Saltar al contenido

Protección de Datos y AML: Consideraciones Comunes y Posibles Incompatibilidades. A cargo de Laura Fernández.

AD 140/2021

PROTECCIÓN DE DATOS Y AML: CONSIDERACIONES COMUNES Y POSIBLES INCOMPATIBILIDADES

 

      I.         Resumen

En determinadas situaciones, la normativa de prevención del blanqueo de capitales y financiación del terrorismo y la regulación de protección de datos personales deben ser aplicadas de forma simultánea. Ello conlleva que las entidades y profesionales que son responsables de su cumplimiento conozcan en profundidad estas regulaciones y combinen adecuadamente su aplicación, atendiendo a sus obligaciones y requisitos correspondientes. Estas legislaciones, pese a tener distintos ámbitos de aplicación, deberán adaptarse la una a la otra, así como a las novedades y avances tecnológicos con el fin de alcanzar sus objetivos propios.

Palabras Clave

Privacidad, protección de datos, RGPD, AML, anti-money laundering, sujetos obligados.

 

    II.         Introducción

El efectivo cumplimiento de las exigencias legales de cualquier normativa puede resultar, muchas veces, una cuestión complicada para las organizaciones o las personas sujetas a las mismas.

En la mayoría de los casos, esto implica el conocimiento profundo de las obligaciones establecidas en la legislación, que además están en un constante proceso de evolución. Adicionalmente, el cumplir adecuadamente con la normativa siempre suele derivar en el establecimiento de medidas o controles que pueden entorpecer la agilidad de la operativa o actividades habituales.

En esta publicación analizaremos la relación entre la normativa de protección de datos y la de prevención del blanqueo de capitales y financiación del terrorismo, con el fin de analizar posibles incompatibilidades, así como comentar futuros retos para ambas regulaciones.

       i.         Normativa de Anti-Money Laundering

 

La legislación de prevención del blanqueo de capitales y de la financiación del terrorismo en adelante, “AML”) se basa en la regulación comunitaria, establecida a nivel europeo para armonizar las diferentes normativas de los Estados Miembros en esta materia.

En España, la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo[1] resulta la clave de esta regulación en nuestro ordenamiento jurídico, además del Real Decreto 304/2014[2] que desarrolla el contenido de la anterior norma.

El objetivo de la Ley 10/2010 es el establecimiento de un sistema preventivo que busca impedir que el ámbito financiero y las actividades más cruciales del mismo puedan verse utilizadas como instrumento para que terceros blanqueen dinero o financien actividades terroristas.

De esta forma, la normativa en materia de AML pretende impedir el ingreso de fondos provenientes de actividades delictivas en la economía formal, detectar las operaciones sospechosas que puedan estar relacionadas con este ámbito e identificar los fondos de origen ilícito. Para conseguir tal fin, esta legislación “responsabiliza” a determinados agentes del sector privado (los sujetos obligados) a colaborar activamente con las autoridades competentes en la prevención de este tipo de conductas.

Concretamente, se les traslada a los sujetos obligados el deber de llevar a cabo las siguientes funciones:

  • Función whistleblower: Por un lado, se requiere su colaboración activa en la comunicación de indicios u operaciones sospechosas de estas relacionadas con el blanqueo de capitales o con la financiación del terrorismo.
  • Función gatekeeper: Por otro lado, se exige que los sujetos obligados no lleven a cabo dichas operaciones sospechosas, impidiendo así el acceso de los bienes de origen ilícito al sistema financiero y evitando las consecuencias negativas de estas situaciones.

El éxito en la realización de estas funciones por parte de las entidades y profesionales que ostentan la condición de sujeto obligado dependerá directamente de haber interiorizado adecuadamente la cultura preventiva y de gestión de riesgos en su contexto.

Pero ¿quiénes tienen la condición de sujeto obligado a la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo?

