La Ley de Blanqueo de Capitales y la normativa de protección de datos de carácter personal

por

publicado el 16 diciembre 2011

Categorías: Derechos Fundamentales / LOPD / Normativa / Protección de Datos

Dentro de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo nos encontramos con referencias a la normativa de protección de datos de carácter personal bastante interesantes y que no pueden pasarse por alto (menos si cabe si te dedicas al asesoramiento en protección de datos y quieres dar un buen servicio a tus clientes).

Primeramente hay que añadir que esta Ley traspone la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, normativa, tal y como su nombre claramente indica pretende establecer en nuestras empresas un sistema basado en los estándares internacionales para la lucha contra el blanqueo de capitales así como todas aquellos instrumentos utilizados para financiar el terrorismo. No todas las empresas deben implantar estos sistemas en su gestión sino aquellas que, por su actividad, son susceptibles de conocer o “sospechar” la realización de este tipo de actividades por sus clientes. Así el artículo 2 de la ley establece quiénes son los sujetos obligados a introducir estos procedimientos de gestión interna dentro de sus organizaciones, encontrándose entre la lista de sujetos obligados :

  • Los auditores de cuentas, contables externos o asesores fiscales.
  • Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles.
  • Los abogados, procuradores u otros profesionales independientes cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos, sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria.
  • Las personas que con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable presten los siguientes servicios a terceros: constituir sociedades u otras personas jurídicas; ejercer funciones de dirección o secretaría de una sociedad, socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones; facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos; ejercer funciones de fideicomisario en un fideicomiso expreso o instrumento jurídico similar o disponer que otra persona ejerza dichas funciones; o ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado y estén sujetas a requisitos de información conformes con el derecho comunitario o a normas internacionales equivalentes, o disponer que otra persona ejerza dichas funciones.
  • Los casinos de juego. (me imagino que tras la aprobación de la ley del juego dentro de esta descripción se incluirán las casas de apuestas o las empresas de juego online).

Como se puede observar, prácticamente todas aquellas actividades de asesoramiento fiscal, laboral, mercantil, etc. entran dentro de la aplicación de la normativa debiéndose acoger a la implantación de los sistemas de gestión interna correspondiente y a las auditorías establecidas en las mismas. Además de ello y a lo que nosotros nos interesa, cabe destacar la aplicación de la normativa de protección de datos en todo este sistema. La normativa de blanqueo de capitales nos obliga por ello, según el artículo 32 de la misma:

  • Crear un nuevo fichero para las finalidades establecidas en la normativa de blanqueo de capitales e inscribirlo en la AEPD.
  • La inclusión de los datos de carácter personal de los afectados estará exento tanto de la obligación de información como del consentimiento exigido en la LOPD en cumplimiento de la propia Ley, así como tampoco se prestará el consentimiento para la cesión de dichos datos a la autoridad competente en materia de lucha contra el blanqueo de capitales o financiación del terrorismo.
  • No serán de aplicación a los ficheros y tratamientos las normas contenidas en la LOPD referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en el artículo 32 de la Ley.
  • El fichero o ficheros creados por las empresas obligadas a ello deberán cumplir con las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.

Por ello, si en algunas circunstancias las asesorías (y muchas empresas) se libraron de la aplicación del nivel de seguridad alto por la “rebaja” que supuso la consideración de datos básicos las altas o bajas médicas así como el pago de la cuota sindical, ahora con esta normativa no tienen más remedio que implantar sistemas de nivel alto de seguridad.

