L'art. 34.1.j de la LOPDGDD disposa que han de designar un delegat de protecció de dades (DPO) les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
L'art. 32 de la Llei 10/2010, de 28 d'abril, de prevenció del blanqueig de capitals i del finançament del terrorisme es refereix a la protecció de dades de caràcter personal i disposa que els subjectes obligats són RT dels fitxers de "Titularitats Financeres "que identifiquen el tractament de PBCFT.
Pel que es dedueix que hi ha un fitxer (o tractament) de PBCFT, de titularitat pública, el RT és la Secretaria d'Estat d'Economia i el ET és el SEPBLAC, i que també existeixen els fitxers (o tractaments) de PBCFT, de titularitat privada, els RT són els subjectes obligats a la Llei 10/2010, contenint les dades dels seus clients, que hauran de cedir al SEPBLAC.
En la 10a Sessió Anual Oberta de l'AEPD, de 4 de juny de 2018 preguntava per aquesta qüestió i es va resoldre així:
Pregunta: Tots els subjectes obligats en prevenció del Blanqueig de Capitals necessiten tenir un DPD independentment del volum de clients?
Resposta: Quant a l'exigibilitat d'un DPD, com a regla general només es considera que estan inclosos en els supòsits de l'RGPD pels tractaments específics relacionats amb prevenció del blanqueig els gestors dels fitxers comuns que preveu l'article 33 de la Llei 10/2010. No obstant això, molts subjectes obligats haurien de comptar amb un DPD com a conseqüència de l'activitat que desenvolupen en general.
Enllaç (pàg.5): https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf
Per tot l'exposat anteriorment, els subjectes obligats de la LPBCFT:
L'art. 33 de la Llei 10/2010 es refereix als següents subjectes obligats:
Subjetes obligats |
Les entitats de crèdit |
Les entitats asseguradores autoritzades per operar en el ram de vida i els corredors d'assegurances quan actuïn en relació amb assegurances de vida o altres serveis relacionats amb inversions, amb les excepcions que s'estableixin reglamentàriament |
Les empreses de serveis d'inversió |
Les societats gestores d'institucions d'inversió col·lectiva i les societats d'inversió la gestió de les quals no estigui encomanada a una societat gestora |
Les entitats gestores de fons de pensions |
Les societats gestores d'entitats de capital-risc i les societats de capital-risc la gestió de les quals no estigui encomanada a una societat gestora |
Les societats de garantia recíproca |
Les entitats de pagament i les entitats de diners electrònics |
Les persones que exerceixin professionalment activitats de canvi de moneda |
Els serveis postals respecte de les activitats de gir o transferència |
Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos, així com les persones que, sense haver obtingut autorització com a establiments financers de crèdit, desenvolupin professionalment alguna de les activitats a què es refereix la disposició addicional primera de la Llei 3/1994, de 14 d'abril, per la qual s'adapta la legislació espanyola en matèria d'entitats de crèdit a la Segona Directiva de Coordinació Bancària i s'introdueixen altres modificacions relatives al sistema financer |
Els promotors immobiliaris i els que exerceixin professionalment activitats d'agència, comissió o intermediació en la compravenda de béns immobles |
Els auditors de comptes, comptables externs o assessors fiscals |
Els notaris i els registradors de la propietat, mercantils i de béns mobles |
Els advocats, procuradors o altres professionals independents quan participin en la concepció, realització o assessorament d'operacions per compte de clients relatives a la compravenda de béns immobles o entitats comercials, la gestió de fons, valors o altres actius, l'obertura o gestió de comptes corrents, comptes d'estalvis o comptes de valors, l'organització de les aportacions necessàries per a la creació, el funcionament o la gestió d'empreses o la creació, el funcionament o la gestió de fideïcomisos («trusts»), societats o estructures anàlogues, o quan actuïn per compte de clients en qualsevol operació financera o immobiliària |
Les persones que amb caràcter professional i d'acord amb la normativa específica que en cada cas sigui aplicable prestin els següents serveis per compte de tercers:
|
Els casinos de joc |
Les persones que comercien professionalment amb joies, pedres o metalls preciosos |
Les persones que comercien professionalment amb objectes d'art o antiguitats |
Les persones que exerceixin professionalment les activitats a què es refereix l'article 1 de la Llei 43/2007, de 13 de desembre, de protecció dels consumidors en la contractació de béns amb oferta de restitució del preu (segells, obres d'art, antiguitats, joies, arbres, boscos naturals, animals en tot cas) |
Les persones que exerceixin activitats de dipòsit, custòdia o transport professional de fons o mitjans de pagament |
Les persones responsables de la gestió, explotació i comercialització de loteries o altres jocs d'atzar presencials o per mitjans electrònics, informàtics, telemàtics i interactius. En el cas de loteries, apostes mútues esportiu-benèfiques, concursos, bingos i màquines recreatives tipus "B" únicament respecte de les operacions de pagament de premis |
Les persones físiques que realitzin moviments de mitjans de pagament, en els termes que estableix l'article 34 (Obligació de declarar) |
Les persones que comercien professionalment amb béns, en els termes que estableix l'article 38 (Comerç de béns) |
Les fundacions i associacions, en els termes que estableix l'article 39 (Fundacions i associacions) |
Els gestors de sistemes de pagament i de compensació i liquidació de valors i productes financers derivats, (Entitats gestores col·laboradores) |
La Llei 10/2010 també disposa una sèrie d'articles relacionats amb la protecció de dades que hem considerat important exposar-los per al seu coneixement:
Article 32. Protecció de dades de caràcter personal.
