencias sean ejercidas fundamentalmente en resguardo de los fondos públicos. Pero, la Auditoría Interna no sólo realiza auditorías o estudios especiales en relación con los fondos públicos, sino que también evalúa el sistema de control interno y, por ende, el cumplimiento de las normas y disposiciones adoptadas por la administración activa como parte del control interno. Dispone en lo conducente el artículo 22 de la Ley de Control:

"Competencias. Compete a la auditoría interna, primordialmente lo siguiente:

a) Realizar auditorías o estudios especiales semestralmente, en relación con los fondos públicos sujetos a su competencia institucional, incluidos fideicomisos, fondos especiales y otros de naturaleza similar. Asimismo, efectuar semestralmente auditorías o estudios especiales sobre fondos y actividades privadas, de acuerdo con los artículos 5 y 6 de la Ley Orgánica de la Contraloría General de la República, en el tanto estos se originen en transferencias efectuadas por componentes de su competencia institucional.

b) Verificar el cumplimiento, la validez y la suficiencia del sistema de control interno de su competencia institucional, informar de ello y proponer las medidas correctivas que sean pertinentes.

c) Verificar que la administración activa tome las medidas de control interno señaladas en esta Ley, en los casos de desconcentración de competencias, o bien la contratación de servicios de apoyo con terceros; asimismo, examinar regularmente la operación efectiva de los controles críticos, en esas unidades desconcentradas o en la prestación de tales servicios.

d) Asesorar, en materia de su competencia, al jerarca del cual depende; además, advertir a los órganos pasivos que fiscaliza sobre las posibles consecuencias de determinadas conductas o decisiones, cuando sean de su conocimiento.

(….)”.

Para ese efecto, se le atribuyen facultades, entre ellas el acceso a la información.

2.- Un libre acceso a la información relativa a la organización

La Ley N° 8292 atribuye a la Auditoría Interna una amplia competencia respecto de la organización en que se desempeña, para lo cual puede realizar diversas actividades fiscalizadoras, debiendo entenderse, además, que con el objeto de controlar el empleo de los fondos públicos y evaluar la gestión administrativa, puede revisar los distintos documentos de la Administración. Dispone el artículo 33 de dicha Ley:

"Artículo 33.—Potestades. El auditor interno, el subauditor interno y los demás funcionarios de la Auditoría interna tendrán, las siguientes potestades:

Libre acceso, en cualquier momento, a todos los libros, los archivos, los valores, las cuentas bancarias y los documentos de los entes y órganos de su competencia institucional, así como de los sujetos privados, únicamente en cuanto administren o custodien fondos o bienes públicos de los entes y órganos de su competencia institucional; también tendrán libre acceso a otras fuentes de información relacionadas con su actividad. El auditor interno podrá acceder, para sus fines, en cualquier momento, a las transacciones electrónicas que consten en los archivos y sistemas electrónicos de las transacciones que realicen los entes con los bancos u otras instituciones, para lo cual la administración deberá facilitarle los recursos que se requieran.

Solicitar, a cualquier funcionario y sujeto privado que administre o custodie fondos públicos de los entes y órganos de su competencia institucional, en la forma, las condiciones y el plazo razonables, los informes, datos y documentos para el cabal cumplimiento de su competencia. En el caso de sujetos privados, la solicitud será en lo que respecta a la administración o custodia de fondos públicos de los entes y órganos de su competencia institucional.

Solicitar, a funcionarios de cualquier nivel jerárquico, la colaboración, el asesoramiento y las facilidades que demande el ejercicio de la Auditoría interna.

Cualesquiera otras potestades necesarias para el cumplimiento de su competencia, de acuerdo con el ordenamiento jurídico y técnico aplicable".

Uno de los aspectos fundamentales que se plantea en orden al cumplimiento de la función de la auditoría es, precisamente, el del acceso a la información relacionada con la organización y sus competencias. Sin acceso a la información se impide a la auditoría formarse un criterio objetivo e imparcial sobre las actividades del organismo. Consecuentemente, se afecta su independencia de criterio y la objetividad e imparcialidad. Es por ello que entre las garantías que los distintos ordenamientos establecen en orden a la función de auditoría está precisamente el deber de la Administración activa de suministrar esa información. Un deber que se impone a los distintos niveles jerárquicos y que obliga particularmente al jerarca de la organización a establecer mecanismos que resguarden el principio de acceso a la información.