Además de lo anterior, si lo que se están tratando son datos de personas con responsabilidad pública se deberá de tener lo siguiente:

  • Los sujetos obligados podrán proceder a la creación de ficheros donde se contengan los datos identificativos de las personas con responsabilidad pública, aun cuando no mantuvieran con las mismas una relación de negocios.
  • A tal efecto los sujetos obligados podrán recabar la información disponible acerca de las personas con responsabilidad pública sin contar con el consentimiento del interesado, aun cuando dicha información no se encuentre disponible en fuentes accesibles al público.
  • Los datos contenidos en los ficheros únicamente podrán ser utilizados para el cumplimiento de las medidas reforzadas de diligencia debida previstas en la ley.
  • Quienes procedan a la creación de estos ficheros no podrán emplear los datos para ninguna otra finalidad distinta.
  • No será preciso informar a los afectados acerca de la inclusión de sus datos en los ficheros.
  • En todo caso deberán implantarse sobre el fichero las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.
  • Hola Jorge…

    Llevo tiempo siguiendo vuestro blog y suelo estar bastante de acuerdo con lo que escribes, pero en esta ocasión no 😉

    Estoy estudiando la ley que comentas por ser sujeto obligado de la misma y no comparto que el artículo 32 obligue a crear ningún fichero… El otro día lo discutía en otro foro. Más bien lo que dice, según interpreto yo es que si se crearan ficheros, éstos se someterían al régimen de la LOPD, así como los tratamientos a los que obliga esta ley de prevención, pero además, rebaja la necesidad de contar con consentimiento del afectado, así como la de informar… es más, cuando tienes que realizar una comunicación de operación sospechosa –COS– al Servicio Ejecutivo, el artículo 24 prohíbe expresamente hacer partícipe de tal comunicación al afectado. Yo más bien interpreto que lo que viene a hacer la ley de prevención de blanqueo de capitales y financiación del terrorismo es obligar a realizar una revelación de datos de las del 11.2.a) de la LOPD: tendrás tu fichero de clientes y cuando alguno de ellos, bien sea porque te obligue el art. 18 –por algún indicio- o el 20 –de forma sistemática- deberás comunicar estos datos de forma obligatoria al órgano de control administrativo… Y para colmo, tampoco existen derechos ARCO. Y todas estas “excepciones” se aplican a todos los ficheros que cree el Servicio Ejecutivo en el ejercicio de las funciones que le otroga la ley de prevención de blanqueo… Personalmente, no crearía un fichero específico en una asesoría… si tuviera un indicio, “cedería” los datos del cliente “sospechoso” al Servicio Ejecutivo, y punto (salvo mejor opinión 😉 ).

    Por otra parte, se autoriza por el art. 15, la creación de ficheros para tratar datos de personas con responsabilidad pública, ya sea por los propios sujetos obligados como por terceros, exclusivamente para las finalidades contempladas en la norma, y nuevamente se rebaja la necesidad de contar con el consentimiento de los afectados. Y por último, el 43 crea un fichero de titularidad pública “de Titularidades Financieras” bajo la responsabilidad de la Secretaría de Estado de Economía…

    Un abrazo y gracias por la entrada, como siempre…

    Luis Salvador Montero

  • Makopil

    Estaba acojonado con la entrada, con eso de crear ficheros de nivel alto para cumplir con la ley de blanqueo. Menos mal que el primer comentarista ha introducido un poco de sensatez. Completamente de acuerdo, tengo mi fichero de clientes (si es que lo tengo, y no son meros contactos de personas jurídicas o empresarios profesionales), y de vez en cuando le delato sin avisarle.

  • Álvaro Del Hoyo

    Buenas,

    Interesante debate que recupera otro muy similar en el que ando metido desde hace años: la conservación de datos de tráfico y localización (aunque en este caso no hay un fichero intermedio entre los de los sujetos obligados y el fichero de investigación de terrorismo y otras formas graves de delincuencia de las FFCCSE.

    La cuestión es si estamos ante un fichero de titularidad pública del que son responsables de tratamiento no sólo el SEPBLAC, sino también los sujetos obligados, o si por el contrario existe un fichero de titularidad pública del SEPBLAC además de n ficheros de titularidad privada de los sujetos obligados.

    En mi opinión, la respuesta adecuada es la segunda.

    Dicho lo cual creo que ni uno ni otro tenéis razón en cuanto a lo de la inscripción del fichero, pues depende.

    El exceso de segmentación de ficheros puede ser tan perjudicial como el exceso en la agrupación de los mismo.

