El pasado 29 de septiembre se publica la nueva Ley de creación y crecimiento de empresas (Ley 18/2022) que, entre otras, modifica la Ley de Prevención del Blanqueo de Capitales y Financiación del Terrorismo para recoger una petición sobre la creación de sistemas comunes de información, mantenimiento y acceso a la información y documentación recopilada para la aplicación de las medidas de diligencia debida sobre los clientes, a través de la introducción de un art.32.ter en la Ley 10/2010.
Este sistema aglutinador o repositorio de datos y también custodio podrá articularse a modo de sociedad participada por un conjunto de sujetos obligados, ente corporativo prestador de un servicio remunerado u otras fórmulas alternativas siempre que preserven la naturaleza de homogeneidad de actividad de los sujetos obligados responsables del tratamiento de los datos personales de sus clientes con origen en la aplicación de las medidas de diligencia debida sobre aquellos. De facto, es la primera de una serie de limitaciones para abordar un sistema de esta índole, en tanto que solo podrá actuar para un conjunto de sujetos obligados que compartan una misma categoría, es decir, cualesquiera de las tipologías de sujetos obligados previsto en el art.2 de la Ley (relación de sujetos que se establecen desde la letra a hasta la z).
Otra limitación viene referida al alcance de la encomienda a este sistema común o consorcio ya que podrá intervenir en relación a la información sobre clientes recopilada en aplicación de las medidas de diligencia que contempla el capítulo II de la Ley 10/2010 (la identificación formal, la identificación del titular real, el propósito e índole de la relación de negocios –la naturaleza de la actividad profesional o empresarial desempeñada-) al momento de iniciarse o pretenderse iniciar una relación de negocios o intervenir en cualesquiera operaciones. En modo alguno, será viable para la aplicación de medidas de seguimiento continuo a la relación de negocios, incluido el escrutinio de las operaciones efectuadas a lo largo de dicha relación comercial.
No deja dudas a este respecto el nuevo art. 32 ter destacando esta prohibición lo cual, en nuestra opinión, no resta valor a un sistema de estas características si bien merma una función importante como la referente al mantenimiento actualizado de la información que, a priori, sería una injerencia en la obligación de seguimiento citada entendida, en una parte, como “garantizar que los documentos, datos e información de que se dispongan estén actualizados”.
Por otra parte, no se contempla un régimen de autorización administrativa general para estos sistemas siempre que se constituyan entre sujetos obligados homogéneos pero la intención de constituirse debe ser comunicada con antelación suficiente a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias al menos sesenta días antes de entrar en funcionamiento. Para el caso contrario, si se quisiera constituir un sistema con sujetos de categorías diferentes, sería esta Comisión quien tiene la potestad de autorizarlo delimitando las categorías de sujetos y la información que puede compartirse.
Sin duda, la nueva regulación contempla la solución a algunos retos que plantea una medida de este tipo, en particular lo referente al tratamiento de datos personales implícito en este vaivén de información entre el sujeto obligado y el sistema común. Desde esta óptica, nos hallaríamos ante corresponsables del tratamiento de tales datos: el sujeto adherido y el propio sistema en la fórmula legal que haya adoptado (que no tiene, además, por qué ser un sujeto obligado) de tal suerte que cada cual será responsable de las actividades que efectivamente desarrolle y según hayan determinado de mutuo acuerdo y de manera transparente ante los propios interesados y titulares de tales datos.
Por tanto, comunicar los datos a estos sistemas o el acceso a los mismos goza de una presunción de licitud siendo su base de legitimación ser un tratamiento necesario para el cumplimiento de una obligación legal que es la prevista en la Ley 10/2010 relativa a las obligaciones de diligencia debida y con los requisitos aquí contemplados. En consecuencia, el nuevo escenario implica, entre otros:
- Comunicación entre el sistema y el sujeto adherido a través de una área de control: los datos se facilitarán a través de los órganos de control interno que contempla la Ley 10/2010, a saber, el propio representante ante el Sepblac (delegando, como no puede ser de otra forma, en la área correspondiente de control interno para la prevención del blanqueo de capitales) o el conocido como OCI (u órgano de control interno) en el que se representan las distintas unidades de negocio y que por idénticas razones que en el caso anterior debería delegar en el área de control que ejecute el programa de prevención de blanqueo de capitales y vele por la aplicación de las políticas y procedimientos.
- Prohibición del acceso a los datos no necesarios: el acceso a los datos por los sujetos obligados adheridos al sistema debe estar debidamente justificado en la tenencia de una relación de negocio o la necesaria identificación previa para iniciarla y evitar por lo tanto un acceso indiscriminado a datos personales.
- Principio de minimización: el acceso se debe regir por un principio de minimización, de modo que solo se acceda a los datos estrictamente necesarios para la aplicación de las medidas de diligencia debida según las políticas y procedimientos del sujeto adherido. En paralelo, tales datos solo pueden ser tratados para dicha finalidad amparada legalmente.
- Principio de transparencia: el interesado, que es objeto de la aplicación de medidas de diligencia debida, debe ser informado sobre la comunicación de los datos al sistema y el acceso con carácter previo a que tenga lugar.
En todo caso, el sujeto obligado que se adhiere a un sistema común mantiene en su esfera de responsabilidad ciertas obligaciones tales como la de preservar la exactitud y actualización del dato, en particular si le consta la incorrección o desactualización en el cumplimiento de sus obligaciones de seguimiento continuo de sus clientes o suprimirlos asumiendo las medidas tecnológicas precisas y el coste de su aplicación o informar al corresponsable de la solicitud del interesado (para cuando proceda ejecutar un derecho de supresión).
El sistema corresponsable del tratamiento incorporará medidas para garantizar la trazabilidad de los accesos y en todo caso, si se diera la circunstancia, deberá cumplir las previsiones del RGPD y la Ley Orgánica 3/2018 para las transferencias internacionales de datos.
Esta centralización para la aplicación de las medidas de diligencia debida en el alta de clientes de sujetos obligados de igual categoría (entidades de crédito u otras entidades financieras son un buen ejemplo) facilitaría sin duda la resolución de algunas lacras del sistema de prevención en el ámbito financiero como son la falta de estandarización en la aplicación de medidas, la baja o insuficiente calidad del dato o un cliente insatisfecho ante un proceso de alta no suficientemente ágil o dispar según la entidad.
No obstante, deja abiertos muchos interrogantes que pueden ser críticos en este momento cuando ya han transcurrido muchos años desde que se establecieran por la Ley 10/2010 las obligaciones de identificación y conocimiento del cliente y se han efectuado muchas inversiones en recursos humanos y tecnológicos muy anclados en una visión holística de la relación de negocios que empieza con el alta y continúa con su seguimiento. Romper estas sinergias plantea todo un reto estratégico en entidades maduras que el tiempo dirá si finalmente se ha apostado por ello…
Abogada ICAM.
Directora de Cumplimiento Normativo de BBVA España.
0 comentarios