Las entidades y profesionales recogidos en el artículo 2 de la Ley 10/2010, listado que además ha sido ampliado recientemente por las modificaciones introducidas en esta materia por el Real-Decreto Ley 7/2021[3]:

  1. Las entidades de crédito.
  2. Las entidades aseguradoras y correderos de seguros que actúen en la rama de los seguros de vida o servicios de inversión.
  3. Las empresas de servicios de inversión.
  4. Las sociedades gestoras de instituciones de inversión colectiva y las sociedades de inversión cuya gestión no esté encomendada a una sociedad gestora.
  5. Las entidades gestoras de fondos de pensiones.
  6. Las sociedades gestoras de entidades de capital-riesgo y las sociedades de capital-riesgo cuya gestión no esté encomendada a una sociedad gestora.
  7. Las sociedades de garantía recíproca.
  8. Las entidades de dinero electrónico, las entidades de pago y las personas físicas y jurídicas a las que se refieren los artículos 14 y 15 del Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
  9. Los profesionales dedicados a actividades cambio de moneda.
  10. Los servicios postales, respecto de las actividades de giro o transferencia.
  11. Los profesionales de intermediación en la concesión de préstamos o créditos, así como aquellas que, sin haber obtenido la autorización como establecimientos financieros de crédito, desarrollen profesionalmente alguna actividad prevista en el artículo 6.1 de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, o desarrollen actividades de concesión de préstamos previstas en la Ley 5/2019, de 15 de marzo, reguladora de los contratos de crédito inmobiliario.
  12. Los promotores inmobiliarios y quienes ejerzan profesionalmente actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles o en arrendamientos de bienes inmuebles que impliquen una transacción por una renta total anual igual o superior a 120.000 euros o una renta mensual igual o superior a 10.000 euros.
  13. Los auditores de cuentas, contables externos, asesores fiscales y cualquier otra persona que se comprometa a prestar de manera directa o a través de otras personas relacionadas, ayuda material, asistencia o asesoramiento en cuestiones fiscales como actividad empresarial o profesional principal.
  14. Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles.
  15. Los abogados, procuradores u otros profesionales independientes cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos (“trusts”), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria.
  16. Los profesionales que presten los siguientes servicios por cuenta de terceros: constituir sociedades u otras personas jurídicas; ejercer funciones de dirección o de secretarios no consejeros de consejo de administración o de asesoría externa de una sociedad, socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones; facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos; ejercer funciones de fiduciario en un fideicomiso (trust) o instrumento jurídico similar o disponer que otra persona ejerza dichas funciones; o ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea y que estén sujetas a requisitos de información acordes con el Derecho de la Unión o a normas internacionales equivalentes que garanticen la adecuada transparencia de la información sobre la propiedad, o disponer que otra persona ejerza dichas funciones.
  17. Los casinos de juego.
  18. Los profesionales que comercien con joyas, piedras o metales preciosos.
  19. Los profesionales que comercien con objetos de arte o antigüedades o actúen como intermediarios en el comercio de objetos de arte o antigüedades, y las personas que almacenen o comercien con objetos de arte o antigüedades o actúen como intermediarios en el comercio de objetos de arte o antigüedades cuando lo lleven a cabo en puertos francos.
  20. Profesionales que comercien con bienes a través de contratos de mandato de compra y venta de los mismos.
  21. Los profesionales dedicados a actividades de depósito, custodia o transporte profesional de fondos o medios de pago.
  22. Las personas responsables de la gestión, explotación y comercialización de loterías u otros juegos de azar presenciales o por medios electrónicos, informáticos, telemáticos e interactivos. En el caso de loterías, apuestas mutuas deportivo-benéficas, concursos, bingos y máquinas recreativas tipo “B” únicamente respecto de las operaciones de pago de premios.
  23. Las personas físicas que realicen movimientos de medios de pago.
  24. Las personas que comercien profesionalmente con bienes.
  25. Las fundaciones y asociaciones.
  26. Los gestores de sistemas de pago y de compensación y liquidación de valores y productos financieros derivados, así como los gestores de tarjetas de crédito o debito emitidas por otras entidades.
  27. Los proveedores de servicios de cambio de moneda virtual por moneda fiduciaria y de custodia de monederos electrónicos.

De los sujetos obligados anteriormente, la normativa establece un régimen especial en cuanto a las exigencias a cumplir para las personas físicas que realicen movimientos de medios de pago; los gestores de sistemas de pago y compensación y liquidación de valores y productos financieros derivados; y las asociaciones y fundaciones.

 

     ii.         Normativa de Protección de Datos

 

La normativa de protección de datos también se basa en la regulación europea, en tanto que también se pretende unificar las leyes de los Estados Miembros y adaptarlas de forma homogénea para garantizar la privacidad y derechos de protección de datos de los ciudadanos, especialmente en relación con el uso de las nuevas tecnologías.

No obstante, en esta materia la disposición clave es la de rango europeo: el Reglamento General de Protección de Datos[4]. Pese a la aplicación directa de esta norma, a nivel nacional, nos encontramos con la Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales[5].