    El criterio que suelo seguir es que con respecto a un mismo tratamiento se de identidad al menos en cuanto a datos personales tratados, finalidad y cesiones de datos, e incluso en algunos casos añado la identidad en cuanto al nivel de seguridad para facilitar la trazabilidad fichero-sistemas de información-nivel de seguridad.

    Dicho lo cual, yo me inclino como Jorge por un fichero específico.

    No obstante, por ejemplo el BBVA ha optado por un fichero específico, no así el Banco Santander, pero eso no quiere decir que Banco Santander esté incumpliendo.

    http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/resultado_privada_avanzada-ides-idphp.php?cfichero=MjExMjE1MDU4MQ==

    (Continúa)

  • Álvaro Del Hoyo

    (sigue)

    Por otra parte, que se cree un fichero de titularidad pública por parte del SEPBLAC no quiere decir que los sujetos obligados

    Desgraciadamente para Luís, y demás sujetos obligados, igual que Jorge entiendo que aplican las medidas de seguridad de nivel alto, pues el art. 32 Ley 10/2011 creo que no permite otra interpretación.

    Ello no quiere decir que entonces todos los sistemas de información de los sujetos obligados deban alcanzar el nivel alto de seguridad, pues se hace bueno considerar lo establecido en el art. 81.8 RLOPD.

    Para racionalizar el cumplimiento de la normativa yo recomendaría establecer un sistema en el que se registren y se gestionen las operaciones sospechosas, y desde el que en su caso se comuniquen al SEPBLAC o con las FFCCSE.

    Gran post y posterior debate de nuevo

  • Álvaro,

    Me da la sensación de que te has ido a ver el caso de las “grandes”… Mientras que Jorge, en su entrada, hablaba más bien de todo quisqui… en concreto, de las asesorías, abogados y demás resto de “sujetitos obligados” … y en este caso, me da la sensación de que lo correcto, es como muy bien dices en tus comentarios, no segmentar en exceso ¿no crees?…

    En cualquier caso, por tus comentarios, parece que aunque veladamente, vienes a darme la razón de que no existe obligación como afirmaba Jorge de crear un nuevo fichero…. Por cierto, Álvaro, como el blog de Iurismática no iba bien cuando lancé mi comentario, escribí un post en el mio (www.luissalvador.com) y allí, se virtieron también interesantes comentarios al respecto… Si tienes un rato, pásate y me cuentas 😉

    Y por penúltimo… te recuerdo que ahora que ya acabé el curso, tenemos pendiente esa charla sobre aspectos “raritos” de la PBC que me prometiste 😉

    Un fuerte abrazo y feliz año a los dos (Jorge y AHM ;))))

    @LuisSalvadorMon

  • Jorge Campanillas Ciaurriz

    Buenas!

    Interesante discusión!

    yo no soy partidario tampoco de la segmentación en exceso, a veces parece que cuanto más ficheros se inscriban mejor se aplica la LOPD y creo que es contraproducente y un problema posterior de gestión; pero otra cosa es que la normativa nos proponga, como es el caso, o como apunta Alvaro la de retención de datos, a crear ficheros específicos; y este a mi juicio, lo es y más, como apunta Alvaro y la ley si tienes que aplicar un nivel alto de seguridad.

    Seguimos!

  • Álvaro Del Hoyo

    Buenas, Luís

    Dónde diferencia la ley entre los “grandes” y los “pequeños” entre todos los sujetos obligados posibles?

    Tal y como insiste Jorge sobre mi comentario sobre el debate agregación excesiva vs segregación excesiva, en este caso como en el de las telcos con la ley de conservación de datos de tráfico y localización, creo que es mejor tener inscrito y trazado un nuevo fichero y los sistemas de información empleados para el tratamiento de los datos incluidos en el mismo fichero. Ello facilita la gestión y unas mayores garantías de cumplimiento.

    Cuando te vengas por Madrid avisa y tratamos de vernos para esa charla que te debo. Quizás no lo dije antes, pero el precio por ello será una cañita ;-p

  • Álvaro Del Hoyo

    Luís,

    Mira el Registro AEPD y comprueba cómo lo tienen hecho BBVA (fichero específico) y el Santander (sin fichero específico).

