¿Cuánto tiempo debo conservar los documentos de compliance?

Al menos cinco años después de terminada la relación comercial con el cliente, según lo establece la Ley 19.574 y el Decreto 379/018.

¿Puedo conservar los documentos en formato digital?

Sí, la normativa acepta documentos digitales siempre que mantengan su integridad, sean accesibles para inspección y se pueda verificar su autenticidad.

¿Qué documentos pide la SENACLAFT en una inspección?

Legajo completo del cliente, formularios de debida diligencia, matrices de riesgo, registros de monitoreo de operaciones, actas de directorio sobre compliance y cualquier ROS presentado.

¿Qué pasa si no tengo los documentos durante una inspección?

Se considera incumplimiento y puede resultar en multas, incluso si el proceso de compliance subyacente era correcto. Sin documentación que lo respalde, es como si no hubieras hecho nada.

Registro y conservación de documentos: qué guardar y por cuánto tiempo

Podés tener el mejor proceso de debida diligencia del mercado, un monitoreo impecable y un Oficial de Cumplimiento dedicado. Pero si el día que la SENACLAFT te inspecciona no podés mostrar la documentación que respalde todo eso, es como si no hubieras hecho nada.

La conservación de documentos es la parte menos glamorosa del compliance, pero probablemente la más importante desde el punto de vista regulatorio. Es lo que convierte un proceso interno en evidencia verificable. Y en una inspección, la evidencia es lo único que cuenta.

¿Por qué la documentación es tan importante?

La Ley 19.574 y el Decreto 379/018 no solo exigen que los sujetos obligados implementen medidas de prevención de lavado de activos: exigen que puedan demostrar que las implementaron. Hay una diferencia enorme entre hacer compliance y poder probar que hacés compliance.

Cuando un inspector de la SENACLAFT o del BCU llega a tu empresa, no va a preguntarte si verificaste a tus clientes. Va a pedirte que le muestres los documentos que prueban que lo hiciste. Si no los tenés, la conclusión regulatoria es simple: no cumpliste.

Además, la documentación tiene un valor operativo que va más allá de las inspecciones. Un registro ordenado te permite reconstruir la historia de cualquier cliente, entender por qué se tomaron ciertas decisiones, y responder rápidamente a requerimientos judiciales o de organismos internacionales.

¿Qué documentos debés conservar?

La normativa es amplia en cuanto a lo que debés registrar. En la práctica, podemos agrupar la documentación en cinco categorías.

Documentación de identificación del cliente

Todo lo que recopilaste en el proceso de onboarding: copia del documento de identidad (cédula o pasaporte), comprobante de domicilio, constancia de RUT para personas jurídicas, escritura de constitución societaria, certificado de vigencia de la DGR, poderes de representantes legales, y la declaración jurada del beneficiario final.

Para personas jurídicas, la cadena de titularidad que te permitió identificar al beneficiario final debe quedar documentada de forma completa. Si la estructura tiene varias capas societarias, cada nivel debe estar respaldado.

Documentación de verificación

No alcanza con guardar los datos del cliente: debés conservar la evidencia de que los verificaste. Esto incluye los resultados de las consultas contra listas de sanciones (OFAC, ONU, Unión Europea), los resultados de verificación de PEPs, los reportes de adverse media, y cualquier otra fuente que hayas consultado para validar la información del cliente.

Cada consulta debe tener fecha, fuente y resultado. Si usás una plataforma automatizada, los logs de cada verificación son tu respaldo. Si lo hacés manualmente, debés registrar la fecha y hora de la consulta, qué lista o fuente consultaste, y el resultado obtenido.

Registros de operaciones

Todo sujeto obligado debe mantener un registro completo de las operaciones realizadas con cada cliente. Esto incluye el tipo de operación, monto, fecha, partes involucradas, y cualquier dato relevante para reconstruir la transacción.

La normativa es especialmente exigente con las operaciones que superan determinados umbrales y con las operaciones en efectivo. Pero incluso las operaciones de montos menores deben quedar registradas si son necesarias para entender el perfil transaccional del cliente.

Documentación de análisis y decisiones

Toda decisión de compliance debe quedar documentada con su justificación. Esto incluye el análisis de riesgo de cada cliente (la clasificación asignada y los criterios utilizados), las decisiones de aceptar o rechazar clientes, las decisiones de escalar al nivel de debida diligencia reforzada, los análisis de operaciones inusuales que se evaluaron pero no se consideraron sospechosas, y los reportes de operaciones sospechosas (ROS) presentados.

Este último punto merece atención especial: si detectaste una operación inusual, la analizaste y concluiste que no era sospechosa, documentá por qué. Si después alguien cuestiona esa decisión, tu análisis documentado es tu defensa.

Políticas y procedimientos internos

Debés conservar las versiones vigentes y anteriores de tu manual de prevención de LA/FT, la matriz de riesgo, los procedimientos internos de debida diligencia, los registros de capacitación del personal, y las actas de reuniones del Comité de Prevención (si aplica).

Las versiones anteriores son importantes porque permiten demostrar la evolución de tu programa. Si un inspector evalúa una decisión que tomaste hace tres años, necesitás mostrar las políticas que estaban vigentes en ese momento, no las actuales.

¿Por cuánto tiempo conservar?

Acá la normativa es clara: la documentación debe conservarse por un plazo mínimo de diez años contados desde la finalización de la relación comercial con el cliente o desde la fecha de la operación, lo que sea posterior.

Diez años es el piso, no el techo. En la práctica, si tenés espacio de almacenamiento (especialmente en formato digital), no hay razón para destruir documentación que podría ser relevante.

Hay algunas precisiones importantes sobre este plazo. Para la documentación del cliente, el plazo empieza a correr desde que termina la relación comercial, no desde que se recopiló el documento. Si un cliente estuvo activo durante quince años, la documentación de su onboarding original debe conservarse hasta diez años después de que dejó de ser tu cliente.

Para los registros de operaciones, el plazo corre desde la fecha de la operación. Si una operación se realizó en 2020 y el cliente sigue activo, debés conservar ese registro al menos hasta 2030.

Para los ROS, dado que las investigaciones pueden extenderse por períodos largos, es prudente conservarlos indefinidamente o al menos por un plazo significativamente mayor al mínimo legal.

Formato: ¿papel o digital?

La normativa uruguaya acepta tanto formato físico como digital, siempre que se garantice la integridad, autenticidad y disponibilidad de los documentos.

En la práctica, el formato digital tiene ventajas claras. Permite búsquedas rápidas por nombre, fecha o tipo de documento. Facilita el acceso remoto (relevante si tenés un equipo distribuido o si la inspección no es presencial). Reduce el riesgo de pérdida o deterioro. Y permite mantener copias de respaldo.

Si conservás documentos en papel, debés asegurar condiciones adecuadas de almacenamiento (protección contra humedad, fuego, y acceso no autorizado) y un sistema de indexación que permita localizar cualquier documento de forma oportuna. Un inspector no va a esperar días mientras buscás un archivo en cajas.

Si digitalizás documentos originalmente en papel, el proceso de digitalización debe garantizar que la copia digital es fiel al original. Es recomendable que el proceso quede documentado (fecha de digitalización, responsable, método utilizado).

Cómo organizar la documentación

La organización no es un requisito legal explícito, pero es lo que marca la diferencia entre una inspección tranquila y una pesadilla. Hay tres principios que te van a ayudar.

Expediente por cliente

Cada cliente debe tener un expediente integral que contenga toda su documentación: identificación, verificación, análisis de riesgo, operaciones, y cualquier incidente o análisis especial. El expediente debe contar una historia coherente desde el onboarding hasta el estado actual.

Trazabilidad temporal

Dentro de cada expediente, la documentación debe estar ordenada cronológicamente o permitir reconstruir la línea de tiempo. Si un inspector quiere ver cómo evolucionó el riesgo de un cliente a lo largo del tiempo, debés poder mostrarlo sin esfuerzo.

Acceso controlado

La documentación de compliance contiene información sensible. El acceso debe estar restringido al personal autorizado: el Oficial de Cumplimiento, su equipo, y la alta gerencia. Los registros de quién accedió a qué documentación y cuándo son un plus que demuestra madurez en tu programa.

Errores frecuentes

Hay patrones de error que se repiten en empresas que no han madurado su gestión documental.

Guardar documentos sin fecha ni contexto. Una copia de cédula sin registro de cuándo fue recopilada ni por quién tiene valor probatorio limitado. Cada documento debe tener metadata mínima: fecha de obtención, responsable, y propósito.

No actualizar la documentación. Si un cliente renovó su cédula, cambió de domicilio o modificó su estructura societaria, tu expediente debe reflejar esos cambios. La documentación desactualizada es casi tan problemática como la inexistente.

Conservar solo los resultados positivos de verificación. Si verificaste a un cliente contra listas de sanciones y el resultado fue negativo (no encontrado), ese resultado negativo también debe quedar registrado. Es la evidencia de que hiciste la verificación.

No tener plan de respaldo. Si toda tu documentación está en una computadora sin backup y el disco falla, perdiste años de registros. Los respaldos periódicos, preferiblemente en ubicaciones diferentes, son indispensables.

Destruir documentación antes del plazo. Los diez años son desde la finalización de la relación, no desde la creación del documento. Este error de cálculo puede dejarte expuesto ante un requerimiento regulatorio o judicial.

Qué pasa en una inspección

Cuando la SENACLAFT realiza una inspección, la revisión documental es el núcleo del proceso. El inspector va a pedir expedientes de clientes (generalmente una muestra), políticas y procedimientos vigentes, registros de capacitación, y evidencia de monitoreo y actualización.

Los tiempos de respuesta importan. Si te piden un expediente y necesitás una semana para armarlo, eso ya es una señal de alerta para el inspector. La documentación debe estar disponible de forma inmediata o en plazos muy cortos.

Además, la coherencia interna de la documentación es tan importante como su existencia. Si tu política dice que los clientes de alto riesgo se revisan anualmente pero no hay evidencia de revisiones anuales en los expedientes, la inconsistencia va a ser observada.

Conclusión

La conservación de documentos no es un tema apasionante, pero es el cimiento sobre el que se sostiene todo tu programa de compliance. Sin documentación adecuada, las mejores prácticas de debida diligencia son invisibles para los reguladores, y los reportes de operaciones sospechosas pierden su respaldo probatorio.

La regla es simple: si no está documentado, no existe. Invertir tiempo en organizar tu documentación hoy te ahorra problemas significativos mañana, ya sea en una inspección, un requerimiento judicial, o simplemente cuando necesitás reconstruir la historia de un cliente.

¿Necesitas organizar tu documentación de compliance?

En Legaltalent ayudamos a sujetos obligados a mantener su documentación de debida diligencia organizada y accesible. Nuestra plataforma registra automáticamente cada verificación realizada —listas de sanciones, PEPs, adverse media— con fecha, fuente y resultado, para que estés listo ante cualquier inspección.

Comienza gratis y descubre cómo simplificar tu gestión documental.