Es de advertir que el libre acceso es amplio. No sólo puede el auditor solicitar información y documentos, sino que puede acceder a los distintos archivos, así como a las cuentas del organismo.

Sobre el artículo 33 ha expresado la Contraloría General de la República en oficio N° 14977 (DI-CR-769) de 30 de noviembre de 2004:

“De acuerdo con lo dispuesto en el artículo 33 citado, se pueden extraer las siguientes consideraciones:

a) Los funcionarios de las auditorías internas del Sector Público Costarricense, en el ejercicio de sus funciones, tienen libre acceso en cualquier momento a toda clase de información y documentos de los entes u órganos de su competencia institucional.

b) B) En lo que respecta propiamente al acceso a las cuentas bancarias, el inciso a) del artículo 33 citado es claro en otorgar la competencia a las auditorías internas para tener libre acceso y en cualquier momento a las cuentas bancarias de los entes y órganos de su competencia institucional, así como de las cuentas bancarias de los sujetos privados en las que administren o custodien fondos o bienes públicos de los entes y órganos de su competencia institucional.

c) Además, tienen libertad para hacer las solicitudes de información y colaboración que demande el ejercicio de la auditoría interna, directamente a cualquier funcionario de cualquier nivel jerárquico.

d) La competencia institucional de la auditoría interna constituye el ámbito de aplicación de las competencias y potestades de la auditoría interna, que abarca toda la organización del ente u órgano al que pertenece. También dicho ámbito de conformidad con lo dispuesto en el ordenamiento, se extiende a los entes u órganos públicos y sujetos privados, a los que la institución les traslade fondos públicos.

e) En lo que respecta al acceso a la documentación de los sujetos privados, este se circunscribe a los fondos o bienes públicos que estos sujetos hayan recibido de la Institución a la que pertenece la Auditoría Interna.

f) Se faculta a las auditorías internas para solicitar información en la forma, las condiciones y el plazo razonable, de acuerdo con la naturaleza y particularidades de la información que se requiera. Tales características deben valorarse atendiendo criterios de lógica y conveniencia, a la luz del cumplimiento de objetivos tanto de la auditoría interna como de la instancia ante quien se plantea la solicitud, y en caso de documentación de uso frecuente por distintos usuarios u otras características que impidan su disposición inmediata por la auditoría interna, se deben coordinar y aplicar las medidas que se consideren pertinentes.

g) En los casos de información confidencial deben tomarse las medidas necesarias para que esa información se mantenga bajo estrictas medidas que garanticen su confidencialidad”. El subrayado es del original.

El oficio del Organo Contralor está referido al acceso de la auditoría a las transacciones realizadas en cuentas corrientes de los órganos públicos sujetos a su fiscalización. En nuestro ordenamiento el secreto bancario está consagrado en relación con las cuentas corrientes (artículo 615 del Código de Comercio), sin que legalmente se extienda a otro tipo de operaciones. Por consiguiente, no puede sostenerse que cubra toda la actividad bancaria. Sostiene la Contraloría, en criterio que no puede sino compartir este Organo Consultivo, que el derecho a la intimidad y el secreto bancario no resultan aplicables a las cuentas corrientes abiertas por los órganos públicos. Por consiguiente, que el secreto de las cuentas corrientes de los entes públicos no es oponible a las auditorías. Lo cual va de suyo en tratándose de una cuenta en la que se registran operaciones relacionadas con la Hacienda Pública.

El punto es si dicho criterio es aplicable al acceso a los archivos que registran la lista de las operaciones inusuales y sospechosas en una entidad bancaria.

B.- UN ACCESO MARCADO POR EL DEBER DE CONFIDENCIALIDAD

La Auditoría consultante ha solicitado el acceso a los archivos que registran la lista de las operaciones inusuales y sospechosas que han sido reportadas a la Gerencia de Cumplimiento del Banco de Costa Rica. Organo que ha denegado el acceso, fundándose en lo dispuesto en el artículo 18 de la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de capitales y actividades conexas. Por su parte, el Instituto Costarricense sobre Drogas ha considerado que ese acceso no es posible con base en los artículos 25, 30 y 31 del Reglamento General a la Ley N° 8204. Agrega el Instituto que la distinta normativa tendiente a aplicar la Ley N° 8204 reitera la exigencia del manejo confidencial de las transacciones sospechosas, por lo que considera que el único órgano de apoyo y vigilancia al interno de la institución al cual se debe comunicar las operaciones sospechosas es al Comité de Cumplimiento. En su criterio, la Auditoría sólo puede conocer de la información al participar en las sesiones del citado Comité sin que pueda obtener información de la oficialía de cumplimiento.

