La protección de datos afecta a todos los procesos de la empresa que impliquen un tratamiento de datos personales. Desde la selección de un candidato para cubrir un puesto de trabajo, hasta los datos que se manejan de clientes particulares, o incluso la seguridad de las instalaciones se ven afectadas por esta normativa.
Sin embargo, existen algunas normas que modifican en parte el Régimen General de la Protección de Datos, estableciendo obligaciones particulares para determinados sectores. Un claro ejemplo, es la prevención de blanqueo de capitales.
La normativa de prevención del blanqueo de capitales y de la financiación del terrorismo, obliga a los sujetos afectados por dicha norma a comunicar al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), órgano que vigila y controla en España los riesgos relacionados con el blanqueo de capitales y la financiación del terrorismo, cualquier operación que presente indicios de ser constitutiva de estos actos.
De ahí que sea tan importante conocer qué es la prevención del blanqueo de capitales y la financiación del terrorismo, cual es su finalidad, qué relación tiene con la protección de datos de carácter personal, quienes están obligados y establecer las reglas y procedimientos necesarios para el cumplimiento de aquello que se establece en la legislación vigente en relación a la prevención y detección del blanqueo de capitales.
Se entiende así por Blanqueo de capitales, el dinero que procede de actividades ilegales o delictivas, como el terrorismo, tráfico de drogas, o contrabando; esto lo que da lugar al blanqueo de capitales cuando dicho dinero intenta hacerse pasar como si fuera de forma legal, de manera que parezca que proviene de una fuente lícita. Cuestión distinta es el llamado dinero negro que no ha sido declarado a Hacienda y puede suponer, a partir de determinadas cantidades, un claro indicio de la existencia de un delito tributario. En este sentido, es necesario advertir que la actual Ley sobre el blanqueo de capitales, considera todos los delitos como subyacentes al blanqueo de capitales, incluido este último.
Por su parte, se considera Financiación del Terrorismo, el suministro, el depósito, la distribución o la recogida de fondos o bienes, por cualquier medio, de forma directa o indirecta, con la intención de utilizarlos o con el conocimiento de que serán utilizados, íntegramente o en parte, para la comisión de cualquiera de los delitos de terrorismo tipificados en el Código Penal y aún cuando el suministro o la recogida de fondos o bienes se hayan desarrollado en el territorio de otro Estado.
En lo que respecta a su finalidad, la prevención del blanqueo de capitales y de la financiación del terrorismo intenta prevenir e impedir la utilización del sistema financiero y de otros sectores de la actividad económica para blanquear los capitales procedentes de cualquier tipo de participación en la comisión de un delito.
Desde un punto de vista normativo, esta materia está regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, por el Real Decreto 925/1995, de 9 de junio, por el cual se aprueba el reglamento de la Ley 19/1993, de 28 de diciembre, y por la Ley 12/2003, de 21 de mayo, de bloqueo de la financiación del terrorismo.
Además, el pasado 17 de julio de 2013, se constituyó en Madrid la Asociación de Expertos en Prevención de Blanqueo de Capitales de España, con el nombre de INBLAC (Instituto de Expertos en Prevención de Blanqueo de Capitales), formada por académicos y profesionales preocupados por los temas de prevención de Blanqueo y cuya pretensión es establecer las relaciones institucionales con la Autoridades Nacionales e Internacionales competentes en materia de prevención del blanqueo de capitales y financiación del terrorismo, y especialmente con el SEPBLAC, dotar patrones de calidad al ejercicio de la profesión, y en definitiva constituirse como foro de debate e intercambio académico y profesional en temas de blanqueo de capitales.
En cuanto a los sujetos obligados por la normativa, determinadas personas están obligadas a dar información sobre actividades que consideren que pueden estar vinculadas o relacionadas con el blanqueo. Así, tienen esta obligación, entre otros, las instituciones financieras (Entidades de Crédito, aseguradoras, gestoras de inversión, de garantía recíproca, entidades de pago y de dinero electrónico), los promotores e intermediarios en la venta de inmuebles, asesores fiscales, auditores, abogados, procuradores, notarios, registradores, casinos de juego o anticuarios. Además, también destacan como sujetos obligados, cualquiera que comercie profesionalmente con bienes, si los cobros o pagos son iguales o superiores a 15.000 euros y se efectúan en metálico, mediante cheques bancarios al portador denominados en cualquier moneda o por cualquier otro medio físico, incluidos los electrónicos, concebido para ser utilizado como medio de pago al portador.
