protección de datos en la prevención de blanqueo de capitales

Comentario de Manuel Castilleja 20 de enero de 2025

TRATAMIENTO DE DATOS PERSONALES EN LA PREVENCIÓN DE BLANQUEO DE CAPITALES

El tratamiento de datos personales necesario para el cumplimiento de las obligaciones establecidas en la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT) como cualquier otro tratamiento de datos personales, debe cumplir con todos los principios establecidos en el artículo 5.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).

  1. LICITUD, LEALTAD Y TRANSPARENCIA(art. 5.1.a RGPD)

1.1. LEGITIMACIÓN

No se precisa consentimiento del interesado, la base jurídica que legitima estos tratamientos es:

  • Art. 6.1.c RGPD, al ser necesarios para el cumplimiento de una obligación legal impuesta al responsable del tratamiento, en los casos de:
    • Obligaciones de diligencia debida (capítulo II) e información (capítulo III) (art. 32.1 LPBCFT).
    • Comunicaciones de datos:
    • Previstas para las obligaciones de información (Capítulo III) y, en particular, para las previstas en el art. 24.2 LPBCFT.
    • A los sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada, así como el acceso a los datos incorporados a los mismos (art. 32 ter.2 LPBCFT).
  • Art. 6.1.e RGPD, al ser necesarios para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, en el caso de:
    • Intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude (art. 33.1,2 y 3 LPBCFT).

1.2. DEBER DE INFORMACIÓN

1.2.1. Tratamientos para cumplir las obligaciones de diligencia debida

Con carácter previo al establecimiento de la relación de negocios o la realización de una transacción ocasional, los sujetos obligados deberán facilitar a los nuevos clientes la información requerida en los arts. 13 y 14 del RGPD. Dicha información contendrá, en particular, un aviso general sobre las obligaciones legales de los sujetos obligados con respecto al tratamiento de datos personales a efectos de prevención del blanqueo de capitales y la financiación del terrorismo (art. 32 bis.3 LPBCFT).

En todo caso, los interesados deberán ser informados acerca de la comunicación de los datos por parte de los órganos de control internos de los sujetos obligados a los sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada, así como del acceso que pretendiese llevarse a cabo con carácter previo a que el mismo se produzca (art. 32 ter.3 LPBCFT).

1.2.2. Tratamientos para cumplir las obligaciones de información y para el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude

Dado que conforme al art. 24.1 LPBCFT los sujetos obligados y sus directivos o empleados no pueden revelar al cliente ni a terceros que se ha comunicado información al Servicio Ejecutivo de la Comisión, o que se está examinando o puede examinarse alguna operación por si pudiera estar relacionada con el blanqueo de capitales o con la financiación del terrorismo, de conformidad con el art. 14.5 RGPD, no será de aplicación la obligación de información prevista en el art. 14.1 y 2 RGPD (art. 32.2 LPBCFT).

1.3. DERECHOS DEL INTERESADO

1.3.1. Tratamientos para cumplir las obligaciones de diligencia debida

Conforme al art. 26.3 RGPD, en los tratamientos llevados a cabo para los sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada, en los que los sujetos obligados son corresponsables del tratamiento, los interesados podrán ejercer los derechos que les reconoce el RGPD frente a, y en contra de, cada uno de los responsables. El sujeto obligado que hubiera proporcionado datos al sistema debe cumplir en su caso lo establecido en los arts. 17.2 y 19 RGPD (art. 32 ter. 5 LPBCFT).

1.3.2. Tratamientos para cumplir las obligaciones de información y para el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude

Conforme al art. 23 RGPD, no procederá la atención de los derechos conferidos por el RGPD a los interesados en sus arts. 15 a 22. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

Tampoco procederá la atención de los citados derechos en los tratamientos llevados a cabo por el Servicio Ejecutivo de la Comisión para el cumplimiento de las funciones que le otorga la LPBCFT (art. 32.2 LPBCFT).

