La protección de datos y la prevención del blanqueo de capitales, hermanos normativos al fin, tienen mucho en común. Ambas normas imponen una serie de obligaciones a empresas con características especiales, dígase sujetos obligados en el caso de la prevención del blanqueo de capitales, y empresas que traten datos de carácter personal en el caso de la protección de datos. En la práctica coincide que los sujetos obligados son organizaciones que deben tratar datos de carácter personal para cumplir adecuadamente con las obligaciones de prevención de blanqueo de capitales. Otro punto en común es que en ambas materias se establecen sanciones de elevada cuantía por las infracciones previstas.
La observancia de la normativa protección de datos en el cumplimiento de las normas de prevención de blanqueo de capitales se ha convertido en una necesidad para cualquier sujeto obligado. La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y financiación del terrorismo (en adelante LPBC), establece que el tratamiento de datos personales realizado para el cumplimiento de las obligaciones establecidas en dicha norma se encuentra amparado por lo dispuesto en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre (en adelante LOPDGDD), y en el artículo 6.1 c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
Cabe destacar que el RGPD no constituye un freno para la investigación y cumplimiento de la normativa específica de prevención del blanqueo de capitales, pero sí una exigencia incuestionable del sistema de tratamiento de los datos cuando se utilicen con fines de prevenir acciones de blanqueo.
¿Cuál es la legitimación para tratar datos con fines de prevención del blanqueo?
La legitimación para tratar datos en el marco de la prevención del blanqueo es el cumplimiento de obligaciones legales con base al artículo 32 de la LPBC.
¿Se requiere el consentimiento de interesado para tratar datos con fines de prevención del blanqueo?
De acuerdo con lo establecido en el artículo 32.2 de la LPBC, no se requerirá el consentimiento del interesado para el tratamiento y/o comunicación de datos que resulte necesario para el cumplimiento de las obligaciones contenidas en el Capítulo III de la LPBC, es decir las relativas a las medidas de diligencia debida, ya sean simplificadas o reforzadas, que se deban aplicar.
Por su parte el artículo 32 bis. 1 también es claro al afirmar que “no precisa el consentimiento del interesado”, el tratamiento de datos derivado del cumplimiento de las obligaciones de la LPBC, en particular cuando se realice para llevar a cabo el preceptivo examen especial y las comunicaciones por indicio o sistemáticas.
De igual forma, no se requerirá el consentimiento de los interesados para la comunicación de datos a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o sus órganos de apoyo puesto que se prevé en la norma una obligación de colaboración de los sujetos obligados con estas entidades.
¿Debe informarse al interesado de que tratamos sus datos para prevenir el blanqueo de capitales?
De acuerdo con el artículo 32.3 de la LPBC, es preciso, antes de que se establezca la relación de negocios o la realización de una transacción ocasional, que los sujetos obligados faciliten a interesados la información requerida en los artículos 13 y 14 del RGPD y en el artículo 11 de la LOPGDD. Dicha información contendrá, en particular, un aviso general sobre las obligaciones legales de los sujetos obligados con respecto al tratamiento de datos personales con fines de prevención del blanqueo de capitales y la financiación del terrorismo.
No obstante lo anterior, el principio general de transparencia en este ámbito no es absoluto. Si bien se debe facilitar la información general al momento de establecer la relación de negocio, art 24 de la LPBC prohíbe que los sujetos obligados y sus directivos o empleados revelen al cliente ni a terceros que se ha comunicado información al Servicio Ejecutivo de la Comisión, o que se está examinando o puede examinarse alguna operación que pudiera estar relacionada con el blanqueo de capitales o con la financiación del terrorismo. En este sentido queda claro que se ofrecerá información general, pero no aquella especial relacionada con las obligaciones concretas de comunicación. La ley prevé que esta prohibición no incluirá la revelación a las autoridades competentes, incluidos los órganos centralizados de prevención, o la revelación por motivos policiales en el marco de una investigación penal.
¿Se debe evaluar el impacto del este tratamiento en la privacidad de los interesados?
El artículo 32.4 de la LPBC establece imperativamente la obligatoriedad de realizar una evaluación de impacten la protección de datos. De esta evaluación deberán resultar las medidas técnicas y organizativas reforzadas con la idoneidad suficiente como para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Será preciso además que las medidas implantadas garanticen la correcta trazabilidad de los accesos y comunicaciones de los datos.
¿Qué sucede con el ejercicio de derechos de protección de datos?
En los tratamientos de datos con fines de prevención de blanqueo no será de aplicación lo referido al ejercicio de los derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición, es decir que, si se recibe por parte de un interesado una solicitud de derechos, la empresa deberá responder poniendo de manifiesto la imposibilidad de ofrecer información o bien de dar curso al/los derechos solicitados, cuando opere esta prohibición. En los casos en los que no aplique una prohibición legal, se facilitará la información solicitada en la medida permitida por la norma. Debe tenerse en cuenta que existen plazos legales de conservación de documentos, así como que se trata de información no rectificable, por lo que el ejercicio de derechos de los interesados encuentra límites especiales en este tipo de tratamientos.
¿Cuánto tiempo se deben conservar los datos relacionados con el cumplimiento de la LPBC?
El responsable tiene obligación legal de conservar los documentos relativos al cumplimiento de sus obligaciones de la LPBC. Los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones de la LPBC, procediendo tras el mismo a su eliminación. Transcurridos cinco años desde la terminación de la relación de negocios o la ejecución de la operación ocasional, la documentación conservada únicamente será accesible por los órganos de control interno del sujeto obligado, con inclusión de las unidades técnicas de prevención, y, en su caso, aquellos encargados de su defensa legal.
El sistema de archivo de documentación deberá asegurar la adecuada gestión, de la documentación, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las autoridades. Esto implica que se deberán aplicar medidas técnicas y organizativas con enfoque de riesgo, que garanticen la confidencialidad, integridad, disponibilidad y resiliencia de la información.
Mantener un plan de prevención de blanqueo de capitales efectivo sin la coexistencia de un plan de protección de datos supone un riesgo de que se materialicen daños relacionados con confidencialidad, disponibilidad e integridad de aquella información que permite cumplir las obligaciones de la LPBC. Estos daños podrían acarrear sanciones por partida doble para los sujetos obligados, tanto por la normativa de prevención de blanqueo como por la de protección de datos. La clave para evitar perjuicios económicos y reputacionales está en no separar a los hermanos normativos.