Es decir, el criterio es que existe información relacionada con el accionar del ente público financiero que no puede ser suministrada a la Auditoría Interna. Criterio que restringe el ejercicio de las competencias de ese órgano e impide el cumplimiento efectivo de los objetivos plasmados en la Ley de Control Interno. Por demás, se trata de una interpretación que no tiene sustento en la legislación dirigida a prevenir el lavado de capitales y que, además, desconoce el deber de confidencialidad que pesa sobre la auditoría interna.

1.- La Auditoría Interna controla los procedimientos de la oficialía de cumplimiento

La Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de Capitales y Actividades Conexas, Ley N° 8204 del 11 de enero del 2002, se dirige a regular las actividades financieras con el fin de evitar la legitimación de capitales provenientes de delitos graves y de todos los procedimientos que puedan servir como medios para legitimar dichos capitales. Actividad de prevención y represión en la cual debe colaborar “toda persona” dentro del país (artículo 4 de la Ley). Dentro de ese objetivo se regulan las entidades financieras, así como los órganos encargados de la regulación y fiscalización de esas entidades, artículo 14, y las actividades realizadas por los particulares en las entidades financieras. Se impone a las entidades financieras en relación con sus clientes un deber de identificación de los titulares de cuentas o de quienes realizan transacciones financieras. Dispone el artículo 16:

“Con el objeto de prevenir las operaciones de ocultación y movilización de capitales de procedencia dudosa y otras transacciones encaminadas a legitimar capitales provenientes de delitos graves, las instituciones sometidas a lo regulado en este capítulo deberán sujetarse a las siguientes disposiciones:

a) Obtener y conservar información acerca de la verdadera identidad de las personas en cuyo beneficio se abra una cuenta o se efectúe una transacción, cuando existan dudas acerca de que tales clientes puedan no estar actuando en su propio beneficio, especialmente en el caso de personas jurídicas que no desarrollen operaciones comerciales, financieras ni industriales en el país en el cual tengan su sede o domicilio.

b) Mantener cuentas nominativas; no podrán mantener cuentas anónimas, cuentas cifradas ni cuentas bajo nombres ficticios o inexactos.

c) Registrar y verificar, por medios fehacientes, la identidad, la representación, el domicilio, la capacidad legal, la ocupación o el objeto social de las personas, así como otros datos de su identidad, ya sean clientes ocasionales o habituales. Esta verificación se realizará por medio de documentos de identidad, pasaportes, partidas de nacimiento, licencias de conducir, contratos sociales y estatutos, o mediante cualesquiera otros documentos oficiales o privados; se efectuará especialmente cuando establezcan relaciones comerciales, en particular la apertura de nuevas cuentas, el otorgamiento de libretas de depósito, la existencia de transacciones fiduciarias, el arriendo de cajas de seguridad o la ejecución de transacciones en efectivo superiores a la suma de diez mil dólares estadounidenses (US $10.000,00) o su equivalente en otras monedas extranjeras.

d) Mantener, durante la vigencia de una operación y al menos por cinco años a partir de la fecha en que finalice la transacción, registros de la información y documentación requeridas en este artículo.

e) Conservar, por un plazo mínimo de cinco años, los registros de la identidad de sus clientes, los archivos de cuentas, la correspondencia comercial y las operaciones financieras que permitan reconstruir o concluir la transacción”

Es decir, se autoriza un registro de datos personales, sea de datos que corresponden a una persona identificada o identificable, como son su nombre, número de identificación, domicilio, ocupación. Datos personales que están cubiertos por el derecho fundamental a la autodeterminación informativa. Sobre este derecho nos referimos en el dictamen N° C-037-2002 de 8 de febrero de 2002. En dicha ocasión, señalamos que dicho derecho fundamental es el derecho de las personas a saber quién tiene información sobre ellas, qué clase de información tienen y con qué motivo la misma ha sido recabada. Un derecho que permite a la persona ejercer control sobre la información personal que le concierne, contenida tanto en registros públicos como privados. De ese hecho, la recolección y tratamiento de datos personales debe responder a un fin legal o bien, ser consecuencia del consentimiento del derecho habiente. Este tiene el derecho de controlar el respeto de los terceros (incluido el titular del registro) al fin legal que justifica el registro de sus datos personales.