1.4. RESPONSABILIDAD DEL TRATAMIENTO

Los sujetos obligados actuarán en los tratamientos necesarios para el cumplimiento de las obligaciones que establece la LPBCFT como responsables del tratamiento.

Los órganos centralizados de prevención a los que se refiere el artículo 27 tendrán la condición de encargados del tratamiento, salvo los tratamientos que llevasen a cabo de incorporación obligatoria en el ámbito de las funciones que se les atribuyan reglamentariamente. La norma reglamentaria especificará los supuestos en que estos órganos tengan la condición de responsables del tratamiento (art. 32.3 LPBCFT).

Cuando se creen sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada para el cumplimiento de las obligaciones de diligencia debida, los sujetos adheridos al sistema tendrán la condición de corresponsables del tratamiento.

El mantenimiento de estos sistemas podrá encomendarse a un tercero, aun cuando no tenga la condición de sujeto obligado (art. 32 ter.1 LPBCFT).

  1. LIMITACIÓN DE LA FINALIDAD(art. 5.1.b RGPD)

Los datos recogidos por los sujetos obligados para el cumplimiento de las obligaciones de diligencia debida no podrán ser utilizados para fines distintos de los relacionados con la prevención del blanqueo de capitales y la financiación del terrorismo sin el consentimiento del interesado, salvo que el tratamiento de dichos datos sea necesario para la gestión ordinaria de la relación de negocios. (art. 32 bis.2 LPBCFT)

Los datos obtenidos como consecuencia del acceso a los sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada, únicamente podrán ser empleados para el cumplimiento por los sujetos obligados de sus obligaciones de diligencia debida (art.32 ter. 4 LPBCFT)

  1. MINIMIZACIÓN DE DATOS(art. 5.1.c RGPD)

Los sujetos obligados solo podrán acceder a la información facilitada por otro sujeto obligado en los supuestos en que la persona a la que se refieran los datos sea su cliente o el acceso a la información sea necesario para el cumplimiento de las obligaciones de identificación previas al establecimiento de la relación de negocios previstas en el artículo 3. En este supuesto, solo se accederá a los datos necesarios a tal efecto (art.32 ter. 2 LPBCFT).

  1. EXACTITUD(art. 5.1. d RGPD)

Corresponderá al sujeto obligado que hubiera proporcionado datos a un sistema común de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada, responder de su exactitud y actualización.

Cuando el sujeto obligado compruebe, a la vista de la información que él mismo hubiese recabado en cumplimiento de sus deberes de diligencia debida, que los datos a los que hubiese accedido son incorrectos o no están actualizados, lo comunicará al sistema a fin de que los datos sean objeto de actualización o rectificación en su caso (art.32 ter. 5 LPBCFT).

  1. CONSERVACIÓN(art. 5.1.e RGPD)

Los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la LPBCFT, procediendo tras el mismo a su eliminación. Transcurridos cinco años desde la terminación de la relación de negocios o la ejecución de la operación ocasional, la documentación conservada únicamente será accesible por los órganos de control interno del sujeto obligado, con inclusión de las unidades técnicas de prevención, y, en su caso, aquellos encargados de su defensa legal. (art. 25 LPBCFT).

  1. INTEGRIDAD Y CONFIDENCIALIDAD(art. 5.1.f RGPD)

Los datos deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

6.1. EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (EIPD)

Los sujetos obligados que lleven a cabo tratamientos de datos personales para cumplir con las obligaciones de diligencia debida y/u obligaciones de información que exigen la LPBCFT o intercambien información con otros sujetos obligados para la creación de ficheros centralizados para la prevención del fraude, deberán realizar una EIPD de estos tratamientos a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos (art. 32.4, 32 bis. 4 y 33.5 LPBCFT).

