Sobre la prevención de blanqueo de capitales y su relación con la protección de datos…

Publicado el 18 de diciembre de 2011 por Luis. 26 comentarios
Miniatura noticia

Vengo en estas últimas semanas realizando un curso de técnico de prevención de blanqueo de capitales por dos razones fundamentales, a saber, a) por ser sujeto obligado de la ley 10/2010, y b) por ser un capítulo de obligado cumplimiento normativo y por ello me puede interesar conocerla en algunos proyectos de los que realizo para mis clientes.De este estudio de la norma administrativa (lógicamente tiene grandes implicaciones en vía penal) y por esa “querencia” que siento por acercarme a Dataland, tenía pensado escribir una entrada más profunda de lo que ahora hago… De hecho, hace algunos días, ya participaba en algún debate en grupos en LinkedIn y ya adelanté una contestación a una consulta realizada por algún compañero del mundo del dato….

El pasado viernes, tuve la oportunidad de leer en el blog de Iurismática una entrada que dedicaba al tema Jorge Campanillas. Se trata de un blog que sigo regularmente y que recomiendo porque considero toda una referencia en el sector… Pero en este caso en concreto no comparto algunas de las cosas que Jorge afirma en su entrada… Por este motivo, a continuación, publico el comentario que no he podido subir por problemas técnicos al hilo del propio blog a pesar de que lo he intentado en varias ocasiones… Además, se lo he enviado al citado blogero, y he recibido su contestación diciéndome que tratará de solucionarlo y subirlo… ante la incertidumbre de si Jorge podrá reparar o no el aparente fallo de la web, he decidido subir mis “discrepancias” –más bien mi punto de vista- en este espacio por si alguno de mis lectores deseara opinar al respecto, y entre todos, obtener conclusiones… siempre es enriquecedor compartir ¿no?

“Estoy estudiando la ley que comentas por ser sujeto obligado de la misma y no comparto que el artículo 32 obligue a crear ningún fichero… El otro día lo discutía en otro foro. Más bien lo que dice, según interpreto yo es que si se crearan ficheros, éstos se someterían al régimen de la LOPD, así como los tratamientos a los que obliga esta ley de prevención, pero además, rebaja la necesidad de contar con consentimiento del afectado, así como la de informar… es más, cuando tienes que realizar una comunicación de operación sospechosa –COS– al Servicio Ejecutivo, el artículo 24 prohíbe expresamente hacer partícipe de tal comunicación al afectado. Yo más bien interpreto que lo que viene a hacer la ley de prevención de blanqueo de capitales y financiación del terrorismo es obligar a realizar una revelación de datos de las del 11.2.a) de la LOPD: tendrás tu fichero de clientes y cuando alguno de ellos, bien sea porque te obligue el art. 18 –por algún indicio- o el 20 –de forma sistemática- deberás comunicar estos datos de forma obligatoria al órgano de control administrativo… Y para colmo, tampoco existen derechos ARCO. Y todas estas “excepciones” se aplican a todos los ficheros que cree el Servicio Ejecutivo en el ejercicio de las funciones que le otorga la ley de prevención de blanqueo…

Personalmente, no crearía un fichero específico en una asesoría… si tuviera un indicio, “cedería” los datos del cliente “sospechoso” al Servicio Ejecutivo, y punto (salvo mejor opinión).

 Por otra parte, se autoriza por el art. 15, la creación de ficheros para tratar datos de personas con responsabilidad pública, ya sea por los propios sujetos obligados como por terceros, exclusivamente para las finalidades contempladas en la norma, y nuevamente se rebaja la necesidad de contar con el consentimiento de los afectados. Y por último, el 43 crea un fichero de titularidad pública “de Titularidades Financieras” bajo la responsabilidad de la Secretaría de Estado de Economía…

 Un abrazo y gracias por la entrada, como siempre…”

Muy buenos días…

 

