Privacidad y normativa de blanqueo de capitales: límites al tratamiento y cesión de información personal

La relación entre la Quinta Directiva de Blanqueo de Capitales Directiva de la UE (2018/843) y el GDPR (EU 2016/679) no deja de ser espinosa desde la promulgación de las primeras directrices de la anterior legislación. La necesidad de acceder y compartir información identificativa de ciertas personas físicas para cumplir con la Directiva, debe encontrar un límite concreto delimitado por el respeto a los principios base del Reglamento

La verdadera cuestión a esgrimir en el presente análisis intenta centrarse en la incidencia y el alcance que efectivamente puede tener la normativa de Protección de datos, tanto a nivel europeo (GDPR) como a nivel nacional (LOPDgdd) en su relación con la normativa de blanqueo de capitales. Con unos límites y obligaciones claramente fijados, sería más sencillo determinar el efectivo alcance del interés legítimo que podría existir por parte de los poderes públicos para habilitar el tratamiento de información de carácter personal, y con ello ser capaces de asegurar el respeto a los Derechos Fundamentales de Privacidad y Protección de Datos Personales, ampliamente reconocidos y consensuados por la normativa europea.

Desde luego, la activación de una posible (y necesaria, seguramente) investigación en materia de blanqueo de capitales no puede, o no debería en ningún caso, conculcar ni mermar los derechos particulares reconocidos en el nivel más alto posible; el de los Derechos Fundamentales.

El 10 de enero de este año finalizó el plazo para la transposición de la Quinta Directiva de Blanqueo de Capitales. En noviembre de 2018 el Ministerio de Economía y Empresa (actual Ministerio de Asuntos Económicos y Transformación Digital) ya publicó la consulta pública previa obligatoria. En dicho documento se indicaba que era el momento adecuado de realizar otros cambios precisos en la Ley 10/2010 e incluía la revisión y actualización de las normas en materia de protección de datos. A fecha de hoy seguimos esperando la aprobación de esta nueva Ley 10/2010. La Comisión Europea ya realizó un requerimiento a España y algunos otros países para transponer la Quinta Directiva y ahora está iniciando un procedimiento sancionador.

España haría bien en aprovechar esta actualización tardía para incorporar también las novedades de la Sexta Directiva de prevención de blanqueo cuya fecha límite es el 3 de diciembre de este mismo año.

Desde la promulgación de la anterior Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, se han venido produciendo diversas actualizaciones en el catálogo de objetivos originarios de la regulación europea contra el Blanqueo de Capitales.

Tras la entrada en vigor de la Quinta Directiva de la Unión (2018/843) se ha venido produciendo una ampliación de ese numerus clausus de objetivos, que no parece conseguir identificarse claramente en el presente, y que por su incidencia en materia de Privacidad y el respeto al principio de Limitación del tratamiento de datos personales y al principio de Proporcionalidad, levanta actualmente serias dudas acerca de los límites concretos que deben encontrar ambas disciplinas en su interrelación.

Uno de los puntos clave, al respecto del Reglamento General de Protección de Datos (GDPR) con la previsión que hace la Directiva 2018/843 y que genera profundas y controvertidas dudas acerca del nivel de cumplimiento exigible a los actores, públicos o privados, que soliciten en el seno de una investigación, tiene que ver precisamente con el acceso que puedan tener estos a cierta información personal de los titulares reales.

Hay otros temas que generan posibles conflictos entre las regulaciones europeas (y nacionales) de prevención de blanqueo de capitales y financiación del terrorismo y la protección de datos: destrucción en el plazo correcto de documentación obtenida en la aplicación de las medidas de debida diligencia, canales de denuncia, la prohibición de revelación entre el sujeto obligado y el cliente y el, ya clásico, secreto profesional de los abogados. No obstante, ahora nos gustaría centrarnos en el acceso a la información del registro de titulares reales de sociedades mercantiles y otras personas jurídicas.

Como nos ha demostrado el pasado (tanto los éxitos como los fracasos), tener acceso a la información de los titulares reales es clave para luchar eficazmente contra el blanqueo de capitales y la financiación del terrorismo.

Según su artículo 30,5 c), en conjunción con el considerando 14 (Directiva UE, 2018/843 aparece una obligación a los Estados Miembro de asegurar a “aquellas personas que sean capaces de demostrar un legítimo interés al respecto del blanqueo de capitales, financiación del terrorismo […] corrupción, evasión fiscal y fraude, el acceso a información de titularidad real, de acuerdo a las normas de protección de datos”

La siguiente pregunta que levanta esta habilitación debería ser ¿a qué tipo de información concreta se refiere la Directiva de Prevención de Blanqueo de Capitales?

Este mismo precepto nos da la respuesta determinando que “Se permitirá a las personas a que se refiere la letra c)* el acceso, como mínimo, al nombre y apellidos, mes y año de nacimiento, país de residencia y de nacionalidad del titular real, así como a la naturaleza y alcance del interés real ostentado”

1. Las autoridades competentes y las Unidades de Investigación Financiera (UIF), sin restricción alguna
2. Las entidades obligadas, en el marco de la diligencia debida con respecto al cliente
3. Cualquier miembro del público en general*

* El público en general no estaba contemplado en la Cuarta Directiva de Prevención de Blanqueo de Capitales

Concretamente aparece un nuevo y específico objetivo en ese catálogo de finalidades habilitadoras de un posible tratamiento y más concretamente de una cesión de datos personales a otros actores, no siempre organismos públicos, de información de carácter personal: la llamada lucha contra la evasión fiscal (que no se contemplaba en la Directiva de 2015) y que aparecía mencionada meramente como relevante al ser una posible fuente de financiación ilícita, sin estar directamente determinada ni identificada como de obligado cumplimiento.