6.2. DELEGADO DE PROTECCIÓN DE DATOS (DPO)

El art. 34.1.j LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) establece que deben designar un DPO las entidades responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

El precepto se refiere a entidades responsables de llevar ficheros regulados en la LPBCFT, y por tanto no incluye a todas aquellas entidades sujetas a la Ley, que pueden estar sometidas a la misma sin necesidad de estar obligadas a llevar determinados ficheros en ella regulados.

El art. 15.2 LPBCFT establece que será posible la creación por terceros distintos de los sujetos obligados de ficheros en los que se incluyan los datos identificativos de quienes tengan la condición de personas con responsabilidad pública con la exclusiva finalidad de colaborar con los sujetos obligados en el cumplimiento de las medidas reforzadas de diligencia debida. Quienes procedan a la creación de estos ficheros no podrán emplear los datos para ninguna otra finalidad distinta de la señalada en el párrafo anterior.

El art. 33.2 LPBCFT señala que los sujetos obligados podrán intercambiar información relativa a las operaciones a las que se refieren los artículos 18 y 19 con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla.

En relación con este último supuesto, el Real Decreto 304/2014, por el que se aprueba el Reglamento de la LPBCFT establece en su art. 61 que se pueden crear ficheros comunes para el cumplimiento de las obligaciones en materia de prevención, en determinados supuestos:

  1. Cuando concurran riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales y financiación del terrorismo, la Comisión, previo dictamen conforme de la Agencia Española de Protección de Datos (AEPD), podrá autorizar el intercambio de información sobre determinadas categorías de operaciones o clientes.
  2. Cuando las operaciones que hayan sido objeto de comunicación por indicio al Servicio Ejecutivo de la Comisión y posterior rechazo por el sujeto obligado, por sus características, pudieran ser intentadas en forma idéntica o similar ante otro sujeto obligado, la Comisión, previo dictamen conforme de la de la Agencia Española de Protección de Datos, podrá autorizar a los sujetos obligados el establecimiento, bien directamente o por medio de las asociaciones a la que pertenecieran, de ficheros comunes para el intercambio de esta información.

En consecuencia y respecto a la designación obligatoria de un DPO en los términos previstos en el artículo 34.1.j LOPDGDD, podemos entender que alcanzará a las entidades responsables de sistemas que fuesen creados por los responsables de ficheros regulados por la LPBCFT (como los del art. 15.2 y 33.3 LPBCFT), es decir del fichero común de intercambio de información circunscrito a las entidades que tengan la consideración de sujetos obligados de conformidad con lo previsto por el art. 2 LPBCFT.

En la 10ª Sesión Anual Abierta de la AEPD, de 4 de junio de 2018, se resolvió al respecto que, en cuanto a la exigibilidad de un DPO, como regla general sólo se considera que están incluidos en los supuestos del RGPD por los tratamientos específicos relacionados con prevención del blanqueo los gestores de los ficheros comunes previstos en el art. 33 LPBCFT. No obstante, muchos sujetos obligados deberían contar con un DPD como consecuencia de la actividad que desarrollan en general (https://www.aepd.es/documento/9-preguntas.pdf)

Por todo lo expuesto anteriormente, los sujetos obligados de la LPBCFT solo deben designar un DPO conforme al art. 34.1.j LOPDGDD, cuando además fuesen responsables de algún fichero común de intercambio de información, autorizado por la Comisión y previo dictamen conforme de la AEPD, en los casos que:

  1. Concurran riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales y financiación del terrorismo.
  2. Las operaciones que hayan sido objeto de comunicación por indicio al Servicio Ejecutivo de la Comisión y posterior rechazo por el sujeto obligado, por sus características, pudieran ser intentadas en forma idéntica o similar ante otro sujeto obligado, bien directamente el sujeto o por medio de las asociaciones a la que pertenecieran.

MÁS INFORMACIÓN (artículos de la normativa de prevención de blanqueo de capitales referenciados y relacionados con la protección de datos)

Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo:

Real Decreto 304/2014, por el que se aprueba el Reglamento de la Ley 10/2010:

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido