Filtración de Reportes de Operaciones Sospechosas (ROS): estándares internacionales, marco regulatorio y mejores prácticas

Jorge Paternó | Junto con Daniela Keller, el autor analiza los estándares internacionales, el derecho comparado y el marco regulatorio argentino, con especial énfasis en medidas prácticas que los Sujetos Obligados pueden adoptar para garantizar el cumplimiento del deber de confidencialidad. | 18/08/2025

1) Introducción

En el marco del sistema argentino de prevención de lavado de activos, financiamiento del terrorismo y proliferación de armas de destrucción masiva (PLAFT), los Reportes de Operación Sospechosa ("ROS") constituyen una herramienta esencial de inteligencia financiera. Su carácter confidencial es absoluto, conforme lo dispuesto en la Ley 25246, su decreto reglamentario Decreto 290/2007, y sus modificatorias (la "Ley Antilavado").

El artículo 22 de la Ley Antilavado dispone que toda persona que revele información relativa a un ROS a individuos no autorizados incurre en el delito de violación de secreto, sancionable con pena de prisión. Esta obligación se proyecta tanto sobre funcionarios públicos como sobre Sujetos Obligados y terceros que eventualmente tomen contacto con dicha información.

A partir de un reciente caso de filtración denunciado por la Unidad de Información Financiera ("UIF"), el presente artículo analiza los estándares internacionales, el derecho comparado y el marco regulatorio argentino, con especial énfasis en medidas prácticas que los Sujetos Obligados pueden adoptar para garantizar el cumplimiento del deber de confidencialidad.

2) Síntesis de los hechos

Conforme surge del comunicado de prensa emitido por la UIF con fecha 12 de agosto del corriente año (Prensa UIF 36/2025), el Presidente del organismo recibió una comunicación alertando sobre la posible filtración de información confidencial vinculada a un ROS emitido por una entidad bancaria. Una vez verificada internamente la existencia del reporte en cuestión, se constató que su contenido había sido divulgado, con un nivel significativo de detalle, en un medio periodístico.

La Dirección de Tecnología de la Información y las Comunicaciones de la UIF llevó a cabo un análisis de trazabilidad respecto de los accesos al sistema, del cual se desprende que no se registraron ingresos no autorizados desde el organismo. Asimismo, se confirmó que el único acceso al reporte en cuestión se produjo por instrucción expresa del Presidente del organismo, en el marco de la verificación de la denuncia recibida.

En consecuencia, con fecha 13 de agosto, la UIF procedió a formular una denuncia penal ante la Fiscalía Nacional en lo Criminal y Correccional Federal Nro. 4, a efectos de que se investiguen los hechos denunciados y se determine la eventual responsabilidad penal de los involucrados.

3) Derecho comparado 

A continuación, enumeramos algunos ejemplos de marcos normativos, a nivel internacional, que prohíben y sancionan la revelación indebida o la violación de secretos vinculados al reporte de operaciones sospechosas en el marco de lavado de activos:

(i) Estados Unidos de América - Bank Secrecy Act.: esta norma contempla expresamente la prohibición de la divulgación de un reporte de actividad sospechosa (Suspicious Activity Report, SAR, por sus siglas en inglés). Su incumplimiento conlleva la imposición de sanciones penales y administrativas. 
(ii) España - Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo: prevé expresamente sanciones por la revelación (Prohibición de Revelación) respecto de un Comunicado de Operación Sospechosa remitido al SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias). La infracción de esta obligación puede dar lugar a la aplicación de sanciones como multas económicas e incluso penas privativas de libertad.
(iii) Reino Unido - Proceeds of Crime Act 2002: tipifica el delito de tipping-off, que penaliza la comunicación directa o indirecta, de la existencia o del contenido de un reporte de operación sospechosa al sujeto investigado o a terceros no autorizados.

4) Estándares internacionales y marco legal y regulatorio aplicables

Considerando los estándares internacionales aplicables a la República Argentina, cabe destacar lo dispuesto en el artículo 29 de las 40 Recomendaciones del Grupo de Acción Financiera Internacional ("GAFI"): "Los países deben establecer una Unidad de Inteligencia Financiera que actúe como centro nacional para la recepción y el análisis de: (a) reportes de transacciones sospechosas, y (b) otra información relevante sobre el lavado de dinero, los delitos determinantes asociados y la financiación del terrorismo, así como para la difusión de los resultados de dicho análisis. La UIF debe poder obtener información adicional de las entidades obligadas a reportar y debe tener acceso, de manera oportuna, a la información financiera, administrativa y de las fuerzas del orden que requiera para desempeñar adecuadamente sus funciones".

Por otra parte, corresponde también citar los altos estándares internacionales establecidos por el Grupo Egmont, en particular en lo que respecta a los principios relacionados con la protección y control del manejo e intercambio de datos entre las UIF. 