La Sala Constitucional se ha referido en diversas resoluciones a los principios que integran la protección de los datos personales. Se trata de los principios de:

· Transparencia: Los habitantes deben tener la posibilidad de conocer los datos personales que consten en los archivos, así como el tratamiento que recibirán esos datos, a fin de determinar si las referidas informaciones personales serán compartidas con otras instituciones.

· Especificación de los fines del banco de datos, así como de los contenidos, usuarios y plazos de caducidad de los datos.

· La recolección de los datos debe limitarse a los necesarios para el cumplimiento del fin.

· La utilización de los datos debe limitarse a la finalidad para la que fueron recogidos.

· La información debe ser eliminada cuando desaparezca el fin para el cual se recabó. Caso contrario, deberá especificarse el fin por el cual se conserva.

· Se debe crear una obligación jurídica sobre el tratamiento confidencial de la información.

· Debe existir el derecho de acceso, rectificación y bloqueo de la información. Este último procede mientras se determina la exactitud o la caducidad de la información.

· Exactitud e integridad de la información.

Es decir, el derecho de autodeterminación informativa está regido por diversos principios, entre los cuales sobresalen el de la pertinencia y la especialidad del fin. En el caso de la información que se pide por las entidades financieras, el fin que está marcado por el objeto de la ley, sea la prevención de actividades legitimadoras de capitales indebidos, respecto de lo cual se imponen una serie de obligaciones a la entidad financiera.

Los datos protegidos por el derecho a la autodeterminación informativa gozan del carácter de confidencialidad. Esto significa que sólo pueden ser dados a conocer a terceros con el consentimiento del derecho habiente, o bien para satisfacer un interés público definido por el legislador. El legislador puede, entonces, autorizar la cesión de los datos aún contra el consentimiento del derecho habiente. Se afirma que esa transferencia de datos no ha sido autorizada en relación con la auditoría interna, por lo que la oficialía de cumplimiento no puede suministrarle los datos que ésta solicita.

En primer término, cabe señalar que la Ley establece obligaciones para las “instituciones financieras”, no en relación con un órgano concreto de esas instituciones. El registro de los datos personales es un registro realizado por la entidad financiera. La auditoría interna es un órgano con una competencia específica dentro de la organización interna de la entidad financiera pública. No puede ser considerado un tercero en relación con la institución financiera, máxime si se considera que la auditoría está obligada a velar que la entidad cumpla los fines que justifican su existencia, con respeto a los principios de legalidad, eficiencia y eficacia. La confidencialidad al interno de la entidad financiera sólo podría imponerse en relación con órganos que no cumplen función alguna con la política de prevención de la legitimación de capitales, su ejecución y control. Situación en que no se encuentra la auditoría interna.

Luego, el deber de suministrar información, con las limitaciones que esto conlleva, está referido al externo de la entidad financiera. Es la institución financiera, no un órgano concreto de ésta, a quien se aplican los artículos 17 y 18 de la Ley, en cuanto disponen:

“Artículo 17.—Las instituciones financieras deberán cumplir, de inmediato, las solicitudes de información que les dirijan los jueces de la República, relativas a la información y documentación necesarias para las investigaciones y los procesos concernientes a los delitos tipificados en esta Ley.

Artículo 18.—Las instituciones financieras no podrán poner en conocimiento de ninguna persona, salvo si se trata de otro tribunal o de los órganos señalados en el artículo 14 de esta Ley, el hecho de que una información haya sido solicitada o entregada a otro tribunal o autoridad dotado de potestades de fiscalización y supervisión”.

Es de advertir que el artículo 18 no establece un deber de confidencialidad en relación con los registros que lleva la entidad financiera. Por el contrario, a efecto de garantizar las investigaciones que se realizan en orden a investigaciones sospechosas, se le impone a la institución financiera el deber de no divulgar que se le ha solicitado información o bien que ella ha entregado información. La entidad financiera tiene el deber de suministrar información a las autoridades competentes para investigar operaciones financieras sospechosas. Cuando suministre esa información no puede divulgarlo porque afectaría las investigaciones, salvo si se trata de otro tribunal o de los órganos reguladores del sistema financiero.

