Protección de Datos vs Prevención de Blanqueo de Capitales

Bajo el contexto en el que se encuentra nuestra sociedad actual parece que hay principios que a priori están llamados a actuar de un modo antagónico. Si una relación de este tipo nos parece lógica en entornos como, por ejemplo, los deportes (es normal que “ser del Barcelona” te hace enemigo natural de alguien que es “del Madrid”), algo parecido no debería ser tan claro en entornos como los que marca la dualidad “privacidad-prevención blanqueo”.

Cuántas veces hemos escuchado frases como “esto no te lo puedo dar/decir por protección de datos”, siendo este argumento muchas veces la última línea de defensa para aquellas personas a las que les interesa ocultar información a quienes se le solicitan. Por otro lado, tampoco es inusual que un empleado de un sujeto obligado (a la normativa anti blanqueo y prevención del terrorismo) nos llegue a preguntar hasta el último detalle de nuestra situación económica, social, etc. aunque nosotros lo único que queramos hacer es, por ejemplo, comprar un pequeño piso con los ahorros de una vida entera trabajando o acceder a la posible financiación que nos ofrece el banco mediante una hipoteca, algo que también acabaremos pagando mediante las nóminas que recibimos de nuestro empleador.

Entonces, ¿hasta dónde puede llegar la capacidad que tiene un sujeto obligado para entrometerse en nuestra esfera privada con el fin de averiguar/acreditar una información que, después, le permitirá cumplir con sus supuestas obligaciones derivadas de la normativa de prevención de blanqueo de capitales y financiación del terrorismo? o, por decirlo de otra manera, cuál es el límite, y quién lo define, entre la protección de la privacidad del individuo – cliente en nuestro caso de un sujeto obligado a la Ley 10/2010- y la necesidad de protección del, generalmente conocido como, ‘bien común’, lo que hoy en día entendemos por proteger a la sociedad de prácticas maliciosas llevadas a cabo por personas y organizaciones que pretenden utilizar los cauces legales para introducir en el sistema financiero fondos derivados de actividades ilícitas.

La 5ª Directiva UE PBCFT (DIRECTIVA (UE) 2018/843) que ha dado lugar en la última reforma de la Ley 10/2010, ha dejado muy claro que el fin de prevención de blanqueo de capitales y financiación del terrorismo no puede levantar cualquier limitación con respecto a la necesidad de respetar la privacidad y los datos personales de los individuos. De hecho, el principio de minimización de los datos, consagrado en el RGPD UE 679/2016, está muy presente en el contenido de dicha V Directiva UE PBCFT, en concreto, en el CONSIDERANDO 21. MINIMIZACIÓN DE LOS DATOS RECABADOS, que dice:

“Con el fin de respetar la privacidad y proteger los datos personales, deben almacenarse como registros o sistemas de consulta de datos, los datos mínimos necesarios para el desarrollo de las investigaciones en el marco de la lucha contra el blanqueo de capitales y la financiación del terrorismo….debe permitirse a los Estados miembros determinar qué datos resulta útil y proporcionado recabar..”

Asimismo, y para que no quepan dudas sobre la relación que debe prevalecer entre estos dos principios, protección de datos y prevención de blanqueo, en el CONSIDERANDO 34. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE LOS TITULARES REALES, el legislador europeo contempla que: “En todos los casos, …, debe buscarse un justo equilibrio entre el interés público por la PBCFT, por un lado, y los derechos fundamentales de los interesados, por otro”.

Para limitar la injerencia en el derecho al respeto de su vida privada, en general, y a la protección de sus datos personales, en particular, dicha información debe referirse esencialmente a la situación de los titulares reales …, y ceñirse estrictamente a la esfera de actividad económica en la que operan los titulares reales.

Si la persona que ejerce un cargo de dirección de alto nivel fuese identificada únicamente de oficio como el titular real y no por su participación en el capital social o en el control ejercido por otros medios, esto debe constar claramente en los registros’ Aunque este considerado se refiere a los titulares reales, en mi modesta opinión, es fácilmente extrapolable a otros perfiles de interesados como los propios clientes, etc.

