Designar un DPO per la prevenció del blanqueig de capitals


Josep Aragonés Salvat     01/10/2019



Obligació de designar un DPO
per als subjectes obligats de la LPBCFT

 

Normativa aplicable

 

L'art. 34.1.j de la LOPDGDD disposa que han de designar un delegat de protecció de dades (DPO) les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.

L'art. 32 de la Llei 10/2010, de 28 d'abril, de prevenció del blanqueig de capitals i del finançament del terrorisme es refereix a la protecció de dades de caràcter personal i disposa que els subjectes obligats són RT dels fitxers de "Titularitats Financeres "que identifiquen el tractament de PBCFT.

Pel que es dedueix que hi ha un fitxer (o tractament) de PBCFT, de titularitat pública, el RT és la Secretaria d'Estat d'Economia i el ET és el SEPBLAC, i que també existeixen els fitxers (o tractaments) de PBCFT, de titularitat privada, els RT són els subjectes obligats a la Llei 10/2010, contenint les dades dels seus clients, que hauran de cedir al SEPBLAC.

En la 10a Sessió Anual Oberta de l'AEPD, de 4 de juny de 2018 preguntava per aquesta qüestió i es va resoldre així:

Pregunta: Tots els subjectes obligats en prevenció del Blanqueig de Capitals necessiten tenir un DPD independentment del volum de clients?

Resposta: Quant a l'exigibilitat d'un DPD, com a regla general només es considera que estan inclosos en els supòsits de l'RGPD pels tractaments específics relacionats amb prevenció del blanqueig els gestors dels fitxers comuns que preveu l'article 33 de la Llei 10/2010. No obstant això, molts subjectes obligats haurien de comptar amb un DPD com a conseqüència de l'activitat que desenvolupen en general.


Enllaç (pàg.5): https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf
  

Recomendació

 
Per tot l'exposat anteriorment, els subjectes obligats de la LPBCFT:

  • Hauran de designar obligatòriament un DPO, quan:
    • L'empresa realitzi un tractament de dades personals (persones físiques) com RT, mitjançant el fitxer de BLANQUEIG DE CAPITALS.
  • No serà necessari designar un DPO obligatòriament, quan:
    • L'empresa no realitza cap tractament de dades basat en la LPBCFT.
    • L'empresa únicament realitza un tractament de dades basat en la LPBCFT d'empreses (persones jurídiques) i en cap cas de dades personals (persones físiques).

Subjectes obligats

 

L'art. 33 de la Llei 10/2010 es refereix als següents subjectes obligats:

Subjetes obligats

Les entitats de crèdit

Les entitats asseguradores autoritzades per operar en el ram de vida i els corredors d'assegurances

quan actuïn en relació amb assegurances de vida o altres serveis relacionats amb inversions, amb les excepcions que s'estableixin reglamentàriament

Les empreses de serveis d'inversió

Les societats gestores d'institucions d'inversió col·lectiva i les societats d'inversió

la gestió de les quals no estigui encomanada a una societat gestora

Les entitats gestores de fons de pensions

Les societats gestores d'entitats de capital-risc i les societats de capital-risc

la gestió de les quals no estigui encomanada a una societat gestora

Les societats de garantia recíproca

Les entitats de pagament i les entitats de diners electrònics

Les persones que exerceixin professionalment activitats de canvi de moneda

Els serveis postals respecte de les activitats de gir o transferència

Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos,

així com les persones que, sense haver obtingut autorització com a establiments financers de crèdit, desenvolupin professionalment alguna de les activitats a què es refereix la disposició addicional primera de la Llei 3/1994, de 14 d'abril, per la qual s'adapta la legislació espanyola en matèria d'entitats de crèdit a la Segona Directiva de Coordinació Bancària i s'introdueixen altres modificacions relatives al sistema financer

Els promotors immobiliaris i els que exerceixin professionalment activitats d'agència, comissió o intermediació en la compravenda de béns immobles