Asimismo, la norma impone nuevas obligaciones a las asociaciones y las fundaciones. El artículo 39 prevé que las asociaciones y las fundaciones deban conservar durante el plazo mínimo de 10 años, los registros con la identificación de todas las personas que aporten o reciban a título gratuito fondos o recursos. Estos registros estarán a disposición del Protectorado, de la Comisión de Vigilancia de Actividades de Financiación del Terrorismo, de la Comisión de Prevención del Blanqueo de Capitales e Infracciones monetarias y del resto de organismos judiciales y administrativos competentes en el ámbito de la prevención del blanqueo de capitales y del terrorismo.
En relación con la protección de datos de carácter personal, dentro de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, nos encontramos con referencias a la LOPD bastante interesantes, establecidas en el artículo 32 de la misma:
- El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de esta Ley se someterán a lo dispuesto en la LOPD y su normativa de desarrollo, debiendo cumplir con las medidas de seguridad de nivel alto previstas en dicha normativa de protección de datos.
- El tratamiento de datos de carácter personal estará exento tanto de la obligación de información como del consentimiento exigido en la LOPD en cumplimiento de la propia Ley, así como tampoco se prestará el consentimiento para la cesión de dichos datos a la autoridad competente en materia de lucha contra el blanqueo de capitales o financiación del terrorismo.
- No serán de aplicación a los ficheros y tratamientos las normas contenidas en la LOPD referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en el artículo 32 de la Ley.
Además de lo anterior, si lo que se están tratando son datos de personas con responsabilidad pública se deberá de tener lo siguiente:
- Los sujetos obligados podrán proceder a la creación de ficheros donde se contengan los datos identificativos de las personas con responsabilidad pública, aun cuando no mantuvieran con las mismas una relación de negocios.
- A tal efecto los sujetos obligados podrán recabar la información disponible acerca de las personas con responsabilidad pública sin contar con el consentimiento del interesado, aun cuando dicha información no se encuentre disponible en fuentes accesibles al público.
- Los datos contenidos en los ficheros únicamente podrán ser utilizados para el cumplimiento de las medidas reforzadas de diligencia debida previstas en la ley.
- Quienes procedan a la creación de estos ficheros no podrán emplear los datos para ninguna otra finalidad distinta.
- No será preciso informar a los afectados acerca de la inclusión de sus datos en los ficheros.
- En todo caso deberán implantarse sobre el fichero las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.
El capítulo II de la Ley trata las medidas de diligencia debida (normales, simplificadas y reforzadas) que deben adoptar los sujetos obligados, entre las que destacan las obligaciones de identificación, tanto formal como real, de la persona que directa o indirectamente, sea titular real del capital que se pueda estar pretendiendo blanquear.
Estas medidas de identificación y averiguación deberán estar recogidas en un manual o protocolo escrito, sobre el que se deberá formar a los empleados, y variarán en función del riesgo y dependiendo del tipo de cliente, relación de negocios, producto u operación.
No obstante, en lo que respecta al nivel de seguridad del fichero, debe tenerse en cuenta lo establecido por el art. 81.8 del RLOPD que hace referencia a la posibilidad de segregación de datos de un mismo fichero con distintas medidas de seguridad aplicables “(…) cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad”.
En conclusión, no basta con conocer la norma de protección de datos, sino que se deben conocer y aplicar las particularidades específicas establecidas por las normas sectoriales.
Esperamos que este artículo os haya parecido interesante y os hay servido para conocer un poco más sobre la prevención del blanqueo de capitales y su relativa vinculación con la protección de datos de carácter personal.
Áudea Seguridad de la Información
Cristina Sandoval, Departamento derecho TIC
www.audea.com
www.cursosticseguridad.com