Interacciones entre la Ley de Protección de datos y la Ley de Prevención de Blanqueo de Capitales.

Interacciones entre la Ley de Protección de datos y la Ley de Prevención de Blanqueo de Capitales.

  • Autor de la entrada:
  • Categoría de la entrada:General

La ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo, enumera una serie de sujetos obligados a su estricto cumplimiento.
Son muchos los sujetos obligados que deben cumplir la normativa en materia de prevención del blanqueo de capitales y la financiación del terrorismo, en este amplio elenco, entre otros, tienen cabida las entidades crediticias y aseguradoras, almonedas, joyerías, asesores fiscales, auditores de cuentas, notarios, y aquellos despachos de abogados que realicen operaciones de compra-venta de bienes inmuebles, valores, gestión de fondos, etc… por cuenta de sus clientes.
De este modo, aunque la denominación de prevención del blanqueo de capitales y la financiación del terrorismo, pudiera parecer muy ajena a determinadas empresas, en el sentido, de que de entrada, parece una materia más bien, reservada para unos perfiles muy definidos de sujetos pasivos, que siempre parecen asociarse a una exposición más directa con actividades de mayor riesgo, por los territorios internacionales en los que operan, (por ejemplo paraísos fiscales), por desarrollar actividades de comercio exterior, potencialmente más expuestas a este tipo de riesgos, etc… lo cierto es que todos los sujetos obligados recogidos en la norma, aunque su volumen de negocio y su dimensión empresarial no sean muy elevados, siempre pueden ser objetivos potenciales de las organizaciones criminales, que pretenden servirse de ellos con la finalidad de blanquear capitales procedentes de actividades ilícitas. Por ello, es necesario adoptar las medidas adecuadas para su prevención.
De este modo, los referidos sujetos obligados por la ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo, deberán proceder a cumplir con lo establecido en el artículo 96.1.2º del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. En el sentido de efectuar una auditoría LOPD, con motivo de la implantación de tales modificaciones en los sistemas de tratamiento e información, pues en esencia se trata de una modificación sustancial.
Así, el acatamiento de la norma en materia de prevención del blanqueo de capitales y financiación del terrorismo, por parte de los referidos sujetos supone como se ha expuesto en alguno de los párrafos precedentes, una serie de modificaciones relevantes en el ámbito de la protección de datos de carácter personal.
De hecho, el primer cambio substancial es el nivel de seguridad del Responsable del Fichero. Pues si su nivel de seguridad hasta la fecha era básico o medio, en su caso, a partir de la implantación de la ley 10/20010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo, en la empresa será modificado a un nivel de seguridad alto.
Esta importante modificación va a conllevar el cumplimiento de una serie de obligaciones conexas, en su caso, relativas a la utilización de mecanismos de encriptación y cifrado de los datos, registro, control y almacenamiento de logs de accesos a los ficheros, almacenamiento de copia de seguridad en ubicación distinta de la principal, registros de entrada y salida de soportes, control de acceso de usuarios, copias de recuperación, cifrado de datos que circulen por redes de telecomunicaciones abiertas, etc
El almacenamiento y conservación de juegos de copias de seguridad y de los procedimientos de restauración de datos fuera de la ubicación principal garantiza la continuidad del negocio y la disponibilidad de la información ante cualquier incidencia grave, ya sea física o lógica.
Con la finalidad de evitar que en la transmisión de datos -de nivel alto- a
través de redes de comunicación puedan producirse interceptaciones (violación del principio de confidencialidad), alteraciones (violación del principio de integridad) de los datos, deberán utilizarse mecanismos de cifrado de los datos.
De este modo, el tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de esta Ley -PBC-, se someterán a lo dispuesto en la Ley Orgánica 15/1999 y su normativa de desarrollo.
No se requerirá el consentimiento del interesado para el tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información a que se refiere el Capítulo III.
Tampoco será necesario el mencionado consentimiento para las comunicaciones de datos previstas en el citado Capítulo y, en particular, para las previstas en el artículo 24.2.
En virtud de lo dispuesto en el artículo 24.1, y en relación con las obligaciones a las que se refiere el apartado anterior, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 5 de la Ley Orgánica 15/1999.
Asimismo, no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.
Lo dispuesto en el presente apartado será igualmente aplicable a los ficheros creados y gestionados por el Servicio Ejecutivo de la Comisión para el cumplimiento de las funciones que le otorga esta Ley.
Los órganos centralizados de prevención a los que se refiere el artículo 27 tendrán la condición de encargados del tratamiento a los efectos previstos en la normativa de protección de datos de carácter personal.
Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.
De igual forma, la Ley 10/20010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo obliga a que los sujetos obligados conserven durante un período mínimo de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la presente Ley.
En particular, los sujetos obligados conservarán para su uso en toda investigación o análisis, en materia de posibles casos de blanqueo de capitales o de financiación del terrorismo, por parte del Servicio Ejecutivo de la Comisión o de cualquier otra autoridad legalmente competente:
a) Copia de los documentos exigibles en aplicación de las medidas de diligencia debida, durante un periodo mínimo de diez años desde la terminación de la relación de negocios o la ejecución de la operación.
b) Original o copia con fuerza probatoria de los documentos o registros que acrediten adecuadamente las operaciones, los intervinientes en las mismas y las relaciones de negocio, durante un periodo mínimo de diez años desde la ejecución de la operación o la terminación de la relación de negocios.
Los sujetos obligados, con las excepciones que se determinen reglamentariamente, almacenarán las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización. En todo caso, el sistema de archivo de los sujetos obligados deberá asegurar la adecuada gestión y disponibilidad de la documentación, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las autoridades.
Lo expresado en el párrafo precedente, viene a plantear pequeñas incongruencias que requieren de una interpretación finalística en orden a la lo dispuesto por la normativa LOPD en cuanto al plazo de conservación de datos personales.
Según el artículo 8.6 del Reglamento de desarrollo de la LOPD dispone:
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.
Es fundamental aclarar que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como se define en el artículo 5.1. b) del Reglamento:
Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.
En cuanto al modo de llevar a cabo el bloqueo, se señala que deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.
Respecto del plazo de cancelación, se indica que resulta imposible establecer una enumeración taxativa de los períodos en que el dato habrá de permanecer bloqueado, aunque no obstante, se señalan algunos criterios.
Así, a título de ejemplo, podría considerarse que el bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia desde el punto de vista tributario.
En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación.
A los períodos mencionados cabe añadir el plazo de prescripción de 3 años, previsto en el artículo 47.1 de la LOPD en relación con las conductas constitutivas de infracción muy grave, sin perjuicio de que otras normas con rango de Ley, en aquellos concretos sectores en los que actúe en representación o defensa de su cliente, puedan establecer otros plazos de conservación de los datos.
Por consiguiente, los datos deberán cancelarse una vez hayan dejado de ser
necesarios para la finalidad para la que se recabaron, manteniéndose
bloqueados, en los términos vistos, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria, el plazo de prescripción previsto en el artículo 47.1 de la LOPD, o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso, debiendo suprimirse los datos una vez transcurridos dichos plazos.
En suma, las conexiones existentes entre la ley 10/20010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo, y la Ley Orgánica 15/1999 y su normativa de desarrollo son evidentes, si bien una correcta implantación de la normativa PBC en el sujeto obligado, junto con una adecuada actualización de las modificaciones correspondientes en materia LOPD, fruto de esa exigencia legal, conseguirán que el sujeto obligado cumpla ejemplarmente con ambas normativas. Aunque ese intachable cumplimiento, se debe traducir en una labor permanente, efectuada en el día a día de la operativa de la empresa u organización.