Designar un DPO por la Prevención de Blanqueo de Capitales (LPBCFT)
NORMATIVA APLICABLE
El art. 34.1.j de la LOPDGDD dispone que deben designar un delegado de protección de datos (DPO) las entidades responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
La LOPDGDD habla de entidades responsables de llevar ficheros regulados en la Ley 10/2010 de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT), y por tanto no incluye a todas aquellas entidades sujetas a la Ley, que pueden estar sometidas a la misma sin necesidad de estar obligadas a llevar determinados ficheros en ella regulados.
El artículo 15.2 de la LPBCFT establece que será posible la creación por terceros distintos de los sujetos obligados de ficheros en los que se incluyan los datos identificativos de quienes tengan la condición de personas con responsabilidad pública con la exclusiva finalidad de colaborar con los sujetos obligados en el cumplimiento de las medidas reforzadas de diligencia debida. Quienes procedan a la creación de estos ficheros no podrán emplear los datos para ninguna otra finalidad distinta de la señalada en el párrafo anterior.
El artículo 33.2 de la LPBCFT señala que los sujetos obligados podrán intercambiar información relativa a las operaciones a las que se refieren los artículos 18 y 19 con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla.
En relación con este último supuesto, el Real Decreto 304/2014, por el que se aprueba el Reglamento de la LPBCFT establece en su art. 61 que se pueden crear Ficheros comunes para el cumplimiento de las obligaciones en materia de prevención, en determinados supuestos:
1. Cuando concurran riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales y financiación del terrorismo, la Comisión, previo dictamen conforme de la Agencia Española de Protección de Datos, podrá autorizar el intercambio de información sobre determinadas categorías de operaciones o clientes.
2. Cuando las operaciones que hayan sido objeto de comunicación por indicio al Servicio Ejecutivo de la Comisión y posterior rechazo por el sujeto obligado, por sus características, pudieran ser intentadas en forma idéntica o similar ante otro sujeto obligado, la Comisión, previo dictamen conforme de la de la Agencia Española de Protección de Datos, podrá autorizar a los sujetos obligados el establecimiento, bien directamente o por medio de las asociaciones a la que pertenecieran, de ficheros comunes para el intercambio de esta información.
En consecuencia y respecto a la designación obligatoria de un DPO en los términos previstos en el artículo 34.1.j) de la LOPDGDD, podemos entender que alcanzará a las entidades responsables de sistemas que fuesen creados por los responsables de ficheros regulados por la LPBCFT (como los del artículo 15.2 y 33.3 de la Ley), es decir del fichero común de intercambio de información circunscrito a las entidades que tengan la consideración de sujetos obligados de conformidad con lo previsto por la LPBCFT (artículo 2).
En la 10ª Sesión Anual Abierta de la AEPD, de 4 de junio de 2018 se preguntaba por esta cuestión y se resolvió así:
Pregunta: ¿Todos los sujetos obligados en prevención del Blanqueo de Capitales precisan tener un DPD independientemente del volumen de clientes?
Respuesta: En cuanto a la exigibilidad de un DPD, como regla general sólo se considera que están incluidos en los supuestos del RGPD por los tratamientos específicos relacionados con prevención del blanqueo los gestores de los ficheros comunes previstos en el artículo 33 de la Ley 10/2010. No obstante, muchos sujetos obligados deberían contar con un DPD como consecuencia de la actividad que desarrollan en general.
Enlace (pág. 5): https://www.aepd.es/documento/9-preguntas.pdf
RECOMENDACIÓN
Por todo lo expuesto anteriormente, los sujetos obligados de la LPBCFT solo deben designar conforme al art. 34.1.j de la LOPDGDD un DPO, cuando además fuesen responsables de algún fichero común de intercambio de información, autorizado por la Comisión y previo dictamen conforme de la AEPD, en los casos que:
1. Concurran riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales y financiación del terrorismo.
2. Las operaciones que hayan sido objeto de comunicación por indicio al Servicio Ejecutivo de la Comisión y posterior rechazo por el sujeto obligado, por sus características, pudieran ser intentadas en forma idéntica o similar ante otro sujeto obligado, bien directamente el sujeto o por medio de las asociaciones a la que pertenecieran.
ARTÍCULOS DE LA NORMATIVA DE PREVENCIÓN DE BLANQUEO DE CAPITALES REFERENCIADOS EN EL DOCUMENTO Y OTROS RELATIVOS A LA PROTECCIÓN DE DATOS
Ley 10/2010 de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo
- Artículo 2. Sujetos obligados
- Artículo 15. Tratamiento de datos de personas con responsabilidad pública
- Artículo 32. Protección de datos de carácter personal.
- Artículo 32 bis. Protección de datos en el cumplimiento de las obligaciones de diligencia debida
- Artículo 32 ter
- Artículo 33. Intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude
Real Decreto 304/2014, por el que se aprueba el Reglamento de la LPBCFT:
.