De acuerdo con lo que se consulta, la auditoría interna no ha pedido información sobre los datos que han sido solicitados o entregados a un tribunal o autoridad competente para efectos de investigación de operaciones sospechosas. De lo que se sigue que no se está ante los supuestos establecidos en el artículo 18 de mérito.

Lo anterior no significa que la entidad financiera pueda suministrar información a cualquier persona sobre los archivos de operaciones inusuales o sospechosas. Como ya se indicó, dichos registros contienen datos personales cubiertos por el Derecho de autodeterminación informativa. Por consiguiente, el suministro de esos datos debe responder a un fin legal.

Podría cuestionarse si lo anterior abarca la información relacionada con transacciones financieras según lo dispuesto en el artículo 20 de la Ley. La información sobre transacciones financieras no está cubierta por el secreto bancario definido en el artículo 615 del Código de Comercio. En el caso que nos ocupa, el legislador ha considerado que esa información excede el puro interés privado cuando se refiere a las transacciones financieras iguales o superiores a los diez mil dólares estadounidenses. Empero, el registro correspondiente debe conllevar a una identificación del autor de la transacción, por lo cual se solicitan datos personales, como la identidad, fecha de nacimiento y dirección de la persona que realiza la transacción, la identidad y dirección de la persona a cuyo nombre se realiza la transacción y de aquélla del beneficiario de la transacción (artículo 21 de la Ley). El registro de la transacción está a la disposición “inmediata” del organismo supervisor que corresponda. Además, se obliga a las entidades financieras a prestar atención a las “transacciones sospechosas” (artículo 24) y si se considera que constituyen actividades ilícitas o relacionadas con ellas, se obliga a la entidad a comunicarlo al órgano de supervisión y fiscalización correspondiente (artículo 25).

La entidad financiera recaba información sobre operaciones de sujetos privados y registra y da tratamiento a datos personales. Como estos datos están cubiertos por el derecho de autodeterminación informativa, podría plantearse si el conocimiento de esos datos por la auditoría interna no violenta el principio de pertinencia y, consecuentemente, si se trata de una comunicación que no respeta los fines dispuestos en la Ley N° 8204.

Al respecto, debe tomarse en cuenta que, conforme a la Ley N° 8204, las obligaciones de las entidades financieras no concluyen con el registro de las transacciones o la comunicación de las transacciones sospechosas. Por el contrario, se les exige una actividad permanente dirigida a prevenir y detectar los delitos tipificados por la Ley N° 8204. Dispone el artículo 26 de dicha Ley:

“Bajo las regulaciones y la supervisión citadas en este título, las instituciones sometidas a lo dispuesto en él deberán adoptar, desarrollar y ejecutar programas, normas, procedimientos y controles internos para prevenir y detectar los delitos tipificados en esta Ley. Tales programas incluirán, como mínimo:

a) El establecimiento de procedimientos para asegurar un alto nivel de integridad personal del propietario, directivo, administrador o empleado de las entidades financieras, y un sistema para evaluar los antecedentes personales, laborales y patrimoniales del programa.

b) Programas permanentes de capacitación del personal y de instrucción en cuanto a las responsabilidades fijadas en esta Ley”.

La entidad está obligada a adoptar programas, procedimientos, normas dirigidas a prevenir que la entidad participe o sea utilizada en la comisión de los delitos relacionados con el lavado de dinero. Pero, también tiene que adoptar controles internos en la materia. El control es parte de la prevención de la legitimación de capitales utilizando la entidad financiera. Ergo, está cubierto por el fin por el cual se solicitan datos personales. El suministro de la información personal a los órganos de control interno no violenta el principio de autodeterminación informativa, por cuanto responde al fin por el cual se crea el registro de datos, sea la prevención del lavado de capitales.

Por otra parte, cabe recordar que la no adopción o no ejecución de esos programas, normas, procedimientos y controles internos constituye una infracción administrativa, sancionable con una multa del cero coma uno por ciento (0,1%) del patrimonio de la entidad (artículo 81, inciso b). Los programas de capacitación del personal y los programas de carácter ético están dirigidos a todo el personal. No se restringen a los funcionarios de la oficialía de cumplimiento. Del artículo 27 de la Ley queda claro, por demás, que esta oficialía no es una isla dentro de la institución: no sólo depende de la administración superior de la entidad, sino que el desempeño de su labor está sujeto a control interno.

