Prevención de blanqueo de capitales vs protección de datos

Prevención de blanqueo de capitales vs protección de datos

blanqueo_capitales_2

Por Francisco R. González-Calero Manzanares

La ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo al establecer las medidas de control y diligencia debida que deben tener los sujetos obligados por esta normativa, (entendiendo por sujetos obligados aquellos que se encuentran regulados en su artículo 2º y los comerciantes de bienes en cuanto que una operación supere los 15.000 euros), crea una serie de obligaciones de registro y custodia de la documentación que genera este deber de control y por ello, obliga a crear unos ficheros con datos de carácter personal al sujeto obligado, que a lo largo de este artículo vamos a analizar. Igualmente, establece una serie de excepciones a la normativa sobre protección de datos de carácter personal, que también serán objeto de estudio.

La primera obligación impuesta por esta ley, la de identificación formal del sujeto contratante, la identificación del titular real, y la prohibición de iniciar relaciones de negocio u operaciones comerciales con personas físicas o jurídicas que no hayan sido debidamente identificadas, obliga a mantener en algún soporte la documentación que justifique que esta obligación se ha materializado (DNI, escrituras….), debidamente escaneadas o fotocopiadas. Esta obligación de soporte documental se extiende al resto de obligaciones impuestas y por ello, exigirá el cumplimiento de lo dispuesto en la normativa vigente de protección de datos de carácter personal.

Igualmente, los sujetos obligados deben recabar información de manera previa al inicio de la relación sobre el propósito e índole prevista en la relación de negocios, en concreto deben recabar información que permita conocer la naturaleza de la relación profesional o empresarial y deberán establecer procedimientos de comprobación de veracidad de las actividades declaradas por sus clientes. Pero esta obligación no termina con la comprobación inicial, sino que se obliga a los sujetos obligados a desarrollar labores de seguimiento continuo de la relación de negocios, con el fin de verificar que la documentación e información que se posee es real y está actualizada.

Estas medidas de diligencia debida mencionadas en los párrafos anteriores, podrán ser aplicadas en función del riesgo. Además la Ley detalla unos supuestos concretos en los que las medidas serán aplicadas con régimen simplificado (operaciones inferiores a 1000 euros fundamentalmente) o con régimen reforzado de diligencia debida. Cabe igualmente destacar que para el cumplimiento de estas medidas, se puede acudir a terceros para que las apliquen, lo que daría lugar a un acceso a datos y a un encargado de tratamiento, de acuerdo con lo dispuesto en el artículo 12 de la Ley 15/1999 de protección de datos de carácter personal.

Uno de estos supuestos especiales a los que aludíamos anteriormente es el de los casinos de juego, que deben identificar mediante documentos fehacientes a todas las personas que pretendan acceder a sus instalaciones o que pretendan realizar alguna de las operaciones descritas en el artículo 7.5.

Cabe destacar también el régimen especial para las operaciones y relaciones de negocio no presenciales, puesto que añaden requisitos adicionales a la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico y a la Ley 7/1996 de Ordenación del Comercio Minorista, ya que en los supuestos en los que la relación de negocio u operación se realice por medios electrónicos, telefónicos o telemáticos, no estando presente el cliente, para su validez se requiere que se de alguna de las siguientes circunstancias: que se verifique la identidad del cliente mediante firma electrónica, o que el primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en un Tercer país equivalente, o que se verifiquen los requisitos determinados reglamentariamente (inexistentes en la actualidad ya que aún no se ha aprobado un reglamento de desarrollo de la presente ley).

En todo caso, en el plazo máximo de un mes los sujetos obligados deberán obtener de estos clientes copia de la documentación necesaria para practicar la diligencia debida. Si observan discrepancias entre la información facilitada por el cliente y la documentación que obre en poder del sujeto obligado, será preceptiva la identificación personal. Además los sujetos obligados deben establecer medidas adicionales de diligencia debida en estos supuestos.

Cuestión fundamental y que obliga a crear un fichero de datos de carácter personal específico, es el relativo al que contiene la información y documentación de personas con responsabilidad pública. Igualmente para este tipo de clientes se exige tomar medidas de diligencia debida reforzadas, que aumentarán el volumen de información que se trata de estos, medidas cuyo contenido no vamos a entrar a valorar.

Se entiende por persona con responsabilidad pública, de acuerdo con lo establecido en el artículo 14 de la Ley:

a) Por personas físicas que desempeñen o hayan desempeñado funciones públicas importantes: los jefes de Estado, jefes de Gobierno, ministros, secretarios de Estado o subsecretarios; los parlamentarios; los magistrados de tribunales supremos, tribunales constitucionales u otras altas instancias judiciales cuyas decisiones no admitan normalmente recurso, salvo en circunstancias excepcionales, con inclusión de los miembros equivalentes del Ministerio Fiscal; los miembros de tribunales de cuentas o de consejos de bancos centrales; los embajadores y encargados de negocios; el alto personal militar de las Fuerzas Armadas; y los miembros de los órganos de administración, de gestión o de supervisión de empresas de titularidad pública.

Estas categorías comprenderán, en su caso, cargos desempeñados a escala comunitaria e internacional. Ninguna de estas categorías incluirá empleados públicos de niveles intermedios o inferiores.