Imagen © *emily cain

26 comentarios

  1. JM_CHOLO dice:

    Ya sé que no son horas, pero me había quedado viendo el debut de Ricky Rubio con Minessota y he leído tu nueva entrada en el twitter.
    No sé si el artículo 32 obliga o no a la creación de un fichero. Lo que yo entiendo es que esta Ley 10/2010 establece/impone/exige una serie de obligaciones o de tareas a realizar por parte de los sujetos obligados. Entre otras, destacaré dos:
    1.- Exámen especial de las operaciones sospechosas. El art. 17 establece esta obligación y además exige que los resultados del exámen se recojan por escrito.
    2.- Comunicación al SEPBLAC de aquelas operaciones que sean sospechosas. El art. 18 fija el contenido mínimo de esa comunicación (identificación de las personas, actividad, operaciones, cuantías, lugares…) que en gran parte está formado por datos de carácter personal. El propio artículo establece que la comunicación se efectuará en el soporte y formato que determine el SEPBLAC.

    Una vez explicado esto, considero que toda esa información (datos) que se genera como consecuencia del cumplimiento de las obligaciones establecidas en la ley constituye un fichero susceptible de inscripción en el RGPD. Es más, la propia Ley obliga al sujeto a conservar durante un período mínimo de 10 años esta documentación (art. 25.1) y establece que deberá ser archivada mediante un sistema que garantice la su gestión y disponiblidad (art. 25.2).
    Volviendo al comienzo, y para acabar, no entro a valorar si el artículo 32 obliga o no a crear un fichero. Lo que tengo claro es que cuando un sujeto obligado realiza un exámen especial de alguna operación sospechosa o la comunica al SEPBLAC, genera una información (datos) que debe conservar durante un mínimo de 10 años y para mí esto constituye un fichero que debe inscribirse en el RGPD. (Conexión artículos 17, 18 y 25, con el concepto de fichero LOPD).
    Claro está, si el sujeto obligado nunca ha realizado el exámen especial de ninguna operación sospechosa (porque puede no haber existido) ni ha realizado comunicación alguna al SEPBLAC, entonces no se habrá generado ninguna información o documentación susceptible de constituir un fichero. Quizá aquí resida la clave para determinar si hay que crear o no el fichero.
    Esta es la humilde opinión de un admirador tanto tuyo como de Jorge y muchos otros, cuyas información y opinión me ayuda a mejorar cada día en mi trabajo.
    Un saludo.

    • Luis dice:

      Muy buenos días. Depende de para qué sean las horas…. Para contribuir, veo que es una hora muy buena…. Así que enormes gracias a ti por tu comentario, totalmente acertado y a Ricky Rubio, por la “asistencia” prestada…

      No puedo estar más de acuerdo con todo lo que dices… con todo, o con casi todo, porque efectivamente la ley te obliga a realizar una vigilancia especial, pero no quiere decir que de esa vigilancia especial vayas a obtener una información que per sé vaya a requerir un nivel especial de protección tal y cómo se entiende en la LOPD (o en su reglamento, más bien…)

      Tú podrás tener un fichero de clientes para tu actividad. En el caso de estar obligado a aplicar medidas reforzadas (e incluso aunque no) tendrás un protocolo de admisión de clientes que te exigirá “investigar” de alguna manera a tu cliente. Y esta obligación de investigar, hará que recabes, como bien dices, determinados documentos. Por ejemplo, si es un cliente que se dedica a una actividad empresarial o profesional, se me ocurre que podrás pedirle que te aporte una copia del modelo del alta de la actividad en la AEAT (que no alberga ningún dato especialmente protegido, entiendo yo, y que además, no olvidemos, excluiría en principio a tu cliente del ámbito de aplicación del RDLOPD precisamente por el ejercicio de la actividad empresarial-profesional). A lo que voy, esa copia del modelo 036-037 de declaración censal o familia del 84X de alta en IAE, la tendrás que conservar, y, en mi opinión, podrás (y para mí aquí es donde esta la verdadera clave) hacerlo en tu fichero de clientes al que le aplicas el nivel que sea en base a las categorías de datos que albergue. Tendrás eso sí, que revisar tu procedimiento de expurgo y eliminación (o bloqueo) de expedientes para cumplir con la normativa en prevención (entre otros aspectos a considerar, como la normativa tributaria, el plazo de prescripción de posibles responsabilidades surgidas…) pero no tendrías obligación –que es lo que yo le he entendido a Jorge en su entrada- de crear un nuevo fichero, y lo que es más importante, de elevar el nivel de seguridad requerido por todo tu sistema de información si no dispones de varios o de subsistemas que puedas individualizar para ello…