    Ahora imagina que eres el responsable de seguridad del banco o un auditor, ¿en qué caso crees que tendrías más fácil identificar en qué sistemas se tratan datos con la finalidad de cumplimiento de la LPBC?

    ¿Tendrías que aplicar medidas de nivel alto a todos los sistemas en que se traten datos relativos a clientes?

  • Perdón por el lapsus temporal, pero como os dije en Twitter, lo de escribir comentarios desde Blackberry, cuesta, y más si es una biblia como la que os dejo más abajo 😉

    Álvaro, efectivamente, la Ley no diferencia entre grandes y pequeños… vamos encontrando “pequeños” acuerdos entre vuestra postura y la mía… Pero la vida real, si que lo hace… Entiendo que no es lo mismo el BBVA o el BSCH que mi despacho en el que en tres años, no he tenido ningún caso de blanqueo de ningún tipo… o en las PYMES en las que llevo trabajando 16 años, en las que, por gracia o por desgracia, tampoco me he encontrado ningún caso…

    La Ley te obliga a que prestes una diligencia especial y realices una series de comprobaciones que te llevarán a recabar cierta información de tus clientes y de sus operaciones… En mi experiencia -desconozco con tipo de clientes trabajáis vosotros- no es habitual como ya he dicho encontrarme con supuestos que deba declarar, por lo que al final, mis procedimientos de control sobre nuevos clientes y sobre antiguos y sus operaciones, se limita a solicitar algunas informaciones o algunas documentaciones, que en el 99,99999999% de los casos, se quedarán en eso, en documentos recabados, y documentos que tienen una serie de datos que no me obligarían a elevar el nivel de mi fichero… Pongo como ejemplo el -si mi actividad se dirige a clientes que realizan actividades profesionales o empresariales- solicitarles un 036 o un 037 de alta en la actividad en cuestión… Según vosotros, ¿debería crear un fichero para ello?… Si detecto un cliente que tiene una operación sospechosa y que tengo que notificar al Servicio Ejecutivo, entonces si generaré un documento de notificación (en mi opinión, realizaré una cesión de un registro de mi fichero de clientes amparada en el 11.2 a) LOPD y deberé guardar ese documento de notificación con sus anexos durante 10 años… Pues bien, sigo opinando que deberé revisar mi procedimiento de expurgo de expedientes para “alargar” el plazo de conservación -o de bloqueo- de esos HIPOTÉTICOS expedientes que deberé comunicar… Pero de ahí, a crear directamente un fichero “por si acaso”, me parece que hay “cierta” diferencia… Y desde luego, el artículo 32 no establece esa obligación como me parece que afirmaba Jorge en su entrada, sino más bien lo que dice es que los ficheros QUE SE CREEN -si es que se crean- y los tratamientos que se generen deberán aplicar medidas de nivel alto -o sea que al Servicio Ejecutivo, no se le envíen faxes ;)-… Seguramente el BBVA o el BSCH, tengan bastantes más casos que mi pobre -¿por desgracia?- despacho, y por ello, sigo defendiendo que en estos casos, yo desde luego, no crearía un fichero específico (por lo que tu afirmabas que la excesiva segregación tampoco es buena, y porque la finalidad principal de mi fichero de clientes es el mantenimiento de una relación comercial, sobre la cual, viene la LPB y me impone una finalidad “accesoria”: que esa relación comercial, esté dentro de una serie de “parámetros” para considerarla legal, y si no, lo notifique a un órgano administrativo…

    Igual que no se me ocurre -incluso critico cuando los veo por ahí- crear un fichero para incluir los clientes a los que le venda más de 3.005 euros en un mismo ejercicio fiscal, aunque tenga obligación de incluirlos en un 347 y notificarlo a la AEAT, no crearía ese fichero específico “para cumplir con la LPBC” porque entiendo que es una cesión tangencial a la finalidad del propio fichero de clientes… aunque entiendo que algunas entidades sí que prefieran tenerlo desglosado por el volumen de datos tratados (el ejemplo de la entidad bancaria es uno de ellos, o el de una aseguradora… y otros muchos), pero no los asesores, contables, fiscalistas, auditores, etc… o al menos los pequeños… Y eso desde luego, es lo que afirmaba Jorge en su entrada original.

