Designar un DPO por la prevención del blanqueo de capitales


Josep Aragonés Salvat     01/10/2019



Obligación de designar un DPO para los sujetos obligados de la LPBCFT

 

Normativa aplicable

 

El art. 34.1.j de la LOPDGDD dispone que deben designar un delegado de protección de datos (DPO) las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

El art. 32  de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo se refiere a la protección de datos de carácter personal y dispone que los sujetos obligados son RT de los ficheros de “Titularidades Financieras” que identifican el tratamiento de PBCFT.

Por lo que se deduce que existe un fichero (o tratamiento) de PBCFT, de titularidad pública, cuyo RT es la Secretaría de Estado de Economía y cuyo ET es el SEPBLAC, y que también existen los ficheros (o tratamientos) de PBCFT, de titularidad privada, cuyos RT son los sujetos obligados a la Ley 10/2010, conteniendo los datos de sus clientes, que tendrán que ceder al SEPBLAC.

En la 10ª Sesión Anual Abierta de la AEPD, de 4 de junio de 2018 se preguntaba por esta cuestión y se resolvió así:

Pregunta: ¿Todos los sujetos obligados en prevención del Blanqueo de Capitales precisan tener un DPD independientemente del volumen de clientes?

Respuesta: En cuanto a la exigibilidad de un DPD, como regla general sólo se considera que están incluidos en los supuestos del RGPD por los tratamientos específicos relacionados con prevención del blanqueo los gestores de los ficheros comunes previstos en el artículo 33 de la Ley 10/2010. No obstante, muchos sujetos obligados deberían contar con un DPD como consecuencia de la actividad que desarrollan en general.

Enlace (pág.5): https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf
  

Recomendación

 
Por todo lo expuesto anteriormente, los sujetos obligados de la LPBCFT:

  • Deberán designar obligatoriamente un DPO, cuando:

  • La empresa realice un tratamiento de datos personales (personas físicas) como RT, mediante el fichero de BLANQUEO DE CAPITALES.

  • No será necesario designar un DPO obligatoriamente, cuando:

  • La empresa no realiza ningún tratamiento de datos basado en la LPBCFT.

  • La empresa únicamente realiza un tratamiento de datos basado en la LPBCFT de empresas (personas jurídicas) y en ningún caso de datos personales (personas físicas).

Sujetos obligados

 

El art. 33 de la Ley 10/2010 se refiere a los siguientes sujetos obligados:

Sujetos obligados

Las entidades de crédito

Las entidades aseguradoras autorizadas para operar en el ramo de vida y los corredores de seguros

cuando actúen en relación con seguros de vida u otros servicios relacionados con inversiones, con las excepciones que se establezcan reglamentariamente

Las empresas de servicios de inversión

Las sociedades gestoras de instituciones de inversión colectiva y las sociedades de inversión

cuya gestión no esté encomendada a una sociedad gestora

Las entidades gestoras de fondos de pensiones

Las sociedades gestoras de entidades de capital-riesgo y las sociedades de capital-riesgo

cuya gestión no esté encomendada a una sociedad gestora

Las sociedades de garantía recíproca

Las entidades de pago y las entidades de dinero electrónico

Las personas que ejerzan profesionalmente actividades de cambio de moneda

Los servicios postales respecto de las actividades de giro o transferencia

Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos,

así como las personas que, sin haber obtenido autorización como establecimientos financieros de crédito, desarrollen profesionalmente alguna de las actividades a que se refiere la Disposición adicional primera de la Ley 3/1994, de 14 de abril, por la que se adapta la legislación española en materia de Entidades de Crédito a la Segunda Directiva de Coordinación Bancaria y se introducen otras modificaciones relativas al Sistema Financiero

Los promotores inmobiliarios y quienes ejerzan profesionalmente actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles

Los auditores de cuentas, contables externos o asesores fiscales

Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles

Los abogados, procuradores u otros profesionales independientes

cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos («trusts»), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria

Las personas que con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable presten los siguientes servicios por cuenta de terceros:

  • constituir sociedades u otras personas jurídicas;

  • ejercer funciones de dirección o de secretarios no consejeros de consejo de administración o de asesoría externa de una sociedad, socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones;

  • facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos;

  • ejercer funciones de fiduciario en un fideicomiso (trust) o instrumento jurídico similar o disponer que otra persona ejerza dichas funciones;

  • o ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea y que estén sujetas a requisitos de información acordes con el Derecho de la Unión o a normas internacionales equivalentes que garanticen la adecuada transparencia de la información sobre la propiedad, o disponer que otra persona ejerza dichas funciones