      Por otra parte, igual lo veo desde el prisma particular de mi despacho y de la actividad profesional que vengo prestando ahora por cuenta propia y anteriormente por cuenta ajena para empresas durante toda mi carrera profesional, pero la verdad es que en el día a día, no abundan, gracias a Dios –al menos en mi esfera- las operaciones de blanqueo… quiero decir que en el tiempo que llevo trabajando en asesoría y en departamentos económicos de empresas, si hubiera tenido que realizar comunicaciones sistemáticas, las habría presentado todas en blanco, y no hubiera tenido que realizar ninguna COS, por ninguna operación aislada y/u ocasional. Pero aunque hubiera tenido que realizar en 16 años, una o dos comunicaciones de operaciones sospechosas, sigo defendiendo que esa comunicación, en mi humilde opinión, podría ser conservada dentro del propio expediente del cliente. Y desde luego, hasta ahora, en mi planteamiento defiendo que la finalidad específica de ese fichero sigue siendo mantener y gestionar la relación comercial….Y no olvidemos que el reglamento en el 81, habla de la posibilidad de rebajar el nivel de exigencia de alto a básico –es cierto que en una lista tasada de categorías de datos, pero tampoco tengo claro que no se pueda aplicar analogía en la interpretación- cuando los datos contenidos de forma incidental o accesoria sin guardar relación con la finalidad del mismo…

      O sea, que en definitiva, estoy bastante de acuerdo con lo que dices en tu comentario, y con gran parte de lo que dice Jorge, pero en lo que no puedo estar de acuerdo, y es el único matiz que me llevó a publicar la entrada, que no sería entrada si no hubiera fallado en el intento de comentar en el propio blog de Jorge, es que por la aplicación de la Ley de Prevención de Blanqueo, obligatoriamente, los sujetos obligados –valga la redundancia- por prevención de blanqueo se verán forzados a crear un fichero específico y a implementar nivel alto… Creo que lo importante, como en todo, es tratar de cumplir ambas normas de la forma más eficaz y eficiente y para ello considero muy importante no generalizar situaciones y realizar un estudio detallado de los procesos que se desarrollan en la actividad y los tratamientos que implican o conllevan, valorando todas las posibilidades al alcance del “potencial cumplidor”.

      Como te decía al principio, un placer tenerte por aquí… Espero verte a menudo 😉

  2. JM_CHOLO dice:

    Sigo aquí, ahora con la final del mundial de balonmano femenino y el partido del Calcio Nápoles-Roma, dándole otro par de vueltas al tema.
    Entiendo tu forma de ver el asunto. Quizá el artículo 32 Ley 10/2010 no obliga a crear un nuevo fichero, de manera que bastaría con incluir la documentacón dentro del propio fichero de clientes y aplicarle a esos datos las medidas de seguridad de nivel alto, tal como exige la Ley. Entiendo que esto sería posible en virtud del artículo 81.8 RD 1720/2007.
    Por otra parte, otra cosa que no entiendo muy bien es por qué se exige aplicar a estos datos medidas de seguridad de nivel alto, cuando no se trata de datos especialmente protegidos. No sé, quizá tenga que ver la conexión de esos datos con la posible/presunta comisión de un delito…
    En cualquier caso creo que este tema, como muchos otros, no está del todo claro y es susceptible de interpretaciones. Por eso, se me ocurre que este asunto (obligatoriedad o no de inscribir un fichero de blanqueo y por qué aplicar medidas de seguridad de nivel alto) podría ser objeto de consulta ante la AEPD (quizá se podría plantear esta consulta de cara a la 4ª Sesión anual abierta de enero).
    Dicho esto uno poco “a bote pronto” porque no me he tomado la molestia de bucear en resoluciones e informes jurídicos, aunque no creo que la Agencia se haya pronunciado sobre este tema.
    Ahí lo dejo, por si alguien se anima…
    P.D.: ¿No has pensado en preguntar sobre este asunto al tutor de tu curso? Quizá su opinión sea interesante.
    Un saludo.