El objetivo de la regulación de protección de datos es garantizar la protección de las personas físicas en relación con el tratamiento de sus datos por parte de terceros, garantizando el derecho fundamental a la protección de datos e intimidad, reconocido en el artículo 18.4 de la Constitución Española y artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.

Para contextualizar la regulación actual de protección de datos, debemos tener presente el momento actual en el que nos encontramos. Las nuevas tecnologías y los innumerables avances producidos en el ámbito de la informática e Internet han determinado la aparición de una nueva era digital en la que actualmente nos encontramos: la sociedad de la información. En la actualidad, las tecnologías de la información y comunicación están más presentes que nunca en nuestra rutina: trabajamos con ordenadores y sistemas informáticos, nos comunicamos a todas horas a través de Internet, nos relacionamos con personas ubicadas en cualquier parte del mundo y establecemos múltiples relaciones comerciales y económicas a través de la red.

En este nuevo contexto de interconexión absoluta y por el mero hecho de realizar acciones cotidianas, nuestra información personal es recogida, utilizada y transmitida, a gran escala, de forma inmediata y con un muy bajo coste entre diversos agentes de la sociedad de la información. Por ello, los datos personales se han convertido en un activo de considerable valor, hasta el punto de surgir la denominada economía la información , que atiende a diversos intereses empresariales y políticos.

De esta forma, la regulación de protección de datos resulta aplicable a los tratamientos de datos personales, tanto automatizados como no, salvo que se lleven a cabo:

  1. En el ejercicio de una actividad no comprendida en el ámbito de la aplicación del Derecho de la Unión;
  2. Por parte de los Estados Miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del Tratado de Funcionamiento de la Unión Europea;
  3. Por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
  4. Por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales.

Por lo tanto, la normativa de protección de datos personales resulta de plena aplicación para todas las entidades y profesionales que gestionan datos personales de cualquier interesado, debiendo cumplir la totalidad de las obligaciones y principios definidos en este ámbito.

 

  III.         Consideraciones Comunes

Atendiendo a lo anteriormente indicado respecto de estos dos ámbitos normativos, nos encontramos con que cada regulación tiene un objetivo diferenciado, así como obligaciones que pueden parecer, en un primer momento, incompatibles o de difícil aplicación simultánea.

Ello conlleva a que, en la práctica, deban combinarse ambas regulaciones para que las entidades y profesionales afectados por las mismas puedan cumplir de manera efectiva con sus respectivas obligaciones.

  • Protección de Datos. Principio de transparencia: Los artículos 13 y 14 RGPD indican la información que el responsable del tratamiento (es decir, la entidad o profesional que recoge y utiliza, para sus fines propios los datos personales) debe facilitar al titular de los datos. En los mencionados artículos, se indica qué concreta información básica se debe facilitar para cumplir con el principio de información y transparencia (quién tratará los datos, con qué finalidad, durante cuánto tiempo, a quién se los comunicará, qué base legal existe para ello, etc.).
  • Cumplimiento de las obligaciones de diligencia debida: El Capítulo II de la Ley 10/2010 establece determinados controles que los sujetos obligados deben llevar a cabo respecto de sus clientes (medidas de diligencia debida) para prevenir el blanqueo de capitales y financiación del terrorismo. En este sentido, se requiere que los sujetos obligados recaben determinada información sobre sus clientes, así como las personas físicas que actúan por cuenta de los mismos (en el caso de empresas u organismos), así como información sobre su propósito de negocios, operaciones habituales, etc.

Para cumplir efectivamente con estos dos aspectos legales, el nuevo artículo 32 bis de la Ley 10/2010 recoge que la información que los sujetos obligados deben facilitar a los clientes, en relación con el tratamiento de sus datos, deberá cumplir con los requisitos de los artículos 13 y 14 RGPD y, además, incluir un aviso general sobre las obligaciones legales de los sujetos obligados con respecto al tratamiento de datos personales a efectos de prevención del blanqueo de capitales y la financiación del terrorismo.

