Tratamiento de datos de carácter personal en la prevención de blanqueo de capital

(Caveat Emptor: no tengo titulación en Derecho…)

RESUMEN

SITUACIÓN NORMATIVA Y NOVEDADES

Las actividades de prevención de blanqueo de capital (PBC) comportan sin duda tratamiento de datos de carácter personal (DCP), y la normativa aplicable incluye provisiones específicas, imponiendo requisitos adicionales a los ya incluidos en la normativa de protección de datos.

Una vez relativamente asentado el Reglamento (de abril de 2014), y aprobada en junio de 2015 la 4ª Directiva europea de PBC (4ª D-AML por sus iniciales en inglés), que deberá estar traspuesta antes de julio de 2017, merece la pena repasar los requisitos actuales y revisar si hay implicaciones futuras de cara a DCP.

En general, en la parte actualmente en vigor, hay bastante confusión y se aplica el no informar a los interesados de que sus datos podrán incluirse en tratamientos de prevención de PBC en el momento de la identificación formal y copia de la documentación fehaciente –que sí debe informarse- cuando lo que están prohibido es informarles si están incursos en exámenes concretos. También hay bastante confusión en cuanto a derechos ARCO, puesto que los interesados sí tienen derecho a conocer que se tienen sus datos de identificación formal y eventualmente rectificarlos. Por otra parte, los datos de identificación formal, incluidas las copias de la documentación fehaciente, no están sujetos a un nivel alto de protección, solo el resto del tratamiento.

En cuanto a las “novedades” que introduce la 4ªD-AML en términos de DCP, avanzaré que para España son nulas, si bien se clarifica una oscuridad previa en cuanto a derecho de información: los sujetos obligados deben satisfacer los derechos de información (D 95/46) sobre el tratamiento de datos de los nuevos clientes, antes de entablar una relación de negocios o de efectuar una transacción ocasional. Los sujetos obligados deben incluir un aviso general informando a los interesados de las obligaciones legales con respecto al tratamiento de datos personales a efectos de prevención del blanqueo de capitales y la financiación del terrorismo de las entidades obligadas por la Directiva.
[La normativa actual tiene una redacción poco clara y puede entenderse que nunca debe informarse al respecto, ni siquiera en la recogida, o puede entenderse que no es obligatorio o que puede hacerse …]

ASPECTOS PRÁCTICOS

Asociados a la PBC hay dos tratamientos diferenciados con requisitos diferenciados, que pueden inscribirse en uno o dos ficheros1: identificación formal (dentro de la diligencia debida) y actividades de prevención propiamente dichas. El tratamiento de identificación formal puede ser bien parte del tratamiento de inicio de la relación con el cliente formando parte del mismo tratamiento, y dicha finalidad puede estar incluida en la inscripción del correspondiente fichero, si bien puede también incluirse junto con las actividades de prevención. El tratamiento de actividades de prevención (incorporando o no la identificación formal), dadas sus especiales condicionantes, requiere inscripción específica en el registro.

En cuanto a detalles concretos:

  • Se debe recoger información de identificación y copia de la documentación fehaciente que la soporte, antes del establecimiento de la relación negocial o de la realización de la operación. De lo contrario no se puede perfeccionar la relación negocial o efetuar la operación. No es optativo.
  • Se debe informar a los interesados de las obligaciones legales con respecto al tratamiento de datos personales a efectos de prevención del blanqueo de capitales y la financiación del terrorismo de las entidades obligadas por la Directiva (en el momento de la recogida de la información para diligencia debida): “Se informa que la entidad es sujeto obligado por la Ley 10/2010 de prevención de blanqueo de capital y la financiación del terrorismo y como tal está sujeta a las obligaciones legales con respecto al tratamiento de datos personales a dichos efectos.” Y nada más.
  • No es necesario el consentimiento para ninguno de ambos tratamientos.
  • Se debe conservar la información de PBC (incluida identificación y la copia de la documentación fehaciente) 10 años una vez finalizada la relación o la hecha la operación
  • Nivel de seguridad: el que corresponda para el tratamiento de identificación formal. Alto para el tratamiento PBC.
  • Derechos ARCO, en relación a identificación formal: los normales; Acceso y Rectificación debe ser atendido; Cancelación: a efectos PBC no pueden ser cancelados (no hay provisión concreta en la ley pero parece inherente ¡!!); Oposición: no ha lugar.
  • Derechos ARCO, en relación a PBC (a parte de identificación formal): “Conforme al Art. 32 punto 3, de la Ley 10/2010, “no serán de aplicación a los ficheros y tratamientos relacionados con el Capítulo III de la misma el derecho de acceso, rectificación, cancelación y oposición. En caso de ejercicio, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo”. Además se incluirá información sobre el derecho de tutela…