    • Luis dice:

      Y afinando e interpretando literalmente, ni implantar nivel alto, puesto que el art 32.5 de la ley de prevención de blanqueo fíjate que impone aplicar nivel alto a “los ficheros a los que se refiere este artículo…” y este artículo se refiere a ficheros CREADOS PARA EL CUMPLIMIENTO DE LAS DISPOSICIONES DE ESTA LEY. Si el fichero clientes ya está creado y su finalidad es el mantenimiento y la gestión de la relación comercial, interpreto que la finalidad de cumplimiento de los deberes impuestos por las medidas de diligencia de la 10/2010 es una finalidad accesoria materializada en tratamiento consistente en la cesión al Servicio Ejecutivo amparada en el 11.2.a) de LOPD ¿no?… Bastaría notificar modificación de fichero incluyendo nueva finalidad accesoria -y si me apuras, ni tocar la finalidad por si acaso…- y cesionario el SEPBLAC… y a correr. Y como bien dices, al no contener datos especialmente protegidos o de los que exigen reforzar seguridad, puedes seguir aplicando el nivel exigido anteriormente… Eso es lo que yo planteaba desde el principio…

      Considerar nivel alto por contener datos Que pudieran servir para trazar infracciones administrativas o penales, pues tampoco, porque se sería, en todo caso, nivel medio, ¿o no?.

      Consultar a Servicios Jurídicos de la Agencia, uffff… no, la verdad es que TODAVIA no he preguntado… ni he buceado AÚN en el buscador de resoluciones e informes (me da una pereza enfrentarme a la web de la Agencia… jejeje)… aunque sin informe ni conocer criterio de la Agencia, lo veo muy claro… argumento defendible…

      Lo de preguntarlo en la Sesión, pues no se me ocurrió, y pregunté por el fondo del post anterior, el de relaciones de la Agencia con los Consultores… Me da que el criterio de la Agencia complique lo que en la práctica y en el mundo real puede hacerse de forma más sencilla…
      Y lo de preguntarle al tutor como que no… me demostró ser gran conocedor del administrativo y del penal en el ámbito del curso, pero no llegamos a tratar implicaciones de privacidad mas allá del contenido del literal del artículo 32… aunque yo no me lo pudiera quitar de la cabeza… igual le lanzo invitación a participar a ver si nos aporta luz o su visión.
      Gracias de nuevo por tu activa participación e interesantes aportaciones…

      • JM_CHOLO dice:

        Pues ciertamente, tienes razón. Casi mejor no preguntar al Ser Superior… porque leyendo algunos informes y con los cambios de criterio… muchas veces enreda los asuntos. Lo dejaremos aquí por el momento.

        Un saludo.

  3. fjaviersempere dice:

    Muy buenas, interesante entrada -como siempre- Luís.

    Lo mismo digo una soberena chorrada, pero si de ese fichero clientes creásemos otro no haríamos otra cosa que dar “pistas” a nuestro cliente. Pensemos que se le ocurre consultar el registro de la AEPD y allí ve nuestro ficherito de evasión de capitales. Podría ir incluso en contra del propio espíritu de la ley.

    Salu2.

  4. Luis dice:

    Gracias por comentar, Javier… No, creo que no darías pista alguna… En el RGPD puedes comprobar la existencia de un fichero declarado, incluso “casi” todo el contenido de dicha inscripción, pero contenido referido a categorías de datos, cesionarios, encargados, categoría o nivel asignado en relación a medidas, origen de los datos… pero en ningún caso, obviamente, si tus datos están o no incluidos en ese fichero en forma de registro… por tanto, pistas darías (de que el fichero existe, y por tanto podría presumirse que se incorpora a afectados a él) pero nunca podrías tener la certeza de si te han inluido o no… ¿me explico?.

    Un abrazo y hasta “muy pronto” 😉

    • fjaviersempere dice:

      No te entiendo muy bien…al principio dices que “no darías pista alguna” y luego “pistas darías”. ¿En qué quedamos?

      pd: ¡ya sé que en el registro no puedes saber si están tus datos!

      curiosidad: pues algunos ciudadanos se piensan que los datos están en los respectivos registros de datos de las Agencias.