Els auditors de comptes, comptables externs o assessors fiscals

Els notaris i els registradors de la propietat, mercantils i de béns mobles

Els advocats, procuradors o altres professionals independents

quan participin en la concepció, realització o assessorament d'operacions per compte de clients relatives a la compravenda de béns immobles o entitats comercials, la gestió de fons, valors o altres actius, l'obertura o gestió de comptes corrents, comptes d'estalvis o comptes de valors, l'organització de les aportacions necessàries per a la creació, el funcionament o la gestió d'empreses o la creació, el funcionament o la gestió de fideïcomisos («trusts»), societats o estructures anàlogues, o quan actuïn per compte de clients en qualsevol operació financera o immobiliària

Les persones que amb caràcter professional i d'acord amb la normativa específica que en cada cas sigui aplicable prestin els següents serveis per compte de tercers:

  • constituir societats o altres persones jurídiques;

  • exercir funcions de direcció o de secretaris no consellers de consell d'administració o d'assessoria externa d'una societat, soci d'una associació o funcions similars en relació amb altres persones jurídiques o disposar que una altra persona exerceixi aquestes funcions;

  • facilitar un domicili social o una direcció comercial, postal, administrativa i altres serveis afins a una societat, una associació o qualsevol altre instrument o persona jurídics;

  • exercir funcions de fiduciari en un fideïcomís (trust) o instrument jurídic similar o disposar que una altra persona exerceixi aquestes funcions;

  • o exercir funcions d'accionista per compte d'una altra persona, exceptuant les societats que cotitzin en un mercat regulat de la Unió Europea i que estiguin subjectes a requisits d'informació d'acord amb el Dret de la Unió o normes internacionals equivalents que garanteixin l'adequada transparència de la informació sobre la propietat, o disposar que una altra persona exerceixi aquestes funcions

Els casinos de joc

Les persones que comercien professionalment amb joies, pedres o metalls preciosos

Les persones que comercien professionalment amb objectes d'art o antiguitats

Les persones que exerceixin professionalment les activitats a què es refereix l'article 1 de la Llei 43/2007, de 13 de desembre, de protecció dels consumidors en la contractació de béns amb oferta de restitució del preu

(segells, obres d'art, antiguitats, joies, arbres, boscos naturals, animals en tot cas)

Les persones que exerceixin activitats de dipòsit, custòdia o transport professional de fons o mitjans de pagament

Les persones responsables de la gestió, explotació i comercialització de loteries o altres jocs d'atzar presencials o per mitjans electrònics, informàtics, telemàtics i interactius.

En el cas de loteries, apostes mútues esportiu-benèfiques, concursos, bingos i màquines recreatives tipus "B" únicament respecte de les operacions de pagament de premis

Les persones físiques que realitzin moviments de mitjans de pagament, en els termes que estableix l'article 34

(Obligació de declarar)

Les persones que comercien professionalment amb béns, en els termes que estableix l'article 38

(Comerç de béns)

Les fundacions i associacions, en els termes que estableix l'article 39

(Fundacions i associacions)

Els gestors de sistemes de pagament i de compensació i liquidació de valors i productes financers derivats,

així com els gestors de targetes de crèdit o dèbit emeses per altres entitats, en els termes que estableix l'article 40

(Entitats gestores col·laboradores)

Normativa relacionada amb la prevenció del blanqueig de capitals i la protecció de dades


La Llei 10/2010 també disposa una sèrie d'articles relacionats amb la protecció de dades que hem considerat important exposar-los per al seu coneixement:

Article 32. Protecció de dades de caràcter personal.

1. El tractament de dades de caràcter personal, així com els fitxers, automatitzats o no, creats per al compliment de les disposicions d'aquesta Llei s'han de sotmetre al que disposa la Llei Orgànica 15/1999 i la seva normativa de desenvolupament.