Control interno no sólo a cargo de las autoridades administrativas, sino también de la auditoría interna como parte de la entidad financiera. El control por la auditoría es desarrollado por el Reglamento Ejecutivo a la Ley. Dispone el artículo 43 del Decreto Ejecutivo N° 31684 de 8 de marzo de 2004, Reglamento General a la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de uso no autorizado, Legitimación de capitales y actividades conexas:

“Artículo 43.—Sistema de auditoría. Con el fin de apoyar al Oficial de Cumplimiento, la auditoría interna de cada institución supervisada deberá contar con programas permanentes de auditoría tendientes a verificar la efectividad y el cumplimiento de las políticas, procedimientos y controles para la prevención y detección de la legitimación de capitales. En caso de que no disponga de auditoría interna deberá designar al menos a un funcionario para que realice esta labor.

Dentro de las cláusulas de los contratos con los auditores externos, en el que se establezca el alcance de su labor, deberá incluirse obligatoriamente una evaluación del cumplimiento de lo dispuesto en la Ley N° 8204, este Reglamento y la normativa que al respecto establezca el CONASSIF.

Este sistema de auditoría formará parte integral del Manual de Cumplimiento”.

Conforme lo cual la auditoría interna tendría que tener en su programa de trabajo el auditoraje permanente de la Oficialía de Cumplimiento. Función de auditoría que la auditoría interna realizará conforme los principios y normas que rigen su función, no conforme lo disponga la Oficialía de Cumplimiento.

Precisamente, porque el auditor interno ejerce sus competencias en relación con las actividades de la entidad financiera relacionadas con lo dispuesto en la Ley N° 8204, el artículo 30 del Reglamento a la Ley lo obliga a guardar la confidencialidad de la información. Dispone dicho artículo:

“Confidencialidad de registros. Las instituciones supervisadas, sus funcionarios y empleados, las Superintendencias, sus funcionarios y empleados, así como los auditores internos y externos de las instituciones supervisadas, tienen prohibido poner en conocimiento de persona alguna, el hecho de que una información haya sido solicitada por la autoridad competente o proporcionada a la misma. Deberán mantener la más estricta reserva respecto a los reportes a que se refiere la presente normativa, absteniéndose de dar cualquier información o noticia al respecto, salvo a las autoridades competentes expresamente previstas”. La cursiva no es del original.

En el contexto del Reglamento, el auditor interno mantiene confidencialidad porque tiene acceso a la información de que se trate y porque según otras normas le corresponde evaluar la gestión que en la materia de prevención de la legitimación de capitales emprende la respectiva entidad financiera. En dicho contexto, el auditor sólo podría suministrar la información a la que ha tenido acceso si se trata de las “autoridades competentes previstas”. La correcta lectura de ese artículo nos revela por qué el artículo 31 del Reglamento no incluye en las “autoridades competentes” al auditor. Simplemente, por el acceso a la información de la entidad financiera, necesaria para el cumplimiento de su función, el auditor es uno de los órganos de la entidad financiera que puede resultar obligado a suministrar información a las autoridades competentes según lo dispuesto en el artículo 30.

En cumplimiento del programa permanente de verificación del cumplimiento de las políticas, los procedimientos y controles internos en orden a la prevención y detección del lavado de capitales, la auditoría debe tener acceso a los archivos y documentación relacionada con esos temas. La negativa de suministro de información impide a la auditoría ejercer su competencia y particularmente, evaluar la gestión administrativa en la materia así como la efectividad de los controles establecidos.

Puesto que el auditor está facultado para acceder a la información de la entidad financiera sobre operaciones sospechosas y su tratamiento, se sigue que su conocimiento no configura el delito previsto en el artículo 81, inciso a, 5 de la Ley N° 8204. Simplemente, conforme esta Ley y la Ley de Control Interno el auditor interno es un funcionario autorizado para acceder la información.

