Con la reciente publicación de la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas (conocida como la Ley «Crea y Crece»), su Disposición Final Segunda ha modificado la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBCFT) y, en particular, los artículos relativos a la protección de datos personales y al intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude.
Así, se modifican los artículos 32 y 33 de la LPBCFT y se añade un nuevo artículo 32 ter a dicha ley.
¿Qué decía el anterior artículo 32 de la LPBCFT sobre los datos personales?
El anterior artículo 32 de la LPBCFT regulaba la protección de datos de carácter personal y sometía el tratamiento de los datos a la normativa, ahora derogada, de protección de datos personales, la Ley 15/1999 y su normativa de desarrollo, y se establecía que no se requiere el consentimiento del interesado para el tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información que la LPBCFT impone a los sujetos obligados.
Asimismo, se establecía una excepción a la aplicación del artículo 5 de la ya derogada Ley 15/1999, en la medida en que no se requería el consentimiento ni el deber de información a la hora de comunicar al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) que se está examinando o puede examinarse alguna operación de un usuario por estar relacionada con el blanqueo de capitales o con la financiación del terrorismo.
De igual forma, no era de aplicación a los ficheros y tratamientos de datos personales creados para el cumplimiento de las disposiciones de la LPBCFT, las normas contenidas en la citada Ley derogada referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
El apartado cuarto del anterior artículo 32 de la LPBCFT establecía que los órganos centralizados de prevención del blanqueo de capitales tenían la condición de encargados del tratamiento. Por último, el apartado quinto establecía que eran de aplicación a los ficheros de datos las medidas de seguridad de nivel alto, previstas en la ya derogada normativa de protección de datos personales.
¿Cómo es ahora este artículo 32 de la ley española sobre prevención del blanqueo de capitales?
Con la Disposición Final Segunda de la Ley «Crea y Crece», este artículo se ha modificado sobremanera, quedando el texto como sigue:
«1. El tratamiento de datos personales para el cumplimiento de las obligaciones establecidas en el capítulo III de esta ley se encuentra amparado por lo dispuesto en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el artículo 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no precisando del consentimiento del interesado.
Tampoco será necesario el consentimiento para las comunicaciones de datos previstas en el citado capítulo y, en particular, para las previstas en el artículo 24.2, quedando igualmente amparadas por el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre.
2. En virtud de lo dispuesto en el artículo 24.1, y de conformidad con el artículo 14.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 14 del mencionado Reglamento en relación con los tratamientos a los que se refiere el apartado anterior.
Asimismo, de conformidad con el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no procederá la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento en relación con los citados tratamientos. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.
Lo dispuesto en el presente apartado será igualmente aplicable a los tratamientos llevados a cabo por el Servicio Ejecutivo de la Comisión para el cumplimiento de las funciones que le otorga esta ley.
3. Los órganos centralizados de prevención a los que se refiere el artículo 27 tendrán la condición de encargados del tratamiento a los efectos previstos en la normativa de protección de datos personales.
Se exceptúan de lo señalado en el párrafo anterior los tratamientos que llevasen a cabo los órganos centralizados de prevención de incorporación obligatoria en el ámbito de las funciones que se les atribuyan reglamentariamente. La norma reglamentaria especificará los supuestos en que estos órganos tengan la condición de responsables del tratamiento.
4. Los sujetos obligados deberán realizar una evaluación de impacto en la protección de datos de los tratamientos a los que se refiere este artículo a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos.
En todo caso, el tratamiento deberá llevarse únicamente a cabo por los órganos a los que se refiere el artículo 26 ter de esta ley.
5. Serán de aplicación a los ficheros creados en aplicación de lo dispuesto en el capítulo III las medidas de seguridad y control reforzadas.»
Vemos, en primer lugar, que ahora se hace referencia a la normativa vigente sobre protección de datos personales, esto es, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
No obstante, el contenido del apartado primero sigue estableciendo en esencia lo mismo: que el tratamiento de datos personales que se lleve a cabo para cumplir con lo dispuesto en la normativa de prevención de blanqueo de capitales se encuentra amparado por lo dispuesto en el artículo 8.1 de la LOPDGDD y el artículo 6.1.c) del RGPD, y, en consecuencia, no es necesario contar con el consentimiento del interesado, ya que dicho tratamiento se considera fundado en el cumplimiento de una obligación legal exigible al responsable. De la misma forma, no será aplicable la obligación de información relativa al tratamiento de datos personales, por ser aplicable las excepciones previstas en el artículo 14.5 del RGPD. De igual manera, no procederá la atención de los derechos de acceso, rectificación, supresión, limitación, portabilidad de los datos y oposición, así como el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, en relación con el tratamiento de datos personales en cumplimiento de la LPBCFT.
