A pesar de las suposiciones en contrario, la selección de las listas de sanciones no es obligatoria, excepto para las entidades reguladas, como las instituciones financieras. Sin embargo, cualquier relación comercial con un tercero sancionado está prohibida y las empresas se arriesgan a recibir multas en caso de incumplimiento.
Antilavadodedinero / FCPA
Como la mayoría de las corporaciones multinacionales tienen cientos de miles de deudores y acreedores almacenados en sus datos maestros, tienen que comprar software de selección de listas de sanciones y ejecutarlo mensual, semanal o diariamente en su sistema de planificación de recursos empresariales (ERP).
Un desafío es determinar qué listas de sanciones son relevantes para la empresa, teniendo en cuenta que varias listas de sanciones tienen efecto extraterritorial, como la lista consolidada de sanciones financieras del Reino Unido o la lista de la OFAC de EE. UU. Esto significa que, en la práctica, cualquier entidad que negocie en dólares estadounidenses cae dentro del alcance de la OFAC.
Para agregar complejidad, algunas sanciones están más abiertamente motivadas políticamente que otras (como las sanciones resultantes de la Guerra Comercial entre Estados Unidos y China) o no están alineadas internacionalmente. Por ejemplo, en 2018, Estados Unidos decidió retirarse del Plan de Acción Integral Conjunto (más conocido como el acuerdo nuclear de Irán) y anunció la reimposición de sanciones a Irán. En respuesta, la UE actualizó su estatuto de bloqueo de 1996, que protege a los operadores de la UE de la aplicación extraterritorial de leyes de terceros países. En la práctica, esto significa que algunas empresas de la UE pueden mantener relaciones comerciales y económicas legítimas con Irán a pesar del efecto extraterritorial de las sanciones de la OFAC.
Las dificultades técnicas también constituyen un desafío a pesar de los avances en el software de detección. Por ejemplo, no todo el software de detección identifica estructuras de propiedad de primer, segundo o incluso tercer nivel. Sin embargo, rastrear al beneficiario final final puede ser un requisito legal, especialmente en el sector financiero. En particular, el software de detección no siempre es capaz de identificar una entidad que no cotiza en bolsa, que una empresa sancionada posee hasta cierto punto.
Otro desafío es la gran cantidad de falsos positivos generados por los algoritmos de búsqueda, que comúnmente identifican un «acierto» como un registro con al menos un 80 por ciento de similitud en términos de nombres y direcciones de entidades. Incluso en el caso de errores menores de configuración, las empresas podrían enfrentar multas de pago si el software de detección aplicado no puede identificar las entidades sancionadas debido a caracteres especiales que no se utilizan en el alfabeto inglés. Por ejemplo, Apple cometió involuntariamente 47 infracciones de sanciones en 2019, ya que su herramienta de detección no coincidió con diferentes caracteres en mayúsculas y minúsculas.
En lo que respecta a la privacidad al examinar a los empleados, los enfoques de los EE. UU. Y la UE son nuevamente diferentes. Según los artículos 6 y 9 del RGPD de la Unión Europea, el análisis de datos personales en las listas de sanciones de la UE dentro de la UE puede basarse en una obligación legal y es legítimo por razones de interés público sustancial. Por el contrario, no existe una ley de privacidad federal de EE. UU. O un puerto seguro de aplicación general. Por lo tanto, no existe ninguna ley federal que aclare la legitimidad potencial de filtrar los datos confidenciales de los empleados en los EE. UU. Contra las listas de sanciones de EE.
Sin embargo, al comparar las multas pagadas por las empresas por las violaciones de las listas de sanciones contra las violaciones de la privacidad de los datos, parece que ser multado por una violación de la privacidad de los datos sería mucho menos perjudicial para el presupuesto de la empresa.
La mayor multa pagada por delitos de privacidad de datos en los Estados Unidos fue de Equifax $ 575 millones de la liquidación . En la UE, Google pagó 50 millones de euros (59 millones de dólares) para resolver los delitos relacionados con el RGPD.
En comparación, BNP Paribas, con sede en París, pagó 9.000 millones de dólares en 2015, Société Générale, con sede en París, pagó 1.300 millones de dólares en 2018 y el banco francés Crédit Agricole pagó 787 millones de dólares en 2015 para resolver las infracciones de las sanciones estadounidenses.
A pesar del gasto, el tiempo y los desafíos técnicos, sin mencionar las sanciones financieras, es mucho mejor tener diez mil falsos positivos para revisar que permitir que se pierda un golpe real.
Por lo tanto, aquí están los próximos diez mil falsos positivos y el esfuerzo continuo que requieren los profesionales de cumplimiento para mantener sus organizaciones protegidas.