2.- El principio de confidencialidad impide divulgar dicha información a terceros

Se considera que el suministro de la información a que tiene derecho el auditor puede afectar el principio de confidencialidad de la información, lo que deja de lado el deber de confidencialidad que enmarca toda labor de control. Dispone el artículo 6 de la Ley General de Control Interno, N° 8292 de 27 de agosto de 2002:

"Confidencialidad de los denunciantes y estudios que originan la apertura de procedimientos administrativos. La Contraloría General de la República, la administración y las auditorías internas, guardarán confidencialidad respecto de la identidad de los ciudadanos que presenten denuncias ante sus oficinas.

La información, documentación y otras evidencias de las investigaciones que efectúan las auditorías internas, la administración y la Contraloría General, cuyos resultados puedan originar la apertura de un procedimiento administrativo, serán confidenciales durante la formulación del informe respectivo. Una vez notificado el informe correspondiente y hasta la resolución final del procedimiento administrativo, la información contenida en el expediente será calificada como información confidencial, excepto para las partes involucradas, las cuales tendrán libre acceso a todos los documentos y las pruebas que obren en el expediente administrativo.

Para todos los casos, la Asamblea Legislativa, en el ejercicio de las facultades contenidas en el inciso 23) del artículo 121 de la Constitución Política, podrá acceder a los informes, la documentación y las pruebas que obren en poder de las auditorías internas, la administración o la Contraloría General de la República".

La confidencialidad conlleva una obligación para toda persona distinta de su titular de guardar la reserva necesaria sobre una información o documentación que le ha sido proporcionada. Por consiguiente, quien ha recibido la información está impedido de divulgarla o de darla a conocer por algún otro medio a otras personas, salvo que el ordenamiento lo autorice. Esa excepción implicaría, entonces, la existencia de un interés público superior que justifique dejar sin efecto la confidencialidad. Si ese interés público no existe, la información recabada sólo puede ser empleada para los fines por los cuales se entregó u obtuvo, sin posibilidad de emplearse para otros objetivos.

La garantía de confidencialidad que desarrolla el artículo 6 tiene dos finalidades esenciales: por una parte, asegurar la realización de la investigación, de manera que no sea obstruida por la divulgación de los datos que se reúnen o por personas interesadas en que determinadas evidencias no sean consideradas y por otra, preservar los derechos de los investigados y denunciantes. Derechos que podrían verse gravemente lesionados por la divulgación del hecho mismo de la investigación y de los datos que en la realización de ésta hayan sido aportados. Datos que podrían ser objeto de interpretaciones incorrectas o tendenciosas por terceros. Dentro de esos fines, el artículo 6 limita el derecho del particular al acceso a la información relacionada con las investigaciones que realiza la auditoría interna, la Contraloría y la propia Administración Activa. Lo que implica que no cualquier persona puede pretender el acceso a la denuncia presentada contra un funcionario, a las pruebas recabadas por el órgano de control o bien presentes en un expediente administrativo, o bien simplemente al estudio y análisis de la gestión financiera y administrativa del organismo público. Al sentar la garantía de confidencialidad, el artículo 6 impide estas comunicaciones. En ese sentido, la confidencialidad restringe el derecho de acceso a la información de interés público que conste en las oficinas públicas.

Simultáneamente, la confidencialidad del artículo 6 es un límite para la Contraloría, la auditoría interna y la administración activa. Ninguno de los órganos de control está autorizado para divulgar la información que haya obtenido en el ejercicio de sus funciones de fiscalización. En tratándose del auditor interno, el deber de confidencialidad resulta, además, de lo dispuesto en los artículos 32 y 34 de la Ley General de Control. El primero de dichos artículos impone a los funcionarios de la auditoría interna el deber de mantener la confidencialidad sobre la información a que tengan acceso, así como la prohibición de revelar a terceros que no tengan relación con los asuntos tratados en los informes, información sobre las auditorías o los estudios especiales de auditoría que se estén realizando, lo que abarca la "información sobre aquello que determine una posible responsabilidad civil, administrativa o eventualmente penal de los funcionarios de los entes y órganos sujetos a esta Ley". Dispone dicha norma en lo que aquí interesa:

“Artículo 32.—Deberes. El auditor interno, el subauditor interno y los demás funcionarios de la auditoría interna, tendrán las siguientes obligaciones:

(….).

e) No revelar a terceros que no tengan relación directa con los asuntos tratados en sus informes, información sobre las auditorías o los estudios especiales de auditoría que se estén realizando ni información sobre aquello que determine una posible responsabilidad civil, administrativa o eventualmente penal de los funcionarios de los entes y órganos sujetos a esta Ley.

f) Guardar la confidencialidad del caso sobre la información a la que tengan acceso.