SITUACIÓN NORMATIVA

Las actividades de prevención de blanqueo de capital (PBC) quedan reguladas en la Ley 10/20102 y su Reglamento3. Dicha ley 10/2010 que traspone la llamada 3ª Directiva AML (Anti-Money Laundering) (Directiva 2005/60/CE) (no incluye referencias específicas a protección de datos al ser coetánea en su gestación con la Directiva 95/46) si incluye requisitos diversos relativos a DCP y provisiones específicas (Art. 32), así como su Reglamento (Art. 60).

La 4ª Directiva AML (Directiva UE 2015/849)4 (publicada en el Diario Oficial de la Unión Europea el 5 de junio de 2015) se apoya en la Directiva 95/46 (no en las provisiones del Reglamento General de Protección de Datos sin aprobar), sí incluye provisiones específicas relativas a DCP (Art. 41, 40 y 43) que conviene conocer, al menos para comprobar que no conllevan implicaciones adicionales.
Por tanto nuestra 10/2010 y su reglamento -al menos su redacciones actuales- tienen fecha de caducidad, ya que antes del 26 de junio de 2017 deberá estar traspuesta la 4ª Directiva AML.


PROTECCIÓN DCP Y LEY 10/2010 Y REGLAMENTO

En Ley y Reglamento, en relación a DCP, además de incluir artículos específicos (Art. 32 de la ley, y el Art. 60 del reglamento), se “desparraman” por sus textos numerosos requisitos con impacto en DCP, incluso con remisiones a LOPD, y provisiones especiales y excepciones. Resulta compleja la tarea de protección y cumplimiento DCP dada dicha estructura.

Adicionalmente, las actividades de PBC tienen su idiosincrasia, que es necesario comprender para entender las obligaciones relativas a DCP y que presentan diversas complejidades. Es esencial comprender que dentro de la prevención de blanqueo de capital se identifican varios tratamientos y que pueden tener niveles de protección diferentes, salvo que por nuestra decisión los agrupemos en un fichero único de cara a su inscripción, dándole nivel de protección alto. Por lo general es poco aconsejable aglutinar tratamientos de niveles diversos.

A continuación se refunden y reordenan aquellos aspectos con impacto sobre DCP.

Nota: en lo que sigue se presenta la información de aplicación general; hay en la normativa, además, aspectos de aplicación específica para ciertos tipos de negocios/actividades y operaciones que no se incluyen, por ejemplo los ficheros de titularidades financieras o los asuntos relacionados con Personas con Responsabilidad Pública.

Conceptos Básicos

Sujetos obligados: aquellos a quienes la normativa designa y que deben cumplir con la misma
Diligencia debida: fundamentalmente, actividades de conocer al cliente (identificación, etc.)
Obligaciones de información (PBC): identificación y comunicación de operaciones relevantes

Aspectos Relacionados con tratamientos de DCP - Cumplimiento con LOPD

_Diligencia Debida (Recogida de Información y Conservación LOPD)__:

Los sujetos obligados deben identificar a cuantas personas físicas y jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones5 (Ley, Art 3-1). Antes de establecer la relación de negocio o ejecutar la operación se debe comprobar la identidad de forma fehaciente6 (Ley, Art 3-2). También deben identificarse los titulares reales7.

LOPD

Los tratamientos y ficheros creados para el cumplimiento de las disposiciones de 10/2010 se someterán a lo dispuesto en LOPD (L, Art. 32-1).
(luego hay que inscribir cualquier tratamiento nuevo)

LOPD

Los datos recogidos por los sujetos obligados para el cumplimiento de las obligaciones de diligencia debida establecidas en 10/2010 no podrán ser utilizados para fines distintos de los relacionados con la PBC sin el consentimiento del interesado, salvo que el tratamiento de datos sea necesario para la gestión ordinaria de la relación de negocios. (R, Art. 60-1).

