Por: Mónica Pedraza Rodríguez 

 

Abogada de la Universidad de los Andes, especialista en Derecho de los Negocios Internacionales de la misma universidad. Abogada Consultora en GAV Abogados S.A.S. desde octubre de 2015. 

HABEAS DATA EN LA PRÁCTICA DE UNA AUDITORÍA FORENSE

En el ámbito societario, desde un punto de vista amplio y conceptual, los objetivos de una auditoría forense son: (i) identificar y valorar los riesgos de incorrección material en los estados financieros debida a fraude; (ii) obtener evidencia de auditoría suficiente y adecuada con respecto a los riesgos valorados de incorrección material debida a fraude, mediante el diseño y la implementación de respuestas apropiadas; y (iii) responder adecuadamente al fraude o a los indicios de fraude identificados durante la realización de la auditoría(1).

Para los efectos anteriores, por “incorrección” se entiende, la Diferencia entre la cantidad, clasificación, presentación o información revelada respecto de una partida incluida en los estados financieros y la cantidad, clasificación, presentación o revelación de información requeridas respecto de dicha partida de conformidad con el marco de información financiera aplicable. Las incorrecciones pueden deberse a errores o fraudes, y el adjetivo “material”, hace referencia a la relativa significación o mérito que pueda tener una cosa o evento, bajo la premisa que los estados financieros deben reconocer y presentar los hechos económicos de acuerdo a su importancia relativa.

En este contexto, el fraude es un acto intencionado realizado por una o más personas de la dirección, los responsables del gobierno de la entidad, los empleados o terceros, que conlleve la utilización del engaño con el fin de conseguir una ventaja injusta o ilegal.

Bajo este entendimiento, el ejercicio de tal auditoría implica la participación de un equipo multidisciplinario que deberá tener acceso a información privilegiada de la sociedad y, en consecuencia, durante su práctica (y recolección de evidencia) será necesario examinar documentos sujetos a reserva y otras fuentes contentivas de datos. Ahora bien, dentro de un ente societario, por lo general, funciona también una red de personas naturales que comparten con la sociedad algunos datos, sensibles o no, de los que son titulares. En estos casos, teniendo presente el derecho fundamental al habeas data, resulta imprescindible trazar un límite infranqueable entre la información que hará parte del estudio forense y aquellos datos que, por no ser propiedad de la sociedad, no pueden ser tratados sin la debida autorización de su titular.

En líneas generales, el derecho al habeas data de las personas consiste en la protección de sus datos personales; que se traduce en el derecho a conocer, actualizar y rectificar la información que de ellos se recolecte en bases de datos o archivos. Una de las medidas adoptadas por la ley para reforzar dicha protección es el requerimiento de una autorización expresa y previa del titular de los datos para cualquier tratamiento que se haga sobre ellos. El tratamiento de los datos personales consiste en cualquier acción que se realice sobre aquellos; desde su recolección, almacenamiento, uso, hasta su destrucción. En consecuencia, si no se cuenta con la autorización del titular y los datos no son de naturaleza pública, los auditores forenses no podrían incluir estos datos (semiprivados, privados o sensibles) en sus análisis y/o en sus resultados.

Las auditorías que se realizan sobre los estados financieros de una sociedad, incluida la forense, se limitan, o deberían limitarse, a la información que sea propiedad de la sociedad, es decir, los libros y soportes contables, cuentas por cobrar, cuentas por pagar, los libros de accionistas o socios, entre otros. Ahora bien, si en desarrollo de los procedimientos previamente convenidos con el cliente el auditor debe entrar a evaluar datos específicos de los empleados, que implique analizar, confirmar o realizar exámenes sobre documentos o datos semiprivados, privados o sensibles de los trabajadores; deberá contarse con la autorización previa y expresa del titular.

Ahora bien, como medida preventiva, para evitar que existan indebidos acercamientos a datos personales por parte de los auditores, es viable solicitar que en las propuestas de servicios se delimite específicamente el espectro sobre el cual se va a practicar la auditoría, detallando la información que va a hacer parte de la misma; para proceder conforme, solicitando las autorizaciones que sean del caso o delimitando estrictamente el procedimiento de recolección de evidencias. De este modo, se evitan posibles contingencias con relación al tratamiento de los datos personales de las personas naturales miembros de la sociedad.


(1) Toda la información que se muestra entre cursivas a lo largo del texto ha sido extraída directamente de la NIA 240, la NIA 450 y/o de la ley 43 de 1990.

--

NOTA: Este artículo está destinado a proveer información general e ilustrativa con relación a las materias en ella comprendida. Ni constituye ni puede ser interpretado como una asesoría legal particular. No recomendamos actuar o tomar decisiones con base en su solo contenido, sin consultar previamente a un especialista.