En relación con el marco legal y regulatorio local, resulta indispensable considerar lo dispuesto en los artículos 21 inciso c) y el 22 de la Ley Antilavado, a través de los cuales se impone a los Sujetos Obligados y funcionarios de la UIF el deber de guardar estricta reserva respecto de las operaciones reportadas, y se establece que la violación del deber secreto es punible penalmente: "(...)El funcionario o empleado de la Unidad de Información Financiera (UIF), así como también las personas que por sí o por otro revelen las informaciones secretas fuera del ámbito de la Unidad de Información Financiera (UIF) serán reprimidos con prisión de seis (6) meses a tres (3) años".

5) Recomendaciones prácticas para los Sujetos Obligados para el resguardo y debido cumplimiento del deber de confidencialidad frente a la UIF

La revelación indebida de un ROS constituye una infracción grave que puede acarrear consecuencias de orden penal, administrativo y reputacional, tanto para la persona responsable como para la entidad obligada. En este sentido, el resguardo de la confidencialidad no solo representa una obligación legal, sino también un componente esencial para preservar la integridad del sistema de prevención del lavado de activos, la financiación del terrorismo y la proliferación de armas de destrucción masiva. A fin de mitigar estos riesgos y asegurar el cumplimiento con la normativa aplicable como la Ley Antilavado, así como el marco regulatorio dispuesto por la UIF, se detallan a continuación una serie de recomendaciones prácticas orientadas a fortalecer los mecanismos internos de protección de la confidencialidad y evitar recaer en hechos susceptibles de sanciones:

a. Código de Conducta y cultura organizacional: una medida fundamental para fortalecer el resguardo consiste en incorporar, de manera expresa en el Código de Conducta de la entidad, la tipificación de la divulgación -total o parcial- de un ROS o de su contenido como una falta grave. Es importante establecer un régimen sancionatorio interno claro y efectivo, acorde a la normativa laboral aplicable, sin perjuicio de las sanciones administrativas y/o judiciales que pudieran corresponder en el ámbito externo. En paralelo, se recomienda implementar canales internos de denuncia confidencial que permitan a los empleados reportar, de forma segura y anónima, accesos indebidos a la información contenida en un ROS, así como eventuales presiones internas orientadas a inducir su revelación.
En este aspecto, es esencial fomentar y promover una cultura ética de integridad. La emisión de un ROS, incluyendo el cumplimiento del deber de secreto que le es inherente, deben ser comprendidos por todos los integrantes del Sujeto Obligado como una herramienta fundamental para la protección del sistema PLAFT y la preservación de su reputación institucional.

Ejemplo de buena práctica: publicar mensualmente recordatorios institucionales sobre la importancia del deber de secreto, utilizando canales de comunicación interna del Sujeto Obligado como boletines, newsletters o intranet corporativa.

b. Políticas de confidencialidad y deber de secreto: es indispensable contar con un protocolo específico y estricto para el tratamiento de información sensible, que abarque no solo los ROS, sino también los análisis internos, reportes espontáneos, requerimientos formulados por la UIF, y antecedentes vinculados a clientes o transacciones bajo sospecha, más allá de su habitual inclusión en los manuales de procedimientos. Adicionalmente, resulta aconsejable incorporar cláusulas específicas sobre confidencialidad en los contratos de trabajo, especialmente en relación con aquellos empleados, que por la naturaleza de sus funciones, tienen acceso a los sistemas y documentación del programa de prevención del lavado de activos, financiamiento de terrorismo y proliferación de armas de destrucción masiva. 

Ejemplo de buena práctica: El Oficial de Cumplimiento podría elaborar una matriz de perfiles de acceso al sistema informático institucional, en la que se delimiten los permisos asignados a cada función, donde solo ciertas funciones puedan acceder a los informes y otras quedan restringidas o encriptadas por defecto.

c. Gestión de la documental y cadena de custodia: una adecuada administración de la información sensible requiere implementar sistemas electrónicos de gestión documental que incorporen registros de trazabilidad y logs de auditoría, permitiendo identificar con precisión quién accede a los antecedentes de un ROS, en qué momento, desde qué IP y qué modificaciones realiza.
Adicionalmente, es aconsejable establecer una cadena de custodia digital para los reportes emitidos, sus respaldos y cualquier otra documentación asociada, con controles sobre su almacenamiento, transmisión, acceso y eventual destrucción, en concordancia con las políticas de conservación de archivos exigidas por la UIF, que imponen un plazo mínimo de resguardo de diez (10) años. 