Los casinos de juego

Las personas que comercien profesionalmente con joyas, piedras o metales preciosos

Las personas que comercien profesionalmente con objetos de arte o antigüedades

Las personas que ejerzan profesionalmente las actividades a que se refiere el artículo 1 de la Ley 43/2007, de 13 de diciembre, de protección de los consumidores en la contratación de bienes con oferta de restitución del precio

(sellos, obras de arte, antigüedades, joyas, árboles, bosques naturales, animales en todo caso)

Las personas que ejerzan actividades de depósito, custodia o transporte profesional de fondos o medios de pago

Las personas responsables de la gestión, explotación y comercialización de loterías u otros juegos de azar presenciales o por medios electrónicos, informáticos, telemáticos e interactivos.

En el caso de loterías, apuestas mutuas deportivo-benéficas, concursos, bingos y máquinas recreativas tipo “B” únicamente respecto de las operaciones de pago de premios

Las personas físicas que realicen movimientos de medios de pago, en los términos establecidos en el artículo 34

(Obligación de declarar)

Las personas que comercien profesionalmente con bienes, en los términos establecidos en el artículo 38

(Comercio de bienes)

Las fundaciones y asociaciones, en los términos establecidos en el artículo 39

(Fundaciones y asociaciones)

Los gestores de sistemas de pago y de compensación y liquidación de valores y productos financieros derivados,
así como los gestores de tarjetas de crédito o débito emitidas por otras entidades, en los términos establecidos en el artículo 40

(Entidades gestoras colaboradoras)

Normativa relacionada con la prevención del blanqueo de capitales y la protección de datos


La Ley 10/2010 también dispone una serie de artículos relacionados con la protección de datos que hemos considerado importante exponerlos para su conocimiento:

Artículo 32. Protección de datos de carácter personal.

1. El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de esta Ley se someterán a lo dispuesto en la Ley Orgánica 15/1999 y su normativa de desarrollo.

2. No se requerirá el consentimiento del interesado para el tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información a que se refiere el Capítulo III.
Tampoco será necesario el mencionado consentimiento para las comunicaciones de datos previstas en el citado Capítulo y, en particular, para las previstas en el artículo 24.2.

3. En virtud de lo dispuesto en el artículo 24.1, y en relación con las obligaciones a las que se refiere el apartado anterior, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 5 de la Ley Orgánica 15/1999.
Asimismo, no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

Lo dispuesto en el presente apartado será igualmente aplicable a los ficheros creados y gestionados por el Servicio Ejecutivo de la Comisión para el cumplimiento de las funciones que le otorga esta Ley.

4. Los órganos centralizados de prevención a los que se refiere el artículo 27 tendrán la condición de encargados del tratamiento a los efectos previstos en la normativa de protección de datos de carácter personal.

5. Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.

Artículo 33. Intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude.

1. Sin perjuicio de lo establecido en el artículo 24.2, cuando concurran las circunstancias excepcionales que se determinen reglamentariamente, la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias podrá acordar el intercambio de información referida a determinado tipo de operaciones distintas de las previstas en el artículo 18 o a clientes sujetos a determinadas circunstancias siempre que el mismo se produzca entre sujetos obligados que se encuentren en una o varias de las categorías previstas en el artículo 2.

El Acuerdo determinará en todo caso el tipo de operación o la categoría de cliente respecto de la que se autoriza el intercambio de información, así como las categorías de sujetos obligados que podrán intercambiar la información.

2. Asimismo, los sujetos obligados podrán intercambiar información relativa a las operaciones a las que se refieren los artículos 18 y 19 con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla.

3. Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes en materia de prevención o represión del blanqueo de capitales o de la financiación del terrorismo podrán consultar la información contenida en los ficheros que fueren creados, de acuerdo con lo previsto en la normativa vigente en materia de protección de datos de carácter personal, por entidades privadas con la finalidad de prevención del fraude en el sistema financiero, siempre que el acceso a dicha información fuere necesario para las finalidades descritas en los apartados anteriores.

4. El acceso a los datos a los que se refiere este precepto deberá quedar limitado a los órganos de control interno previstos en el artículo 26 ter, con inclusión de las unidades técnicas que constituyan los sujetos obligados.

5. No será de aplicación a los intercambios de información previstos en este artículo lo dispuesto en la Ley Orgánica 15/1999 en lo referente a la exigencia de consentimiento del interesado, el deber de información al mismo y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Serán de aplicación a los tratamientos derivados de las comunicaciones previstas en este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.