1. El tractament de dades de caràcter personal, així com els fitxers, automatitzats o no, creats per al compliment de les disposicions d'aquesta Llei s'han de sotmetre al que disposa la Llei Orgànica 15/1999 i la seva normativa de desenvolupament.
2. No es requerirà el consentiment de l'interessat per al tractament de dades que sigui necessari per al compliment de les obligacions d'informació a què es refereix el capítol III.
Tampoco será necesario el mencionado consentimiento para las comunicaciones de datos previstas en el citado Capítulo y, en particular, para las previstas en el artículo 24.2.
3. En virtut del que disposa l'article 24.1, i en relació amb les obligacions a què es refereix l'apartat anterior, no és aplicable al tractament de dades l'obligació d'informació que preveu l'article 5 de la Llei Orgànica 15 / 1999.
Així mateix, no són aplicables als fitxers i tractaments als quals es refereix aquest precepte les normes contingudes en l'esmentada Llei Orgànica referides a l'exercici dels drets d'accés, rectificació, cancel·lació i oposició. En cas d'exercici dels citats drets per l'interessat, els subjectes obligats s'han de limitar a posar-li de manifest que disposa aquest article.
El que disposa el present apartat serà igualment aplicable als fitxers creats i gestionats pel Servei Executiu de la Comissió per al compliment de les funcions que li atorga aquesta Llei.
4. Els òrgans centralitzats de prevenció a què es refereix l'article 27 tindran la condició d'encarregats del tractament als efectes que preveu la normativa de protecció de dades de caràcter personal.
5. Seran d'aplicació als fitxers als quals es refereix aquest article les mesures de seguretat de nivell alt que preveu la normativa de protecció de dades de caràcter personal.
Article 33. Intercanvi d'informació entre subjectes obligats i fitxers centralitzats de prevenció del frau.
1. Sense perjudici del que estableix l'article 24.2, quan concorrin les circumstàncies excepcionals que es determinin per reglament, la Comissió de Prevenció del Blanqueig de Capitals i Infraccions Monetàries pot acordar l'intercanvi d'informació referida a determinat tipus d'operacions diferents de les que preveu l'article 18 oa clients subjectes a determinades circumstàncies sempre que aquest es produeixi entre subjectes obligats que es trobin en una o diverses de les categories previstes a l'article 2.
L'Acord determinarà en tot cas el tipus d'operació o la categoria de client respecte de la qual s'autoritza l'intercanvi d'informació, així com les categories de subjectes obligats que podran intercanviar la informació.
2. Així mateix, els subjectes obligats poden intercanviar informació relativa a les operacions a què es refereixen els articles 18 i 19 amb l'única finalitat de prevenir o impedir operacions relacionades amb el blanqueig de capitals o el finançament del terrorisme quan de les característiques o operativa del supòsit concret es desprengui la possibilitat que, un cop rebutjada, pugui intentar-se davant d'altres subjectes obligats al desenvolupament d'una operativa total o parcialment similar a aquella.
3. Els subjectes obligats i les autoritats judicials, policials i administratives competents en matèria de prevenció o repressió del blanqueig de capitals o de finançament del terrorisme podran consultar la informació continguda en els fitxers que siguin creats, d'acord amb el que preveu la normativa vigent en matèria de protecció de dades de caràcter personal, per entitats privades amb la finalitat de prevenció del frau en el sistema financer, sempre que l'accés a aquesta informació sigui necessari per a les finalitats descrites en els apartats anteriors.
4. L'accés a les dades a què es refereix aquest precepte ha de quedar limitat als òrgans de control intern que preveu l'article 26 ter, amb inclusió de les unitats tècniques que constitueixin els subjectes obligats.
5. No és aplicable als intercanvis d'informació previstos en aquest article el que disposa la Llei Orgànica 15/1999 pel que fa a l'exigència de consentiment de l'interessat, el deure d'informació al mateix i l'exercici dels drets d'accés, rectificació, cancel·lació i oposició.
Són aplicables als tractaments derivats de les comunicacions previstes en aquest article les mesures de seguretat de nivell alt que preveu la normativa de protecció de dades de caràcter personal.