    En mi entrada en el blog a la que te remitía ayer, hubo un comentario que enfocaba a que fruto de mi notificación, se podría dictaminar por el órgano administrativo una sanción administrativa o un ilícito penal… Bien, del 347 que aludía antes también, y no por ello tengo que aplicar por definición medidas de nivel alto a mi fichero de clientes, ¿no?… Es decir, que el que se dictamine una sanción administrativa por el órgano correspondiente o un delito por el juzgado que le toque, quedará recogido en los ficheros de dicho órgano o de la Administración de Justicia, no en los míos… ¿O es que el Servicio Administrativo me va a notificar a mí que a mi cliente le han pillado “llevándoselo” puesto? Imagino que no…. ¿entonces?

    Y por último: no lo comparo con el fichero de datos de comunicaciones que la ley obliga a conservar a los operadores, puesto que esos datos, aunque solo se conserven y no haya necesidad de comunicar a la autoridad judicial antes de que transcurra el plazo de eliminación, de por sí exigen por el propio RLOPD la aplicación de medidas de nivel medio reforzado según el 81.4… ¿no?

    Un abrazo a los dos y gracias por el debate que, efectivamente es enriquecedor…

    @LuisSalvadorMon

  • Hola:

    Excelente debate, pero por poco que me guste, creo que no necesariamente el 32 obliga a crear un nuevo fichero, sólo dice que los ficheros que se creen para cumplir con esa norma deberán cumplir una serie de requisitos, entre otros el del 32.5.

    Ahora bien, si no se crea, esos datos se incorporarán al fichero/tratamiento común de clientes que podamos tener, quedando por lo tanto el mismo afectado bajo el régimen de esta norma.

    Entiendo de esta lectura que es a elección del responsable del fichero como hace el tratamiento de los mismos, y parece que lo más eficiente es tenerlo por separado, pero es libre.

    Un saludo

  • Álvaro Del Hoyo

    Buenas, Luís

    Dices que no se te ha dado el caso directamente ni a PYMES de tu círculo, pero antes de la LPBC estabais haciendo comprobaciones, habíais recibido formación, estabais realizando comprobaciones para identificar operaciones sospechosas?

    Realizar las meras comprobaciones a la “caza” de operaciones sospechosas ya implica tratamiento, que como he dicho puede no ser necesario inscribir un fichero específico y “tirar” con el fichero de clientes (pienso que también el de clientes potenciales, en los casos en los que se ha llegado a aportar documentación aunque finalmente no se hayan prestado servicios finalmente). Lo mismo pasará cuando, aún y no habiendo operaciones sospechosas a tus ojos, tengas que cumplir con las obligaciones de comunicación sistemática y resulte que se te había “escapado” alguna durante el examen especial.

    Cierto es que puede ser más discutible que mientras no existen datos de operaciones sospechosas y sus respectivas comunicaciones se deba subir el nivel de seguridad a alto, pero en cualquier caso existe tratamiento, aplica la LOPD y deben cumplirse los principios por ésta establecidos.

    En el ejemplo que planteas con respecto al modelo 347 estás en lo cierto, no es necesario inscribir un fichero específico, pero has de tener en cuenta que el nivel de seguridad del fichero de clientes no sube al nivel alto, sigue siendo el mismo.

    ¿Y por qué? Porque con este tratamiento estás dando cumplimiento a un deber legal de notificación de hechos con relevancia tributaria, que indudablemente, pueden ser indicios de un delito fiscal, pero en este caso no se te pide el análisis de información, tratamiento (examen especial), toma de decisión (indicio o certeza) y acción (comunicación) al objeto de identificar indicios o casos flagrantes (certeza) de infracción administrativa o incluso de delito fiscal, cosa que sí sucede en el caso de los tratamientos de los datos de clientes o incluso de clientes potenciales para dar cumplimiento a la LPBC.

