La LOPD y el blanqueo de capitales en España

El artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, hace referencia a la ley de protección de datos personales, la LOPD en los siguientes puntos:

El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de esta Ley se someterán a lo dispuesto en la LOPD y su normativa de desarrollo, debiendo cumplir con las medidas de seguridad de nivel alto previstas en dicha normativa de protección de datos.

El tratamiento de datos de carácter personal estará exento tanto de la obligación de información como del consentimiento exigido en la LOPD en cumplimiento de la propia Ley; tampoco se prestará el consentimiento para la cesión de dichos datos a la autoridad competente en materia de lucha contra el blanqueo de capitales o financiación del terrorismo.

No serán de aplicación a los ficheros y tratamientos las normas contenidas en la LOPD referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a poner de manifiesto lo dispuesto en el artículo 32 de la Ley.

Además de lo anterior, si se trata de datos de personas con responsabilidad pública se deberá de tener en cuenta lo siguiente:

  • Los sujetos obligados podrán proceder a la creación de ficheros que contengan los datos identificativos de las personas con responsabilidad pública, aún cuando no mantuvieran con las mismas una relación de negocios.
  • A tal efecto los sujetos obligados podrán recabar la información disponible acerca de las personas con responsabilidad pública sin contar con el consentimiento de los interesados, aún cuando dicha información no se encuentre disponible en fuentes accesibles al público.
  • Los datos contenidos en los ficheros únicamente podrán ser utilizados para el cumplimiento de las medidas reforzadas de diligencia debida previstas en la ley.
    Quienes procedan a la creación de estos ficheros no podrán emplear los datos para ninguna otra finalidad distinta.
  • No será preciso informar a los afectados acerca de la inclusión de sus datos en los ficheros.
  • En todo caso deberán implantarse sobre el fichero las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.
    El capítulo II de la Ley de blanqueo de capitales trata las medidas de diligencia debida (normales, simplificadas y reforzadas) que deben adoptar los sujetos obligados, entre las que destacan las obligaciones de identificación, tanto formal como real, de la persona que directa o indirectamente, sea titular real del capital que se pueda estar pretendiendo blanquear.

Estas medidas de identificación y averiguación deberán estar recogidas en un manual o protocolo escrito, sobre el que se deberá formar a los empleados, y variarán en función del riesgo y dependiendo del tipo de cliente, relación de negocios, producto u operación.

No obstante, en lo que respecta al nivel de seguridad del fichero, debe tenerse en cuenta lo establecido por el art. 81.8 del RLOPD que hace referencia a la posibilidad de segregación de datos de un mismo fichero con distintas medidas de seguridad aplicables (…) cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad.

En conclusión, no basta con conocer la normativa de protección de datos de carácter personal en España, sino que se deben conocer y aplicar las particularidades específicas establecidas por cada una de las normas sectoriales.

Cristina Sandoval & Jesús Sánchez

Este artículo no constituye asesoramiento jurídico

Jesús Sánchez

Licenciado en Derecho Jurídico Empresarial por la Universidad San Pablo CEU, Jesús Sánchez está especializado en seguridad de la información. Idiomas de trabajo: español e inglés. Si desea información adicional Contacte con Jesús Sánchez