 

  • Protección de Datos – AML. Licitud del tratamiento y obligaciones legales. Otro aspecto a tener en cuenta en relación con ambas normativas es que, el tratamiento de datos personales que los sujetos obligados llevan a cabo se basa en el cumplimiento de sus obligaciones de AML. En el caso de las obligaciones de diligencia debida, este tratamiento de datos personales se legitimará en el cumplimiento de una obligación legal exigible al sujeto obligado, de acuerdo con la base jurídica reconocida en el artículo 6.1.c RGPD. No obstante, en tanto que podrá darse el caso de determinados datos sean necesarios para la ejecución de la relación contractual entre el sujeto obligado y la persona física, el artículo 32 bis. 2 también reconoce la posibilidad de aplicar la base jurídica de necesidad de ejecución de la relación contractual del artículo 6.1.b RGPD.
  • Protección de Datos. Limitación del plazo de conservación y bloqueo de datos. En materia de protección de datos, se establece el denominado principio de limitación de la conservación. Ello implica que la entidad o profesional que gestiona los datos personales debe conservarlos mientras estos sirvan para alcanzar la finalidad para la que fueron recogidos y, una vez esta se alcance o cese esta, los datos personales dejarán de ser objeto de tratamiento.

En este ámbito, también entra en juego el artículo 32 LOPDGDD en cuanto al bloqueo de los datos. Esto consiste en la identificación y restricción de los datos, a través de la implementación de medidas técnicas y organizativas, para impedir su tratamiento y visualización, de forma que los mismos únicamente puedan ser “utilizados” la atención de requerimientos de las autoridades competentes o de responsabilidades legales exigibles. Una vez transcurrido el plazo legal por el cual los datos pueden ser requeridos o necesarios para estos fines, se deberá proceder a la efectiva destrucción de los mismos.

  • Conservación de documentos. Por su parte, la normativa de AML exige que los sujetos obligados conserven durante un período de 10 años la documentación en la que se formalice y evidencie el cumplimiento de los requisitos establecidos en la Ley 10/2010, procediendo a eliminar estos datos una vez transcurra dicho plazo. 

El artículo 25 de la Ley 10/2010 donde se recoge esta obligación de conservación, reconoce el “bloqueo de datos” relacionados con el cumplimiento de los requisitos de esta normativa, una vez transcurridos 5 años desde el fin de la relación de negocios con un cliente o de la ejecución de una operación ocasional. En este sentido se establece que, tras el paso de esos 5 años, esta información sólo será accesible por los órganos de control interno del sujeto obligado y, en su caso, los encargados de su defensa legal.

  • Protección de Datos. Evaluación de Impacto de Protección de Datos (EIPD). El artículo 35 RGPD establece la obligación de llevar a cabo una evaluación del impacto de las operaciones de un tratamiento de datos personales, de forma previa a su efectiva ejecución, cuando sea probable que este pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. Ello ocurrirá cuando el tratamiento de datos que se pretende realizar utilice nuevas tecnologías, tenga una gran extensión, pueda resultar invasivo, etc. 
  • AML Cumplimiento de obligaciones de diligencia debida y EIPD. El nuevo artículo 32 bis de la Ley 10/2010 exige en su apartado 4 que los sujetos obligados deberán llevar a cabo una evaluación de impacto de protección de datos en relación con los tratamientos que realicen para cumplir con sus obligaciones de diligencia debida, con el fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, disponibilidad y confidencialidad de la información. Específicamente, se hace referencia a que las medidas implementadas deben garantizar la trazabilidad de los accesos y comunicaciones de datos que se lleven a cabo.

  IV.         Futuros Retos Normativos

La normativa de protección de datos personales resulta de plena aplicación para todas las entidades y profesionales que gestionan datos personales de cualquier interesado, debiendo cumplir la totalidad de las obligaciones y principios definidos en este ámbito. Por otro lado, la normativa de PBCFT también resulta de obligado cumplimiento para los sujetos obligados al cumplimiento de esta legislación. En muchas ocasiones, cumplir con los requerimientos de ambas regulaciones resulta complejo, al existir conflictos entre

En relación con los posibles conflictos que podrían existir entre la privacidad e intimidad de las personas y las obligaciones de AML para hacer seguimiento y análisis de operaciones monetarias, el pasado 27 de mayo, el Comité Europeo de Protección de Datos (European Data Protection Board) ha remitido una carta a la Comisión Europea en materia de protección de datos personales y prevención del blanqueo de capitales y financiación del terrorismo.

En la mencionada Carta, el Comité Europeo proponía presentar nuevas propuestas legislativas en 2021, entre otras cosas, estableciendo un marco legislativo único a nivel europeo. Además, se consideraba el otorgar competencias específicas a alguna agencia de la Unión Europea ya existente o bien, establecer un nuevo organismo especializado, creando además mecanismos de apoyo y coordinación para las Unidades de Inteligencia Financiera.