Otros anteriormente no incluídos propósitos son:

• La genéricamente mencionada “lucha contra el crimen financiero”
• La “transparencia corporativa mejorada”, con el objetivo de proteger a los accionistas minoritarios de empresas privadas, así como a terceras partes que puedan realizar operaciones con estos
• La lucha contra la evasión y elusión de impuestos
• La prevención de crímenes financieros y/o abuso de los mercados financieros
• Dotar a los gobiernos y reguladores de un mecanismo de respuesta rápida frente a técnicas alternativas de inversión (cripto-activos, etc.)
• Permitir el examen público del funcionamiento de los mercados financieros , en relación a inversores y evasores de impuestos

Lo verdaderamente interesante desde el punto de vista de privacidad no va a ser sólo esta inclusión de nuevos objetivos, sino la reducción de la salvaguarda de los estándares de privacidad en relación a la proporcionalidad entre el procesamiento de información personal y el propósito al que este mismo responde.

Para explicarlo más claramente es necesario señalar que, en adición a los propósitos mencionados anteriormente, pueden existir varios Responsables del Tratamiento (RT) de datos personales en función de las posibles cesiones que puedan estarse realizando:

• Por supuesto, las Unidades de Investigación Financiera, con independencia de la forma legal que posean, y de conformidad con la ley nacional de cada Estado Miembro
• Entidades obligadas bajo la Directiva 2018/843 (bancos, instituciones financieras, proveedores de cripto-activos, etc.)
• Otras autoridades competentes de realizar investigaciones relacionadas con evasión de impuestos: ONG’s con potestades investigadoras, otros agentes públicos, etc.

De conformidad con el principio de Limitación de Tratamiento del GDPR (art. 5,1 b), cualquier procesamiento de información de carácter personal debe servir a una finalidad específica y concretamente identificada y delimitada, en directa relación con el Principio de Proporcionalidad (art. 52 de la Carta de Derechos Fundamentales de la Unión Europea). En este sentido la Quinta Directiva permite a los estados miembro la posibilidad de eximir de la obligación de autorizar el acceso a la totalidad o parte de la información sobre la titularidad real en casos concretos y en circunstancias excepcionales que habrán de establecerse en derecho nacional, si tal acceso puede exponer al titular real a un riesgo desproporcionado, un riesgo de fraude, secuestro, extorsión, acoso, violencia o intimidación, o si el titular real es un menor o tiene otro tipo de incapacidad jurídica.

Otro de los puntos relevantes desde el punto de vista de la privacidad tiene que ver con la obligatoriedad en la designación de un Delegado de Protección de Datos (DPD), o su popular acrónimo en inglés Data Protection Officer (DPO).

La norma que va a darnos cierta luz al respecto de la cuestión de si es necesaria la incorporación de esta figura para aquellas entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de ficheros comunes para la gestión y prevención del fraude, es nuestra Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales, más conocida como LOPDgdd, a través de su  su art. 34.1 j)

En ese catálogo de sujetos obligados la norma incluye una mención expresa a los responsables de ficheros regulados por la legislación de blanqueo de capitales y de la financiación del terrorismo. Si interpretamos literalmente la norma y además seguimos el criterio marcado por la Agencia Española de Protección de Datos según el cual, sólo estarían obligados a realizar esa designación de DPD/DPO “los gestores de ficheros comunes previstos en el art. 33 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo”.

No obstante, la cuestión no parece quedar clara ya que en otro pronunciamiento la propia AEPD declaró abiertamente que “como consecuencia de la actividad que en general se desarrolle, muchos sujetos deberían contar con un Delegado de Protección de Datos”.

Desde luego, no parece existir una respuesta consensuada a esta cuestión y deberemos esperar a la efectiva transposición de la Quinta Directiva, así como la inclusión de las posibles novedades marcadas por la Sexta Directiva aún en proceso de ser incorporada a nuestro ordenamiento.

Finalmente, indicar que el futuro nos deparará otros temas espinosos a resolver entre la lucha contra el blanqueo de capitales y la adecuada protección de datos. Aparte de la clara necesidad que tienen los sujetos obligados para compartir mucho más información entre ellos (en la actualidad existe una comunicación muy limitada lo que supone una debilidad), está el caso vez mayor uso de Osint (Open source intelligence). Mediante “web scraping” y búsquedas realizadas por analistas los sujetos obligados irán incorporando información de fuentes abiertas (redes sociales, blogs, bases de datos de pago, “deep web” etc.) para identificar riesgos de blanqueo y financiación del terrorismo. Seguro que será uno de los nuevos puntos de “fricción” que habrá que resolver.

Sobre los autores: Santiago Chamat es Abogado especializado en Privacidad, derecho de las Nuevas Tecnologías y LegalTech. Director de Chamat Abogados – @ChamatAbogados.

Edo Bakker es Auditor-Consultor especializado en Prevención de Blanqueo de Capitales y Financiación del Terrorismo. CEO de Agile Control Solutions – @Agile_Control.