Sin perjuicio de la aplicación, basándose en un análisis del riesgo, de medidas reforzadas de diligencia debida, cuando una persona haya dejado de desempeñar una función pública importante durante al menos dos años, no será obligatoria su consideración como persona con responsabilidad pública.

b) Por familiares más próximos: el cónyuge o la persona a quien se halle ligado de forma estable por análoga relación de afectividad, así como los padres e hijos, y los cónyuges o personas ligadas a los hijos de forma estable por análoga relación de afectividad.

c) Por personas reconocidas como allegados: toda persona física de la que sea notorio que ostente la titularidad o el control de un instrumento o persona jurídicos conjuntamente con alguna de las personas mencionadas en la letra a), o mantenga otro tipo de relaciones empresariales estrechas con las mismas, u ostente la titularidad o el control de una persona o instrumento jurídicos que notoriamente se haya constituido en beneficio de las mismas”.

Por su parte el artículo 15 regula todo lo relativo al tratamiento de datos de las personas con responsabilidad pública, estableciendo una serie de especialidades y excepciones sobre el tratamiento de datos de carácter personal regulado en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y que en resumen, son las siguientes:

– Se pueden crear ficheros e incluir en los mismos datos identificativos de las personas con responsabilidad pública aunque no se mantenga relación comercial con ellos. No es necesario recabar su consentimiento previo incluso si los datos no se obtienen de fuentes accesibles al público.

– Los datos contenidos en estos ficheros sólo se pueden usar para el cumplimiento de las medidas de diligencia debida reforzadas previstas en la Ley 10/2010.

– Estos ficheros podrán ser creados por terceros distintos a los sujetos obligados con el fin de colaborar con estos últimos en la identificación de las personas con responsabilidad pública. Cualquier otra finalidad distinta en el tratamiento de esos datos está prohibida.

– El tratamiento y la cesión de datos queda sujeto a lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y a su normativa de desarrollo.

– No es preciso informar a los afectados de la inclusión de sus datos en el citado fichero.

– La información incluida en los ficheros deberá ser actualizada continuamente.

– Las medidas de seguridad a aplicar al mencionado fichero deben ser de nivel alto.

Otro supuesto de especial regulación recae sobre las Fundaciones y Asociaciones, que deberán llevar un registro en el que consten los datos de identificación de todas las personas que aporten o reciban fondos a titulo gratuito.

Por último vamos a destacar una serie de obligaciones reguladas en la presente Ley, que introducen especialidades sobre la normativa vigente sobre protección de datos de carácter personal y resumiremos las especialidades reguladas en el artículo 32 que en concreto, regula el tratamiento de datos de carácter personal en aplicación de la Ley 10/2010. A modo de resumen son las siguientes:

– Los sujetos obligados examinarán con especial atención y documentarán cualquier operación con independencia de su cuantía que por su naturaleza pueda estar relacionada con el blanqueo de capitales o la financiación del terrorismo.

– Si en relación con el examen anterior, se deduce que existe un indicio o certeza que se está blanqueando dinero o se está financiando el terrorismo, los sujetos obligados tienen el deber de comunicar de oficio esta circunstancia a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.

– Los sujetos obligados deberán facilitar la información y documentación que les requiera la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.

– Los directivos y empleados de los sujetos obligados no revelarán a sus clientes ni ha terceros, que se ha comunicado información al Servicio Ejecutivo de la Comisión o, que se esta examinando o que se ha examinado alguna operación susceptible de blanqueo de capital o financiación del terrorismo.

– Toda la documentación generada y utilizada en cumplimiento de las obligaciones impuestas por esta Ley, deberá ser guardada, como mínimo, diez años desde la ejecución de la operación o de la terminación de la operación de negocios. Esta información deberá almacenarse en dispositivos ópticos, electrónicos o magnéticos que garanticen su integridad, la correcta lectura de datos, la imposibilidad de manipulación y su adecuada conservación y localización.

– Aunque el tratamiento de datos de carácter personal de los ficheros creados al amparo de la presente normativa, estará sujeto a lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa de desarrollo, no será preciso el consentimiento del afectado, ni para tratar los datos del interesado en virtud de las obligaciones de información del Capitulo III de esta Ley, ni para las comunicaciones de datos previstas en el citado Capitulo, y en especial, las mencionadas en el artículo 24.2.  De la misma manera, queda el sujeto obligado exonerado del deber de información regulado en el artículo 5 de la Ley Orgánica 15/1999 en relación con las obligaciones recogidas en el apartado anterior y en relación con el deber de no revelación al cliente que se ha comunicado información a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, vista con anterioridad.

– Queda sin aplicación la regulación sobre derechos de acceso, rectificación, cancelación y oposición en lo referente a los tratamientos regulados en esta Ley. En el caso de ejercitarse algún derecho, el sujeto obligado se limitará a reproducir en su contestación esta circunstancia.

– Los Órganos Centralizados de Prevención (de las profesiones colegiadas sujetas a esta Ley), tendrán la consideración de encargados de tratamiento.

– Las medidas de seguridad a aplicar, serán las de nivel alto.

– Para finalizar, se permiten intercambios de información entre sujetos obligados, bien por que la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias las ha autorizado en virtud de las circunstancias excepcionales previstas en un futuro reglamento, bien porque se trata de operaciones reguladas en los artículos 18 y 19 de la Ley y el intercambio se realiza con el único fin de prevenir o impedir el blanqueo de capitales o la financiación del terrorismo, cuando las características u operativa del supuesto concreto desprendan la posibilidad que, una vez rechazada pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquella. Estos ficheros deberán adaptar medidas de seguridad de nivel alto, no será aplicable a estos intercambios de información el régimen del consentimiento para las comunicaciones de datos de la Ley Orgánica 15/1999 y el acceso a los datos deberá ser únicamente realizado por los órganos de control interno del sujeto obligado (regulados en el artículo 26 de la Ley) y las autoridades judiciales, policiales o administrativas competentes en la prevención del blanqueo de capitales y financiación del terrorismo.

Publicado por el autor en Artico.