    Por ello tu ejemplo no encaja en el supuesto de ficheros de nivel alto previsto en el art. 81.3.b RLOPD (ficheros que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas), pero sí lo hace el tratamiento para conformidad legal con la LPBC.

    Mira los artículos 17, 18 y 20 LPBC, aparte del art. 32 LPBC que ya lo deja claro.

    Un saludo

  • Álvaro Del Hoyo

    Buenas, David

    Nadie ha dicho lo contrario, salvo Jorge en el post aunque después ha reculado un poco tomando por buen mi primer comentario y precisándolo ;-p

    En mi primer comentario ya dejé claro que no es necesario un nuevo fichero, si bien no obstante si recomendable pues no inscribir un fichero específico puede dificultar la gestión de la conformidad legal con la LOPD y en este caso al tiempo con la LPBC (como aclaró después Jorge)

    Mira los ficheros registrados por el Banco Santander en el Registro General de Protección de Datos de la AEPD y trata de identificar cuáles de todos ellos que contengan datos de clientes o clientes potenciales deberían ser de nivel alto por efecto de la LPBC.

    Imagina que además tuvieses el inventario de sistemas de información del Banco, ¿en cuáles de todos ellos crees que se debiera aplicar el nivel alto de seguridad por efecto de la LPBC?

    Pienso que es mejor declarar un fichero específico, en este caso como en el caso de las telcos y la LCDTL, lo mismo que creo que no en todos los sistemas de información que traten datos de clientes o clientes potenciales se deba subir hasta el nivel alto, sino sólo en los dedicados específicamente a recopilar los inputs para el análisis y los resultados del análisis del examen especial, así como para realizar y conservar las comunicaciones realizadas al SEPBLAC y todos los registros acaecidos entre los inputs y las comunicaciones a efectos de . Hago bueno aquí aquello a lo que nos invita el artículo 81.8 RLOPD, por ejemplo estableciendo tablas de bases de datos específicas dentro de un sistema de base de datos, o buzones de correo electrónico específicos para la gestión de las obligaciones LPBC, de modo que generar los registros de accesos del art 103 RLOPD a informaciones LPBC (datos concretos, buzones de correo, o correos individualmente considerados) no me tire abajo el sistema de bases de datos o el servidor de correo electrónico, o no incurran en costes extraordinarios de hardware (procesamiento, almacenamiento) o similares por no haber segregado adecuadamente los sistemas.

    Un saludo

  • Álvaro Del Hoyo

    Buenas, Luís

    Sé que da rabia tener que cumplir esta normativa por su grado de exigencia, al tiempo que ver cómo las telcos en un caso que caía también claramente en el supuesto del art. 81.3.b RLOPD se salieron con la suya teniendo otra disposición específica que reducía el cumplimiento obligado de las medidas de seguridad de nivel alto a tan sólo el art. 103 RLOPD.

    Al menos está es mi opinión, que puede no ser la correcta, pero saber que costará convencerme ;-p

    Un saludo

  • Vale Álvaro… conste que como te dije esta mañana en twitter no había visto tus réplicas…

    Releidos los artículos 17, 18 y 20 de la LPBC, me reafirmo en todo lo dicho (anda que no soy yo cabezón tampoco ;)) Pero podría llegar a “ceder” algo (por aquello de no perder la amistad contigo y disfrutar algún día de esa caña que te ofreciste a pagarme, jajajaja. Si que es cierto que podrías crear un fichero con las notificaciones que tuvieras que realizar (no con todas las investigaciones)… Es decir, tu podrías seguir como yo afirmaba con tu fichero de clientes… revisarías las categorías de datos de ese fichero, y si no incluyes nada que te haga elevar el nivel, ni lo modificas… exclusivamente cambias tanto en Documento de Seguridad como en Notificación a la AEPD la “posible” cesión al Servicio Ejecutivo de la Comisión, y si en algún momento, fruto del examen especial te ves obligado a notificar alguna operación, esas notificaciones que incluirán, al menos, la información establecida en el artículo 18.2, esa notificación la incluyes en un fichero “específico” y a ese sí, en virtud del artículo 32 le deberás aplicar nivel alto… Y en la práctica, podrás conservar sólo soporte papel de esas notificaciones y aislarlo del resto del sistema de información para no “perjudicar” con ese nivel al resto… (yo ésto lo recomiendo a mis clientes -pequeñitos y con pocas posibilidades de segregar sistemas de información automatizados- respecto de otros ficheros que elevarían el nivel de todo el sistema de información de la empresa). Pero sólo en ese caso de que tengas operaciones que notificar…

    Incluso en el caso recogido del artículo 20 sobre comunicaciones sistemáticas, tengo algún cliente (corredurías de seguros) que llevan tiempo realizándolas “en blanco”, es decir, que no ha tenido que incluir a ningún cliente ni ninguna operación con indicios de ningún tipo… Entonces, ¿porqué crear un fichero -encima de nivel alto- para guardar una colección de “folios en blanco” sin que ni siquiera contengan datos personales?

    Quizá, como me dijiste en otra ocasión anterior, cuando se publique el reglamento -si se llega a publicar, porque “con tanto recorte” a ver quien es el valiente que le mete más burocracia a las pobres empresas- todo este debate, quede en nada porque dicho reglamento venga a clarificar muchas de las obligaciones que la Ley no matiza lo suficiente…

    Un abrazo, y de nuevo perdón por el lapsus temporal… he estado contestando intervenciones sobre los usos del censo electoral y no he podido contestarte antes ;)…

    PD: Jorge, en la próxima revisión del blog, por favor, contemplad la posibilidad de incluir/activar el pluggin de aviso de nuevos comentarios ;). Abrazo también para tí… y de nuevo gracias por el enriquecedor debate generado.

    @LuisSalvadorMon

  • Álvaro Del Hoyo

    Buenas, Luís

    Como te decía mientras no salte una operación sospechosa no hace falta aplicar medidas de nivel alto, aunque sí cumplir con el resto de obligaciones LOPD + LPBC. Basta con que se comunique internamente una operación sospechosa, y aunque finalmente se descarte revestir tal carácter y no ser comunicada al SEPBLAC, para tener que aplicar las medidas de nivel alto.

    Olvidas los artículos 25 y 26 LPBC.

    No has de conservar tan sólo las notificaciones al SEPBLAC, sino toda la documentación relativa a las operaciones sospechosas generadas desde que son “negociadas” con los clientes potenciales y clientes, comunicadas como operaciones sospechosas internamente y,en su caso, hasta que son comunicadas al SEPBLAC.

    Has de conservar toda la documentación que demuestre tu debida diligencia (por ejemplo comunicación interna aunque no llegue a comunicación externa) y documentación sobre las operaciones marcadas y/o notificadas como sospechosas

  • Álvaro Del Hoyo

    Buenas, Luís

    La AEPD está de nuestro lado. Que no sé si es bueno o malo ;-p

    “Necesidad o no de inscribir fichero sobre ley de blanqueo de capitales. La Ley 10/2010 impone a los sujetos obligados por la misma una serie de obligaciones tendentes a la prevención del blanqueo de capitales y la financiación del terrorismo que necesariamente supondrá el tratamiento de datos de carácter personal (deberes de diligencia debida, análisis especial de
    operaciones, comunicación al SEPBLAC, etc.).

  • Alvaro Del Hoyo

    (continúa)
    La naturaleza de estas obligaciones y las especialidades exigidas por la Ley 10/2010 implicarán la creación de ficheros específicos para las mismas.
    Respecto de los datos contenidos en los ficheros operarán en muchos casos excepciones en la aplicación de las normas generales de protección de datos, sobre todo cuando haya de atenderse a la prohibición de revelación, contenida expresamente en las normas de prevención de blanqueo, que podrá afectar al
    deber de información o a la respuesta que deba darse a las solicitudes de ejercicio de los derechos.
    Sin embargo ello no implica que los ficheros estén excluidos de la aplicación de la LOPD. Por el contrario, la Ley 10/2010 prevé expresamente que dicha Ley Orgánica es de aplicación.
    Por ello, deberán cumplirse las previsiones de dicha Ley y, en particular las relativas a la notificación del fichero para su inscripción”