      • Luis dice:

        Vamos a ver Javier… No darías pista alguna en el sentido de esa “creencia popular” que refieres en tu comentario: nadie puede comprobar a través de RGPD si está incluido o no en un determinado fichero… básicamente porque el fichero no está en la Agencia… básico ¿no?. Pero al mismo tiempo, lo que si que evidenciarías con la inscripción es que tienes un fichero para ello… La Ley de Prevención te prohíbe que comuniques a tu cliente que has realizado al Servicio Ejecutivo una comunicación de operación sospechosa -COS-, pero para nada que tu cliente sepa que en tu empresa tienes implantados protocolos que pueden concluir con dicho reporte de información… De hecho, la propia ley te obliga a implantar esos procedimientos -y más pista que esa…- independientemente de que crees un fichero exclusivo para ello o no lo hagas, tal y como defiendo yo que podrías hacer ¿Más claro? Eso espero 😉

  5. fjaviersempere dice:

    No creo que vayas a comunicar ni tú ni nadie esos protocolos. El miércoles seguimos. Y que conste que te dí la razón desde el principio pero desde otro punto de vista, salvo claro, que como dije al principio fuese una chorrada.

    Salu2.

  6. Inmaiber dice:

    Ha sido, además de instructivo, un placer el leeros compañeros, especialmente en el detalle de las “pistas”.
    Saludos cordiales.

  7. Luis G dice:

    Luis me satisface el debate que planteas en cuanto a la LOPD versus PBC.
    Del tenor del art.10.2 a) del Reglamento de PD, a mi juicio no cabe la discusión, pues una norma de rango de LEY como la de PBC ampara la cesión de esos datos.
    Además existe un informe jurídico de la Agencia 6/2007 que trata este tema, este es el enlace:
    http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2007-0006_Cesi-oo-n-de-datos-para-control-de-blanqueo-de-capitales..pdf
    El informe (largo como todos los de la Agencia) concluye:
    “En consecuencia, y en respuesta a la concreta cuestión planteada en la consulta, no será preciso recabar el consentimiento del interesado para la comunicación de sus datos de afiliación, con indicación de la actividad desarrollada por aquél, a las entidades financieras, al encontrarse dicha cesión amparada por el artículo 3.1 de la Ley 19/1993, si bien las entidades única y exclusivamente podrán aplicar la información obtenida al cumplimiento del deber impuesto por el citado precepto.”

    NOTA. Cierto es, que hace referencia a la anterior Ley de PBC, pero la considero extensible a la actual.
    Disculpad mi pobre conocimeinto sobre PD, en cualquier caso.
    Saludos

    • Luis dice:

      De eso se trata, de adquirir constantemente conocimientos, tocayo ¿no? ;). Al contrario, muchas gracias por acercarte por aquí y opinar.

      Y en cuanto a tu comentario, el propio 32.2 de la LPB exime de la necesidad de consentimiento del interesado tanto para el tratamiento como para la cesión que suponen las comunicaciones impuestas incluso aquellas entre sujetos obligados… quedando por tanto amparados dichos supuestos en el 6.1 in fine y 11.2.a), ambos LOPD respectivamente, y siempre en mi opinión…

      Lo dicho, sabes que tus comentarios siempre son bien recibidos. Abrazo y Felices Fiestas!!!!!!

      • josema dice:

        Suerte que todo el problema para algunos sujetos obligados sea armonizar la LOPD y LPBCFT.

        • Luis dice:

          Pues puede que tengas razón, Josema, que existan otras implicaciones de más importancia para los sujetos obligados, pero esas seguro que se tratarán en blogs dedicados a otros temas. En este, por el momento, he decidido que se traten temas, fundamentalmente relacionados con la privacidad. Si quieres participar, eres bien recibido.

          Saludos,

          • josema dice:

            Gracias Luis por el ofrecimiento. Estimo que la privacidad (LOPD) no es incompatible con la confidencialidad (LPBC)y en caso de duda, debe valorarse el riesgo por incumplimiento de esta ultima.
            En el aspecto práctico entiendo que los ficheros de datos personales habituales no deben dar ningún problema.
            El resto de información del cliente, identificación, actividad, informes relacionados con PBC, solo puede estar a disposición de las autoridades en la materia.
            Saludos.