Ejemplo de buena práctica: definir protocolos internos específicos para la elaboración, revisión, gestión y emisión de los ROS, con puntos de control que permita una estricta trazabilidad ante una posible investigación interna.

d. Relación con revisores externos y reguladores: a excepción de los casos expresamente previstos por la normativa vigente -en los cuales la ley confiere facultades para acceder a los ROS y sus antecedentes-, en el marco de las auditorías internas y/o externa se deberá anonimizar los ROS, eliminando nombres, y constancias registrales que permitan identificar a los sujetos involucrados. En estos casos, es recomendable dejar constancia documental clara y precisa de la entrega de información anonimizada, mediante la confección de actas firmadas en las que se indique expresamente que el auditor ha sido informado sobre la prohibición de acceder a ROS identificables. Como medida complementaria, y en línea con las mejores prácticas en materia de seguridad de información, evitar el intercambio de información sensible a través de canales no seguros, tales como correos electrónicos sin cifrado, dispositivos de almacenamiento extraíbles (pendrives) u otras vías no autorizadas. Incluso en comunicaciones con organismos de contralor o reguladores, se debe priorizar el uso de plataformas habilitadas por la UIF o sistemas de transmisión que cuenten con cifrado de extremo a extremo y autenticación robusta.

Ejemplo de buena práctica: El Oficial de Cumplimiento puede elaborar un informe para el revisor externo independiente que contenga: (i) cantidad de ROS enviados en el período, (ii) tipología de delitos subyacentes, y (iii) sin revelar datos personales, una descripción de los criterios aplicados para la detección, análisis y decisión de reporte, permitiendo evaluar la razonabilidad del procedimiento seguido por la entidad sin comprometer la confidencialidad exigida por la normativa.

e. Capacitación continua y concientización interna: Las instancias de capacitación y comunicación interna constituyen herramientas fundamentales para fortalecer la cultura del cumplimiento y garantizar el efectivo conocimiento del deber de confidencialidad por parte del personal. En particular, es indispensable que el personal conozca no solo el marco legal aplicable, sino también los procedimientos específicos que implementa el Sujeto Obligado para la protección de la información sensible, incluyendo el tratamiento de los ROS. A tal fin, se recomienda documentar y archivar adecuadamente cada actividad formativa, incluyendo listas de asistencia, material utilizado y evaluaciones.  Esta documentación constituye prueba fehaciente de que se han tomado medidas preventivas reales. Además, se aconseja incluir escenarios hipotéticos en la formación o casos prácticos, que permitan ilustrar situaciones sensibles y orientar al personal sobre cómo actuar ante circunstancias concretas (por ejemplo: ¿qué hacer si un cliente sospechoso solicita acceso a su ROS?, ¿puede un gerente comercial solicitar copia de un ROS?).

Ejemplo de buena práctica: Incluir en el onboarding de cada nuevo empleado una clase específica sobre deber de secreto, con firma de compromiso de confidencialidad.

f. Acción ante incidentes y eventos de riesgo: un componente no menor para la protección de la confidencialidad,  eventos de riesgo relacionados con el acceso o la posible divulgación indebida de un ROS es contar con un Protocolo de Respuesta a Incidentes de Seguridad que incluya: (i) Identificación del incidente; (ii) notificación inmediata al Oficial de Cumplimiento; (iii) aislamiento del sistema o usuario implicado; (iv) auditoría y documentación del evento; y (v) involucrar al departamento de legales o estudio externo para tomar las medidas legales que corresponden se haya o no identificado una violación al deber de confidencialidad. 

Ejemplo de buena práctica: Si se detecta que un empleado ha intentado reenviar un ROS por correo interno, el sistema debe generar una alerta automática que bloquee la acción y avise al Oficial de Cumplimiento.

6) Conclusiones

El cumplimiento del deber de confidencialidad no se limita a un aspecto normativo impuesta por la Ley 25246 y sus disposiciones complementarias, sino que debe entenderse como un componente transversal e integrado en la gestión de riesgos operativos, tecnológicos y humanos. 

La experiencia reciente en la República Argentina ha evidenciado que las filtraciones de información vinculadas a un ROS no sólo pueden configurar un delito penal, sino que además genera grave perjuicio institucional, socavando la confianza en los mecanismos de reporte, afectando la cooperación entre organismos y comprometiendo la eficacia del sistema antilavado en su conjunto. 

En este marco, resulta indispensable que los Sujetos Obligados adopten medidas concretas orientadas a reforzar la protección del deber de confidencialidad, entre las cuales se destacan: el establecimiento de protocolos internos estrictos de acceso a los ROS, la capacitación periódica del personal, la clasificación y resguardo documental adecuado, la evaluación continua de riesgos internos de fuga de información, la comunicación clara y documentada de las instrucciones internas, la designación formal de responsables de cumplimiento y la revisión periódica de políticas y procedimientos. Estas acciones, articuladas de forma sistemática y sostenida, no solo permiten mitigar riesgos legales y reputacionales, sino que refuerzan la eficacia del sistema de prevención en su conjunto.

En consecuencia, los Sujetos Obligados deben adoptar un enfoque proactivo y preventivo, sostenido en el tiempo, orientado a garantizar el secreto de la información reportada a la UIF, y a preservar la legalidad, integridad y credibilidad de su función como primer eslabón en la prevención del lavado de activos y financiamiento del terrorismo.

Jorge Paternó y Daniela Keller
Compliance Solutions Partners S.R.L.
www.cspartners.com.ar