(…)”.

El desconocimiento de ese deber de confidencialidad implicaría para el auditor interno un incumplimiento de sus deberes y un quebranto al régimen de prohibiciones que se impone al auditor, lo cual puede generar responsabilidad en los términos del artículo 34 de dicha Ley, que dispone en lo conducente:

Artículo 34.—Prohibiciones. El auditor interno, el subauditor interno y los demás funcionarios de la Auditoría interna, tendrán las siguientes prohibiciones:

(...).

Revelar información sobre las Auditorías o los estudios especiales de Auditoría que se estén realizando y sobre aquello que determine una posible responsabilidad civil, administrativa o eventualmente penal de los funcionarios de los entes y órganos sujetos a esta Ley".

Puesto que al auditor interno y a todo funcionario de auditoría interna se impone un deber de confidencialidad sobre las investigaciones y estudios que realiza la auditoría, se sigue que debe mantener la reserva correspondiente sobre la información que recabe o le sea suministrada en relación con los registros, políticas, procedimientos y operaciones que realice la institución financiera en que se desempeña y relacionados con los objetivos de la Ley N° 8204. Es por ello que aún cuando el artículo 30 del Reglamento antes citado no comprendiera al auditor interno, como en efecto lo comprende, este funcionario así como los demás funcionarios de la auditoría interna estarían obligados a mantener la confidencialidad de la referida información.

CONCLUSION:

Por lo antes expuesto, es criterio de la Procuraduría General de la República, que:

1.- La auditoría interna es un órgano de la entidad financiera pública. Como tal es parte de la organización de ésta y su objetivo último es velar que la organización cumpla los fines que justifican su existencia, con respeto a los principios de legalidad, eficiencia y eficacia.

2.- El cumplimiento de la función de auditoría interna y el respeto al principio de independencia funcional del auditor requieren del libre acceso a la información y documentación de la Administración que se audita.

3.- En ese sentido, la negativa de suministrar información relacionada con el accionar de un ente público financiero restringe el ejercicio de las competencias de la auditoría e impide el cumplimiento efectivo de los objetivos plasmados en la Ley General de Control Interno.

4.- En la medida en que la Ley sobre Estupefacientes, Sustancias Psicotrópicas, Drogas de Uso no Autorizado, Legitimación de capitales y actividades conexas prevé el establecimiento de controles internos en relación con las obligaciones que se imponen a la entidad financiera para la prevención de la legitimación de capitales, se sigue que la auditoría interna tiene un papel fundamental que cumplir para el logro de los objetivos de esa ley.

5.- Parte de esa función consiste en verificar y evaluar el cumplimiento de las políticas, procedimientos y controles internos emitidos por la entidad financiera conforme lo dispuesto en la Ley N° 8204. Todo con el objeto de mejorar la efectividad de la administración del riesgo y del control de la entidad sujeta a control. En ese sentido, importa la evaluación del riesgo en que puede incurrir la entidad financiera por insuficiencia de normas, procedimientos y controles dirigidos a prevenir y detectar operaciones de legitimación de capitales o bien, por problemas de ejecución. Riesgo que no solo afectaría los fines de la referida Ley N° 8204, sino también los fines de la Hacienda Pública.

6.- El debido cumplimiento de esos fines requiere que la auditoría interna tenga acceso a la información de los archivos relacionados con operaciones sospechosas o inusuales que lleve la entidad financiera y en general, sobre toda política, procedimiento y mecanismo de control que haya sido implantado dentro de la entidad para los efectos de la Ley N° 8204.

7.- Conforme el principio de confidencialidad que rige su accionar según lo dispuesto en la Ley General de Control Interno y el Reglamento a la Ley N° 8204, la auditoría interna sólo puede suministrar la información que recabe o solicite a las autoridades competentes, según definición de la Ley.

De Ud. muy atentamente,

Dra Magda Inés Rojas Chaves

Procuradora Asesora

MIRCH/mvc


INICIO \| PGR SINALEVI \| PODER JUDICIAL \| HACIENDA \| CORTE IDH \| DICCIONARIO JURÍDICO PJ \| AYUDA \| MAPA DEL SITIO