El EDPB, siguiendo manifestaciones previas del Grupo de Trabajo del Artículo 29, ha señalado en repetidas ocasiones los problemas existentes por el choque entre la normativa de protección de datos y de AML. Por ello, este organismo europeo desea colaborar en la aprobación de normativa que permita prevenir el blanqueo de capitales y financiación del terrorismo, por un lado, así como proteger los intereses y derechos fundamentales.

Los principales aspectos indicados por el EDPB que deben tenerse en cuenta entre ambas normativas son:

  • Legalidad del tratamiento de datos personales en el contexto de las obligaciones de AML. Se debería aclarar los interesados afectados por estas obligaciones, las posibles comunicaciones de datos y finalidades para llevar a cabo las mismas, las especificaciones sobre la conservación de la información y los procedimientos de tratamiento de datos que permitan garantizar la licitud y proporcionalidad.
  • Privacy by Design and by Default. Sería conveniente establecer propuestas legislativas para garantizar el cumplimiento de las obligaciones de protección de datos en relación la privacidad desde el diseño y por defecto, en el ámbito de AML. 
  • Principio de proporcionalidad y minimización de datos. Se debe reforzar la necesidad de llevar a cabo el tratamiento de datos personales mínimo para cumplir con las obligaciones de AML existentes, así como tratar los datos personales de los interesados de forma proporcional y leal.

La EDPB también puntualiza en el documento que los principios de protección de datos personales son igualmente de máxima importancia en el contexto de la lucha contra el blanqueo de capitales y financiación del terrorismo.

    V.         Conclusiones

Tras el análisis y cruce de las obligaciones de la normativa de protección de datos personales y de la regulación de prevención del blanqueo de capitales y de la financiación del terrorismo, concluimos que no resulta sencillo, en todo caso, dar pleno cumplimiento a ambas, en tanto que cada una tiene un fin diferenciado.

Por su parte, la normativa de protección de datos persigue proteger un derecho fundamental reconocido a todos los individuos, de forma que se cumplan determinados principios rectores, garantías y derechos específicos en esta materia.

Por otro lado, la regulación de prevención del blanqueo de capitales y de la financiación del terrorismo busca establecer un sistema preventivo común que permita prevenir, detectar y gestionar cualquier operativa relacionada con el blanqueo de capitales y financiación del terrorismo. Para ello, se requiere la implementación de determinados controles de identificación, seguimiento y monitorización de operaciones, con el fin de conseguir los fines preventivos.

En cualquier caso, las entidades y profesionales que resultan obligados al cumplimiento de una y otra normativa deben analizar y estudiar cómo garantizar la adecuación a ambas, reconociendo los derechos de los interesados, pero también tratando de proteger el sector financiero.

Finalmente, cabe resaltar que ambas regulaciones deberán tratar de adecuarse entre sí y no resultar incompatibles, así como adaptarse a los cambios tecnológicos y sociales que nos encontremos (especialmente, en temas de nuevas tecnologías), como vía para implementar medidas de cumplimiento en ámbitos más novedosos, como pueden ser las criptomonedas y el blockchain.

Laura Fernández

10 de septiembre de 2021


[1] Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. BOE núm. 103, de 29/04/2010.

[2] Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. BOE núm. 110, de 6 de mayo de 2014.

[3] Real Decreto-ley 7/2021, de 27 de abril, de transposición de directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores. BOE núm. 101, de 28 de abril de 2021.

[4] Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). DOUE núm. 119 de 4.5.2016.

[5] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. BOE núm. 294 de 06/12/2018.


Desde 2018, contribuye en el asesoramiento integral en el ámbito legal, de protección de datos y de prevención del blanqueo de capitales y de la financiación del terrorismo de los clientes de UBT Legal & Compliance.

Adicionalmente, actúa como Experta Externa para la realización de auditorías de Modelos de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, en la entidad KEY AUDITORS, acreditada por ENAC para estas verificaciones.
Educación y Formación

  • Certificación Experto Externo en Prevención del Blanqueo de Capitales y Financiación del Terrorismo. INBLAC (actualidad)
  • Máster Universitario en Ciberdelincuencia, Derecho Penal y Nuevas Tecnologías. Universitat Oberta de Catalunya (actualidad).
  • Máster Universitario en Derecho de las Telecomunicaciones, Protección de Datos, Sociedad de la Información y Comunicación Audiovisual. Universidad Carlos III de Madrid (2018/2019).
  • Graduada en Derecho. Universidad de A Coruña (2014/2018).

Deja un comentario

A %d blogueros les gusta esto: