La publicación el pasado 13 de junio, por las Autoridades de protección de datos que se reúnen en el Grupo de Trabajo del Artículo 29 del Dictamen 14/2011, sobre la incidencia de la protección de datos personales en aspectos relacionados con la prevención del blanqueo de capitales y financiación del terrorismo, viene a plasmar la preocupación de las autoridades europeas de protección de datos por generar y/o reforzar sinergias entre las áreas de (i) prevención de blanqueo de capitales y financiación del terrorismo, y (ii) privacidad y protección de datos.
De la lectura del Dictamen 14/2011, podrían surgirnos una serie de cuestiones: ¿cómo impactarán a nivel nacional las 44 recomendaciones que recoge el Grupo de Trabajo del Artículo 29 en el anexo del mencionado Dictamen?, ¿se reflejarán estas recomendaciones en el futuro reglamento de desarrollo de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y financiación del terrorismo? o, ¿podrían incluso conllevar la necesidad de modificación de esta Ley?
En este sentido, debemos acercarnos al Dictamen y su anexo entendiendo su naturaleza de recomendaciones, que permitan fijar una posición y sirvan de guía práctica a los diferentes interesados en estas áreas a nivel de la Unión Europea, como son legisladores, entidades que deben reportar (se entenderían aquí recogidos los sujetos obligados conforme a la normativa española), reguladores, las Unidades de Inteligencia Financiera [en España, se trata del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC)], autoridades de supervisión y cualesquiera otros.
Debemos recordar que a nivel nacional está vigente desde finales de abril del pasado año la Ley 10/2010 (si bien está pendiente su desarrollo reglamentario), que regula los aspectos del área de prevención de blanqueo de capitales y financiación del terrorismo, y en la que se han incluido diferentes menciones sobre protección de datos, lo cual encajaría al menos en este sentido, en las recomendaciones del Grupo de Trabajo del Artículo 29.
De entre las extensas e importantes cuestiones tratadas en las 44 recomendaciones, ponemos el foco sobre las siguientes:
- La necesidad de abordar la regulación de los derechos de protección de datos y privacidad en las normativas de prevención de blanqueo de capitales y financiación del terrorismo desde un punto de vista positivo, lo cual se refleja en recomendaciones de transparencia, que conllevarán la puesta a disposición de políticas de privacidad y protección de datos públicas y documentadas específicas para informar a los clientes, p.e. de los sujetos obligados, como entidades financieras, notarios, entidades con actividad inmobiliaria, etc.
Debemos destacar de estas recomendaciones (i) lo exhaustivo de la descripción sobre los elementos a incorporar en las políticas de privacidad, que contendrían p.e. la referencia exacta a la normativa habilitante y fácilmente verificable, la identificación del responsable del tratamiento y también aquellos prestadores de servicios que sean encargados del tratamiento en caso de que se haya externalizado el proceso de identificación de clientes; (ii) la plasmación de la necesidad de "ser efectivo" en las medidas internas de una organización, integrando las exigencias de formación en materia de prevención de blanqueo de capitales y financiación del terrorismo (ya contempladas en la Ley 10/2010), con sus implicaciones en protección de datos.
- En materia de conservación de datos, el Grupo de Trabajo del Artículo 29, recomienda el establecimiento de períodos máximos de conservación para facilitar la calidad y actualización de los datos.
Tanto el artículo 25 de la Ley 10/2010, como la propia Directiva 2005/60, establecen periodos mínimos de conservación, con lo que habrá que estar atentos a la reacción de los legisladores nacionales y comunitarios en este sentido, de cara a evitar la conservación indefinida de la información sobre prevención de blanqueo de capitales y financiación del terrorismo.
- La mención de España como uno de los países en los que se está implementando formalmente la cooperación entre autoridades de prevención de blanqueo de capitales y de protección de datos.
En este sentido, España parte con ventaja en la aplicación de esta recomendación, ya que el Director de la Agencia Española de Protección de Datos (AEPD), forma parte de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias, siendo uno de los mecanismos recomendados por el Grupo de Trabajo del Artículo 29, para posibilitar la previa evaluación de nuevas normativas de prevención de blanqueo de capitales y financiación del terrorismo, desde una óptica garantista de los derechos de privacidad y protección de datos.
En conclusión, debemos estar atentos a cómo se reflejan por los interesados las recomendaciones recogidas en este nuevo Dictamen, y en concreto, cómo las entidades implicadas atenderán sus obligaciones de cumplimiento normativo desde un punto de vista global. Teniendo en consideración que deberán aprovechar sinergias entre áreas normativas, y en este caso, por su condición de sujetos obligados conforme a la normativa de prevención de blanqueo de capitales y financiación del terrorismo, combinando dichas obligaciones, con que sus clientes tengan garantizados sus derechos en materia de privacidad y protección de datos.
