Cada día son más las normas sectoriales afectadas por la protección de datos de carácter personal, llegando a alcanzar desde el sector sanitario, protección de menores, publicidad, videovigilancia hasta la prevención del fraude, entre otros. En ocasiones han sido tratadas en nuestro Blog algunas de estas materias (como aquí, aquí o aquí), pero queremos centrar esta publicación en el análisis de la relación que guardan la normativa en materia de Prevención de Blanqueo de Capitales y las normas de Protección de Datos Personales.
Para ello, enfocaremos nuestra atención exclusivamente en la normativa que se encontraba vigente a fecha de 25 de mayo de 2018, resultando ya exigible el Reglamento Europeo de Protección de Datos (RGPD) y aquella que resulta aplicable a día de hoy:
- Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, mediante los que se transpone al ordenamiento jurídico español de manera tardía, (a través de los cambios introducidos por el Real Decreto-ley 11/2018), la cuarta Directiva en prevención de blanqueo de capitales (Directiva UE 2015/849).
- Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifican las Directivas 2009/138/CE y 2013/36/UE (Quinta Directiva en materia de prevención de blanqueo de capitales o Directiva 2018/843), con fecha límite de trasposición para los estados miembros ya finalizada el pasado 10 de enero de 2020.
Por lo tanto, analizamos a continuación los principios y derechos en materia de protección de datos que se encuentran regulados en esta normativa específica, así como los cambios que ha introducido la quinta Directiva en materia de prevención de blanqueo de capitales a este respecto.
Sin perjuicio de todo lo anterior, consideramos merecedor de un estudio más específico, el ámbito de aplicación subjetivo de la Ley 10/2010 y los cambios introducidos por la Directiva 2018/843 a este respecto. ¿Por qué nos interesa esta cuestión en especial?
No podemos olvidarnos de que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LODPGDD), incorpora en su artículo 34.1 j), que son sujetos obligados a nombrar un DPD las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
Aunque este apartado del artículo 34 de la LOPDGDD pueda llevar a pensar a priori que solo aplica a entidades muy concretas y enfocadas principalmente al sector financiero, lo cierto es que al determinar cuáles son los sujetos que se ven afectados por esta obligación, y acudir para ello al artículo 33 en relación con el artículo 2 de la Ley 10/2010, se engloban desde entidades de crédito, aseguradoras, asesores fiscales, casinos de juego, promotores inmobiliarios, Fundaciones y Asociaciones etcétera, sin establecer apenas limitaciones.
Supone esto entonces que, ¿todos los sujetos obligados en prevención del Blanqueo de Capitales precisan tener un DPD independientemente del volumen de clientes?
Justamente esta fue una de las preguntas que se planteaba en la 10ª sesión anual abierta de la Agencia Española de Protección de Datos, a la que la autoridad de control española respondía que “como regla general sólo se considera que están incluidos en los supuestos del RGPD por los tratamientos específicos relacionados con prevención del blanqueo los gestores de los ficheros comunes previstos en el artículo 33 de la Ley 10/2010. No obstante, muchos sujetos obligados deberían contar con un DPD como consecuencia de la actividad que desarrollan en general”.
Ante esta respuesta, podemos llegar a interpretar que únicamente cuando las entidades realicen un tratamiento de datos personales mediante un fichero de blanqueo de capitales deberán designar de manera obligatoria un DPD.
Por lo tanto, entendemos que, si una entidad, aun enmarcándose en alguno de los supuestos del artículo 2.1 de la Ley 10/2010 no realiza ningún tratamiento de datos personales basado en esta norma, podría quedar excluido como sujeto obligado a designar un DPD.
Sin perjuicio de todo lo anterior, hay que atender al contenido de la quinta Directiva en materia de prevención de blanqueo de capitales (Directiva 2018/843), y cómo se lleva a cabo su transposición al ordenamiento jurídico español, toda vez que introduce cambios y amplía el ámbito de aplicación subjetivo de esta normativa, afectando en consecuencia a los sujetos obligados a designar un DPD:
En atención a lo expuesto, confiamos en que con el tiempo y avance en la madurez de esta normativa, la AEPD pueda proporcionar directrices que permitan clarificar algunos de los aspectos o puntos que generan un mayor conflicto o complejidad a la hora de interpretar y aplicar la normativa, como en este caso suscita la obligatoriedad o no de que todos los sujetos obligados en prevención del Blanqueo de Capitales precisan tener un DPD.