En segundo lugar, la consideración de encargados del tratamiento a los órganos centralizados de prevención se mantiene igual. No obstante, el nuevo artículo hace una precisión y matiza que se exceptúan los tratamientos de datos que lleven a cabo los órganos centralizados de prevención de incorporación obligatoria en el ámbito de las funciones que se les atribuyan reglamentariamente, en cuyo caso será la norma reglamentaria la que especificará los supuestos en que estos órganos tengan la condición de responsables del tratamiento.
Se incorpora, además, una nueva obligación a los sujetos obligados por la LPBCFT consistente en la realización de una evaluación de impacto sobre la protección de datos de los tratamientos que realizan, con el fin de adoptar medidas técnicas y organizativas reforzadas que garanticen la integridad, confidencialidad y disponibilidad de los datos personales. Este tratamiento sólo podrá llevarse a cabo, además, por el Órgano de Control Interno y el representante ante el SEPBLAC.
¿Qué se incluye en el artículo 32 ter?
El nuevo artículo 32 ter establece que los sujetos obligados pertenecientes a una misma categoría podrán crear sistemas comunes de información, almacenamiento y acceso a la información para el cumplimiento de las obligaciones de diligencia debida. En este caso, todos ellos serán corresponsables del tratamiento de los datos personales y deberán comunicar al SEPBLAC la intención de constituir estos sistemas al menos sesenta días antes de su puesta en funcionamiento.
Hay que recordar que el artículo 32 bis fue introducido en el año 2021 por el artículo tercero del Real Decreto Ley 7/2021, de 27 de abril, de transposición al Derecho español de las directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores. Este Real Decreto Ley transpone, en particular, la Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo (conocida como la Quinta Directiva).
Este artículo también versa sobre la protección de datos personales en el cumplimiento de las obligaciones de diligencia debida, que, de nuevo, se encuentra amparado por los artículos 8.1 de la LOPDGDD y 6.1.c) del RGPD y se establece, además, que los datos recogidos por los sujetos obligados para el cumplimiento de las obligaciones de diligencia debida no podrán ser utilizados para fines distintos de los relacionados con la prevención del blanqueo de capitales sin el consentimiento del interesado.
¿En qué ha cambiado el artículo 33 de la LPBCFT?
El artículo 33 regula el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude. Con la redacción anterior, se establecía que, si se daban ciertas circunstancias excepcionales, determinadas reglamentariamente, el SEPBLAC podía acordar el intercambio de información entre dos sujetos obligados. En cambio, con la nueva redacción introducida por la Ley «Crea y Crece», se hace referencia a los riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales, de manera que, cuando los mismos concurran, el SEPBLAC, previo dictamen de la Agencia Española de Protección de Datos (AEPD) podrá acordar el intercambio de información entre sujetos obligados.
Tanto la nueva redacción como la anterior establece, asimismo, que será posible el intercambio de información entre sujetos obligados, relativa a operaciones de comunicación por indicio, con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales, cuando se tengan sospechas de que el hecho delictivo pueda intentarse ante otros sujetos obligados.
Tal tratamiento de datos personales – el intercambio de los mismos entre sujetos obligados – se puede acoger, de igual forma, a lo dispuesto en los artículos 8.2 de la LOPDGDD y 6.1.e) del RGPD. Tampoco se modifica el apartado relativo a la circustancia de que tanto los sujetos obligados como las autoridades judiciales, policiales y administrativas competentes puedan consultar la información contenida en los ficheros creados.
Por último, se añade un apartado nuevo a este artículo 33 de la LPBCFT en el que se establece que los sujetos obligados o quienes desarrollen los sistemas que sirvan de soporte al intercambio de información deberán realizar una evaluación de impacto sobre la protección de datos personales y adoptar medidas que garanticen la trazabilidad de los accesos y las comunicaciones de los datos.
Datos personales y LPBCFT
En definitiva, la nueva redacción de estos artículos a la LPBCFT conduce a que los sujetos obligados por la normativa de blanqueo de capitales deban actualizarse y afrontar nuevas obligaciones en materia de protección de datos personales. Para ello, no sólo será imprescindible contar con abogados expertos en blanqueo de capitales, sino que será necesario además tener cerca abogados especialistas en protección de datos que le puedan asesorar debidamente.