2. No es requerirà el consentiment de l'interessat per al tractament de dades que sigui necessari per al compliment de les obligacions d'informació a què es refereix el capítol III.
Tampoco será necesario el mencionado consentimiento para las comunicaciones de datos previstas en el citado Capítulo y, en particular, para las previstas en el artículo 24.2.

3. En virtut del que disposa l'article 24.1, i en relació amb les obligacions a què es refereix l'apartat anterior, no és aplicable al tractament de dades l'obligació d'informació que preveu l'article 5 de la Llei Orgànica 15 / 1999.
Així mateix, no són aplicables als fitxers i tractaments als quals es refereix aquest precepte les normes contingudes en l'esmentada Llei Orgànica referides a l'exercici dels drets d'accés, rectificació, cancel·lació i oposició. En cas d'exercici dels citats drets per l'interessat, els subjectes obligats s'han de limitar a posar-li de manifest que disposa aquest article.

El que disposa el present apartat serà igualment aplicable als fitxers creats i gestionats pel Servei Executiu de la Comissió per al compliment de les funcions que li atorga aquesta Llei.

4. Els òrgans centralitzats de prevenció a què es refereix l'article 27 tindran la condició d'encarregats del tractament als efectes que preveu la normativa de protecció de dades de caràcter personal.

5. Seran d'aplicació als fitxers als quals es refereix aquest article les mesures de seguretat de nivell alt que preveu la normativa de protecció de dades de caràcter personal.


Article 33. Intercanvi d'informació entre subjectes obligats i fitxers centralitzats de prevenció del frau.

1. Sense perjudici del que estableix l'article 24.2, quan concorrin les circumstàncies excepcionals que es determinin per reglament, la Comissió de Prevenció del Blanqueig de Capitals i Infraccions Monetàries pot acordar l'intercanvi d'informació referida a determinat tipus d'operacions diferents de les que preveu l'article 18 oa clients subjectes a determinades circumstàncies sempre que aquest es produeixi entre subjectes obligats que es trobin en una o diverses de les categories previstes a l'article 2.

L'Acord determinarà en tot cas el tipus d'operació o la categoria de client respecte de la qual s'autoritza l'intercanvi d'informació, així com les categories de subjectes obligats que podran intercanviar la informació.

2. Així mateix, els subjectes obligats poden intercanviar informació relativa a les operacions a què es refereixen els articles 18 i 19 amb l'única finalitat de prevenir o impedir operacions relacionades amb el blanqueig de capitals o el finançament del terrorisme quan de les característiques o operativa del supòsit concret es desprengui la possibilitat que, un cop rebutjada, pugui intentar-se davant d'altres subjectes obligats al desenvolupament d'una operativa total o parcialment similar a aquella.

3. Els subjectes obligats i les autoritats judicials, policials i administratives competents en matèria de prevenció o repressió del blanqueig de capitals o de finançament del terrorisme podran consultar la informació continguda en els fitxers que siguin creats, d'acord amb el que preveu la normativa vigent en matèria de protecció de dades de caràcter personal, per entitats privades amb la finalitat de prevenció del frau en el sistema financer, sempre que l'accés a aquesta informació sigui necessari per a les finalitats descrites en els apartats anteriors.

4. L'accés a les dades a què es refereix aquest precepte ha de quedar limitat als òrgans de control intern que preveu l'article 26 ter, amb inclusió de les unitats tècniques que constitueixin els subjectes obligats.

5. No és aplicable als intercanvis d'informació previstos en aquest article el que disposa la Llei Orgànica 15/1999 pel que fa a l'exigència de consentiment de l'interessat, el deure d'informació al mateix i l'exercici dels drets d'accés, rectificació, cancel·lació i oposició.
Són aplicables als tractaments derivats de les comunicacions previstes en aquest article les mesures de seguretat de nivell alt que preveu la normativa de protecció de dades de caràcter personal.