          • Luis dice:

            Gracias Josema, y perdona por el retraso en contestar tu comentario, pero creeme que llevo dos dias de auténtica locura…
            Solo matizar respecto de tu última observación: disponible para autoridades y, por supuesto, para todos los usuarios que tengan cometidos relacionados con las imposiciones de diligencia que incluye la LPB.
            Gracias de nuevo por tu participación y felices fiestas!!!

  8. José Ig Osete dice:

    Estimado Luís,

    un placer leer tus comentarios sobre el tema en cuestión, desde mi punto de vista, en lo que a protección de datos toca la ley 10/2010 lo que está regulando esta ley es que exista un marco legal acorde a lo que indica el art.11 de la LOPD, es decir una norma que valide la cesión de los datos de tus clientes al Servicio ejecutivo sin su consentimiento, a la par que regula la existencia de listas de personas art.15 de la ley (terroristas, narcos, políticos…). Sobre la creación o no del fichero, lo que intenta la ley es proteger la información que de un examen más profundo (dilegencia reforzada) puedas hacer de un cliente y resulte que hay indicios de blanqueo, en este sentido, tal y como indica la Ley (y salvo mejor interpretación de la AGPD) se deberán aplicar medidas de nivel alto dado que en ese fichero (real no conceptual) puedes tener información sobre un delito penal de un cliente. No sé si es ajustado o no, si el nivel de seguridad debería ser el medio, lo que si sé es que si vas a utilizar un sólo fichero de clientes, deberás cambiarle el nivel de seguridad.

    Como líneas de la Ley, lo que está exigiendo es que controles a tus clientes, que tengas la información necesaria para saber quien es, de dónde es y a qué dedica el tiempo libre, igualmente deberás hacer una estratificación de los mismos según el perfil de riesgo que definas a la entrada (no es lo mismo que te contrate Oubiña que JI Osete) y para aquellos que definas como riesgo alto, controlar de una manera especial, dentro de tus funciones y actividades contratadas en aras de prevenir el blanqueo de capitales.

    • Luis dice:

      Muchas gracias D. José Ignacio por dignarse Usted a vistar este rinconcito del humilde “consultor” ;))))

      Estoy “casi” de acuerdo con todo lo que dices, salvo con lo de revisar el nivel del fichero clientes y elevarlo a alto, ya que en principio, no contendrá datos sobre la realizacíón de ilícito alguno, puesto que éste debera ser determinado por el correspondiente órgano administrativo (Servicio Ejecutivo) o penal (el juzgado), y lo único que podría recoger este fichero, serían los “indicios” que la Ley 10/2010 te obliga a comunicarles para este órgano administrativo realice sus indagaciones y puedan determinar si hay o no conducta calificable como tal infracción. Opino que deberás estar a las categorías de datos que incluyas en él, y solo contendrían esos datos de infracciones administrativas o penales si la conducta hubiera ya sido calificada como tal por el correspondiente órgano…

      En serio, José Ignacio, muchas gracias por tu comentario.

      Un abrazo.

  9. Víctor Altimira dice:

    Hola a todos,

    Respecto a todos los comentarios, os doy mi opinión al respecto y mis comentarios. Vaya por delante que me dedico tanto a la privacidad como a la prevención del blanqueo de capitales y de la finanaciación del terrorismo.

    Primero, os doy un apunte: Informe 0517/2010 de la Agencia Española de Protección de Datos sobre el tema de cesiones en la materia que nos ocupa. Se puede digerir bien, pues son siete páginas bastante claras.

    Segundo: en lo que se refiere al fichero “de marras”. Además del artículo 32 de la Ley 10/2010 que citáis, también debemos tener en cuenta el artículo 15 de la misma Ley, cuando habla del tratamiento de datos de personas con responsabilidad pública (los llamadados PRP’s o PEP’s), pero que al fin y al cabo el artículo 32 vuelve a contemplar y recoger, al establecer que el tratamiento de datos de carácter personal, así como los ficheros, creados para el cumplimienro de LAS DISPOSICIONES DE ESTA LEY, se someterán a lo dispuesto en la LOPD y su normativa de desarrollo.

    Tanto el art. 15 como el 32 establecen que las medidas serán de nivel alto. ¿Porqué? (como diría Mou) pues, a mi entender, porque hay que tener un plus de garantías en cuanto a las medidas de seguridad de esa información por las consecuncias que ello puede tener y no por la información en sí. No sé si me he explicado. Aunque no hayan los datos de nivel alto establecidos en el artículo 81.3 del RLOPD, ni los del art. 7 LOPD, debemos entender que el legislador protege la intimidad de las personas que estamos “investigando” como sospechosas de blanqueo o de financiación del terrorismo, por ser sujetos obligados.

    Por eso existen tres tipos de niveles de seguridad, no? Con las de nivel alto tenemos un plus de medidas de seguridad que diferencian al resto.

    Y esta Ley en esos dos atículos citados no dejan lugar a dudas. Se deben aplicar las medidas de nivel alto. Y del estudio pormenorizado de la Ley 10/2010 entendemos que así sea. Existe un Órgano de Control Interno y de Comunicación (que recordemos que debe estar compuesto por personas de responsabilidad del sujeto obligado y no por cualquier empleado) que valora la información y debe custodiarla. Eso hace que esa información sea muy relevante.

    Tercero: Si debemos subir el nivel de seguridad del fichero de Clientes a nivel alto, o establecer un fichero nuevo al efecto, creo que depende de la situación. Muchos de los sujetos obligados ya deben tener un fichero de clientes de nivel alto (ejemplo los asesores, abogados, etc) con lo que lo único que debemos hacer es especificar una nueva finalidad y (como dice Luis Salvador)anunciar la cesión al SEPBLAC (aunque entiendo que si marcamos en el NOTA la opción de cesión Otros órganos de la administración pública, ya es suficiente. Y si creamos un fichero nuevo llamado Prevención de Blanqueo, qué pasa? Pues que estamos cumpliendo con lo que nos obliga la ley, y digo obliga porque para eso llama SUJETOS OBLIGADOS, no?

    Saludos y buen debate por parte de todos.

    • Luis dice:

      “…así como los ficheros, creados para el cumplimienro de LAS DISPOSICIONES DE ESTA LEY, se someterán a lo dispuesto en la LOPD y su normativa de desarrollo…”

      Totalmente de acuerdo con lo que dices: si creas un fichero para cumplir con la LPBC, deberás aplicar medidas de seguridad de nivel alto…

      Pero es que lo que yo trato de defender es que para pequeñas asesorías, pequeños despachos y demás pequeños “sujetos obligados”, puede no existir necesidad de crear tal fichero, al menos desde un primer momento… Y en cuanto a que tengas que elevar el nivel de protección, pues sigo encabezonado en que habría que estar a las categorías de datos que manejes en el mismo… Ya he aceptado (no sé si en este debate, o en otro) que en el momento en que tengas que notificar al Servicio Ejecutivo, se acabaron “tus días de gloria”, y seguramente debas crear ese fichero (o no)… pero si tienes suerte y no tienes ningún cliente “blanqueador”, ni ninguna operación sospechosa, podrías pasar el resto de tus días sin necesidad de elevar dicho nivel, al menos por estos motivos… A fin de cuentas, los datos que vas a recabar y los tratamientos que vas a realizar, no lo exigirían como bien afirmas, ni por aplicación del 7 de la LOPD ni por el 81 del RDLOPD…

      Y toda esta “discusión”, lo único que persigue es clarificar que aunque la LPBC dice lo que dice -ya me gustará leer algún día el reglamento que se redacte-, puedes tratar de evitar a algunos clientes elevar ese nivel de seguridad que en otros foros he leído que “forzosamente” deberían adoptar… sobre todo en caso de pequeños clientes sin posibilidad de segregar sistemas de información y que por este motivo, acabrían teniendo que aplicar alto a todos sus ficheros y teniendo que auditar cada dos años y demás…

      En cualquier caso, Víctor, muchas gracias por tus aportaciones…

  10. Víctor Altimira dice:

    Hola de nuevo,

    navegando por internet, he encontrado respuesta de la AEPD en su 3ª Sesión anual abierta a la pregunta de unos de los asistentes que paso a relatar:

    CON LA RECIENTE LEY 10/2010 DE 28 DE ABRIL, DE PREVENCIÓN DEL
    BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO,
    ENTIENDO QUE SE TIENE DE DECLARAR UN NUEVO FICHERO EN LAS
    ENTIDADES FINANCIERAS DE NIVEL ALTO ¿ES CORRECTO?¿Y
    OBLIGATORIO?¿QUÉ CAMPOS DEBE DE LLEVAR EL FICHERO? ¿QUÉ
    MEDIDAS DE SEGURIDAD SON NECESARIAS PARA ESTE TIPO DE FICHERO
    DE “NIVEL ALTO”?
    La Ley 10/2010 impone a los sujetos obligados una serie de deberes que implican el tratamiento de datos personales de los clientes. En concreto, se deben tener en cuenta las medidas de diligencia debida y examen especial de operaciones.
    Lo sujetos obligados deberán contar además con un órgano específico para la prevención que, lógicamente, llevará a cabo los tratamientos de estos datos y creará a tal efecto sus propios ficheros.
    Estos ficheros estarán sujetos a un régimen especial, cuyas características aparecen recogidas en los artículos 32 y 33 de la Ley. Su extensión será la necesaria para el cumplimiento de las obligaciones que aquélla impone.
    Las medidas de seguridad habrán de ser las de nivel alto, tal y como establece la propia Ley, siendo de aplIcacIón para ello las normas generales de la LOPD y el RLOPD.

    Os dejo el enlace: http://www.agpd.es/portalwebAGPD/jornadas/3_sesion_abierta_2010/common/SESION_ABIERTA_2010_consultas.pdf

    Saludos

  11. Luis G dice:

    La lectura de la respuesta dada en en esa jornada me parece exigua y carente de profundidad, además ¿quién puede cumplir con las medidas de nivel alto?, desde luego una SL microempresa NO puede tener los medios.
    Nuevamente observo el despropósito normativo que parece ir contra el sentido común y la capacidad económica del obligado.

    Salu2

  12. Luis dice:

    Y respecto a esta contestación en la III Sesión Abierta… puffff… me gustaría que la Agencia -o el que contestara a esta pregunta- se hubiera leído toda la LPBC con la suficiente calma como para digerirla… En la respuesta directamente te hablan de ese órgano específico (que entiendo que habrán leído en el art 26.2 LPBC y de los tratamientos que éste hará sobre la documentación que recabe… Ya me contarás tú en una asesoría con un asesor y dos administrativos quién va a formar parte del “órgano específico” y en qué van a consistir las averiguaciones que puedan realizar ;)…

    Y el cierre no tiene desperdicio: “…siendo de aplicación para ello las normas generales de la LOPD y el RLOPD” ¿Entonces? ¿Porqué le he de aplicar nivel alto? ¿porqué no he de obtener consentimiento? ¿porqué no he de informar? Si son de aplicación las normas generales de la LOPD y el RDLOPD…

    Tengo que darle valor a la respuesta de la Agencia por venir de quien viene pero de ahí a que comulgue con ella, va todo un mundo…

    No sé… me veo comulgando con ruedas de molino, pero francamente, sigo defendiendo que si no creas ficheros, puedes cumplir perfectamente con ambas leyes sin tener que complicarle la vida en exceso a las empresas…

    De nuevo muchas gracias por comentar en mi blog.

Comentar





 
Se informa a los usuarios del portal que con el envío de un comentario, están aceptando de forma implícita la política de privacidad del sitio la cual declaran haber leído y aceptado. No obstante lo anterior, en cumplimiento del artículo 5 de la LOPD, se informa a los usuarios que al pulsar “enviar comentario”, aceptan que el titular del sitio incluya sus datos en un fichero de datos de carácter personal, debidamente inscrito en el RGPD de la AEPD, cuya única finalidad es la gestión y moderación de dichos comentarios y sus posibles respuestas, así como la medición de estadísticas referentes a las visitas de la web. Dichos datos comprenderán los incluidos en el formulario que el usuario rellena así como la dirección IP desde la que accede al sitio. Si no se facilitasen dichos datos por parte del usuario, el titular no podría administrar el comentario, por lo que dicho comentario no podría ser publicado. Así mismo se informa al usuario que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con el procedimiento incluido en la política de privacidad