Diligencia Debida (Encargos de tratamiento LOPD):

Los sujetos obligados pueden recurrir a terceros para la aplicación de las medidas de diligencia debida, siempre que estos sean sujetos obligados (L, Art. 8-1 y R, Art. 13-1), previo acuerdo escrito (L, Art. 8-3 y R, Art. 13-1). Deberán remitir la información inmediatamente, así como por petición copia de los documentos de identificación fehaciente) (Evidentemente, son encargados de tratamiento y debe constar en el contrato escrito, junto con las medidas de seguridad a aplicar etc.).

Obligaciones de Información (PBC) (Medidas LOPD):

Los sujetos obligados almacenarán las copias de documentos de identificación formal de … cuantas personas físicas y jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones … en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización (L, Art 25-2).

Prohibición de revelación (Información al interesado LOPD):

“En virtud de lo dispuesto en el artículo 24.1 (prohibición de revelación), y en relación con las obligaciones a las que se refiere el apartado anterior [tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información a que se refiere el Capítulo III; comunicaciones de datos previstas en el citado Capítulo [(examen especial (L, Art. 17), comunicación por indicio (L, Art. 18), comunicación sistemática (L, Art. 20), colaboración con el SEPBLAC (L, Art. 21), conservación de documentos (L, Art. 25)] no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 5 de la Ley Orgánica 15/1999” (L, Art. 32-3).

NOTA: Esta redacción es conflictiva. La no existencia de obligación de información no implica la prohibición de darla. Por otra parte, la prohibición de revelación (L. Art. 24-1) reza “los sujetos obligados y sus directivos o empleados no revelarán al cliente ni a terceros que se ha comunicado información al SEPBLAC, o que se está examinando o puede examinarse alguna operación por si pudiera estar relacionada con el blanqueo de capitales o con la financiación del terrorismo.” Es claro que no se puede informar sobre comunicaciones (por indicio o sistemáticas), ni que se están examinando (examen especial) operaciones ¿Qué ocurre con la información de que los datos recabados (identificación formal) serán tratados con los fines de prevención de blanqueo de capital por motivo de diligencia debida? Strictu sensu, informar que se efectúa la diligencia debida no forma parte de la prohibición de revelación. Así lo parece considerar también el Consejo General de la Abogacía Española ya que en el seminario realizado el 12 de noviembre de 2014 “se concluyó que es muy importante que el Abogado deje de manifiesto y advierta en su hoja profesional o en el escrito sobre recogida de datos personales que presenta a sus clientes para que lo cumplimenten y firmen, el hecho de que el Abogado está sujeto a la normativa en materia de prevención de blanqueo de capitales, que los derechos ARCO no son aplicables en este caso, que el cliente autoriza al Abogado a que comparta y ceda sus datos personales al Abogado contrario, al propio Banco del Abogado … y autorice igualmente a solicitar información de dicho Banco”. Aquí viene también al rescate (futuro) la 4ªD-AML con la redacción del punto 3 Art. 41 que obliga a informar, si bien de una “cierta manera”, con una nota de carácter general. En conclusión, y a falta de opinión más docta, informaría desde ya con el texto incluido en la 4ªD-AML … pero no más…: se informa que la entidad es sujeto obligado por la normativa de prevención de blanqueo de capital y la financiación del terrorismo y como tal está sujeta a las obligaciones legales con respecto al tratamiento de datos personales a dichos efectos.

Consentimiento:

“No se requerirá el consentimiento del interesado para el tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información a que se refiere el Capítulo III. Tampoco será necesario el mencionado consentimiento para las comunicaciones de datos previstas en el citado Capítulo y, en particular, para las previstas en el artículo 24.2.” (para efectuar el examen especial (L, Art. 17), comunicación por indicio (L, Art. 18), comunicación sistemática (L, Art. 20), colaboración con el SEPBLAC (L, Art. 21) ni conservación de documentos (L, Art. 25)) (L, Art. 32-2).
(¿no es ya innecesario por ser el tratamiento por obligación legal?)

Derechos ARCO:

“Asimismo, no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.” (L, Art. 32-3).
(Por tanto, dejando de lado la información de identificación formal, en relación a PBC: “Conforme al Art. 32 punto 3, de la Ley 10/2010, “no serán de aplicación a los ficheros y tratamientos relacionados con el Capítulo III de la misma el derecho de acceso, rectificación, cancelación y oposición. En caso de ejercicio, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo”.)