Por otro lado, mediante la reciente reforma de la Ley 10/2010 de PBCFT, se han reflejado en la normativa vigente importantes aspectos que pretenden delimitar la relación entre “protección de datos personales – prevención de blanqueo de capitales”:

• En el Artículo 15 de la ley se estipula que el tratamiento y cesión de los datos de las personas con responsabilidad pública quedará sujeto a lo dispuesto en el Reglamento (UE) 2016/679 aunque se especifica que en este caso concreto no será necesario informar a los afectados acerca de la inclusión de sus datos en los ficheros de tratamiento de datos.
• El Artículo 32 de la misma ley deja fuera de cualquier duda que todo tratamiento de datos realizado a efectos de cumplimiento de las exigencias de la ley 10/2010 quedará sometido a lo dispuesto en la Ley 15/1999 y su normativa de desarrollo. Dicha redacción del punto 1 del artículo 32 de la ley 10/2010 revela un pequeño desliz del redactor del texto legislativo una vez que en el momento que se aprobó el Real Decreto Ley 7/2021 de 27 de abril, a través del cual se modifica, entre otras normas, la Ley 10/2010 de 28 de abril de Prevención del Blanqueo de Capitales y Financiación del Terrorismo, la Ley 15/1999 había sido ya derogada y sustituida por la LOPDGDD 3/2018. Entendemos que cualquier referencia del legislador en la Ley 10/2010 hace mención a esta nueva ley y no a la derogada 15/1999, que por error ha mantenido en su texto legislativo.

Mediante la redacción vigente del artículo 32, y especialmente, del nuevo artículo 32 bis de la Ley 10/2010, se aclaran principalmente los siguientes aspectos:

• Todo tratamiento de datos de carácter personal que resulte necesario para el cumplimiento de las obligaciones de Información (Capítulo III de la ley: examen especial, comunicaciones por indicio, comunicación sistemática) no requiere el consentimiento de las personas afectadas siendo como base de legitimación para tal tratamiento el cumplimiento de una obligación legal (o, la llevanza de ‘una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento’, en el caso que el tratamiento lo realiza una Administración Pública).
• Los datos recopilados por los sujetos obligados para el cumplimiento de las obligaciones recogidas en el Capítulo II (medidas diligencia debida) no podrán ser utilizados para fines distintos de los relacionados con la prevención del blanqueo de capitales y la financiación del terrorismo sin el consentimiento del interesado, salvo que el tratamiento de dichos datos sea necesario para la gestión ordinaria de la relación de negocios.
• Mediante el nuevo Artículo 32 ter. el legislador pretende subsanar un gran olvido de la anterior redacción de la ley en la cual se regularizaba el tratamiento de datos en el contexto del capítulo III (obligaciones de información) pero no se mencionaba nada sobre el tratamiento de los datos en el contexto de capítulo II (medidas diligencia debida). Conforme a este nuevo artículo 32 bis no será, igualmente, necesario el consentimiento del cliente para el tratamiento de datos que resulte necesario para la aplicación de las medidas de diligencia debida siendo como base de legitimación de este tratamiento el ‘cumplimiento de ley’, en nuestro caso, de la ley 10/2010.
• El cliente tampoco tendrá acceso a los derechos de acceso, rectificación, supresión, limitación, potabilidad y oposición (entre otros).
• No obstante, en el mismo artículo 32 Bis se establece la obligación del sujeto obligado de cubrir con su obligación de deber de información facilitando al cliente la información que exige la normativa de protección de datos, como mínimo, la información básica sobre la identidad del responsable del tratamiento, la finalidad del tratamiento de los datos y la posibilidad de ejercer los derechos contemplados en el RGPD (de acceso, rectificación, supresión, limitación, potabilidad y oposición) y un medio para que el cliente puede acceder a la información completa exigida por los artículos 13 y 14 del RGPD UE.

Para concluir, consideramos que el cuerpo actual legislativo que regula ambas materias es lo suficiente capaz para garantizar de un lado una protección mínima y eficaz de los derechos fundamentales de los interesados en materia de protección de datos, pero que a su vez quedan desactivados otros derechos ‘estándares’ de las mismas personas como, por ejemplo, el derecho de acceso, etc. a la información manejada sobre ellos por parte de los sujetos obligados, en el beneficio de la lucha contra el blanqueo de capitales y financiación del terrorismo.