Nivel de Seguridad

“Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.” (L, Art. 32-5).
También aquí el Consejo General de la Abogacía Española esta presto, ya que en el seminario realizado el 12 de noviembre de 2014 indica que se llamó la atención de que una aplicación estricta del precepto obligaría a un despacho a tener ficheros diferentes para el tratamiento de datos de clientes que encargan asuntos de la letra ñ) y de los demás clientes. Sin embargo, en mi opinión, lo adecuado es separar los tratamientos de identificación de los de PBC, inscribiendo el segundo separado del primero.

“Será exigible a los tratamientos efectuados en el cumplimiento del deber de diligencia debida el nivel de seguridad que corresponda conforme a lo previsto en la normativa vigente de protección de datos de carácter personal.” (R, Art. 60-3).

Obligaciones de Información (PBC) (Retención LOPD):

Los sujetos obligados conservarán durante un periodo mínimo de 10 años la documentación tras la terminación de la relación de negocios o la ejecución de la operación … en particular … copia de los documentos exigibles en aplicación de las medidas de diligencia debida (L, Art 25-1) y en particular las copias de los documentos fehacientes de identificación (R, Art 28-1).

3ª D-AML

La 3ª Directiva, sin referencias explicitas a DCP, implica el tratamiento de DCP. Por un lado, la diligencia debida, en la identificación de las personas antes del establecimiento de la relación negocial o efectuar una operación. Por otro, todo el conjunto de actividades preventivas. En su Art. 28 prohíbe revelar a los interesados o terceros si han sido investigados o pueden serlo o si se han hecho notificaciones. En su Art. 30 indica que se debe retener la información al menos cinco años, incluidas las copias de la identificación del interesado. Ello lleva en la práctica a que los derechos ARCO de los interesados en relación a la prevención no pueden satisfacerse. El resto, queda a la propia D 95/46 o las trasposiciones nacionales.

4ª D-AML

La 4ª Directiva también “desparrama” requisitos diversos DCP, así como “concentra” diversos requisitos en los Art. 40, 41 (incluye deber de cumplir con Directiva 95/46) y 43, que son compatibles con nuestra 10/2010:

  • Legitimización del tratamiento: en referencia a D 95/46, declara el tratamiento de interés público y por lo tanto legítimo. (Art. 43) (formalmente correcto y útil pero sin implicaciones directas más allá de habilitar otros artículos)
  • Excluye otras finalidades como incompatibles, en particular prohíbe tratamientos con fines comerciales. (Art. 41-2) (formalmente correcto pero innecesario).
  • Derecho de información: los sujetos obligados deben satisfacer los derechos de información (D 95/46) sobre el tratamiento de datos a los nuevos clientes antes de entablar una relación de negocios o de efectuar una transacción ocasional, añadiendo la obligación de incluir un aviso general sobre las obligaciones legales de las entidades obligadas por la presente Directiva con respecto al tratamiento de datos personales a efectos de prevención del blanqueo de capitales y la financiación del terrorismo. (Art. 41-3) (texto novedoso) (dados los elevados requisitos de confidencialidad imbricados en la directiva resulta útil que conste por escrito) (aclara la redacción oscura de 10/2010 a este respecto).
  • Consentimiento: consecuencia del interés público y obligación legal, el consentimiento no es necesario (formalmente correcto y útil pero sin implicaciones no contempladas).
  • Retención: las entidades obligadas retendrán los datos necesarios para cumplir con los requisitos de diligencia debida al menos 5 años (hasta un máximo de 10 si las autoridades nacionales lo exigen) tras la finalización de la relación negocial o la ejecución de la operación. (Art. 40) (ya existente en la anterior Directiva)
  • Derechos ARCO: restringidos a fin de evitar la pérdida de eficacia de la prevención. (Art. 41-4) (habilita poder denegar los derechos)

Visto lo visto, sin que introduzca para nosotros, novedades reales.


Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 18 Jun 2015 09:10


Mis actividades y novedades: visita mi blog

Si no se indica lo contrario, el contenido de esta página se ofrece bajo Creative Commons Attribution-ShareAlike 3.0 License