Con motivo del reciente seminario organizado el pasado 2 de julio por el Colegio de la Abogacía de Madrid y en el que tuve el honor de participar junto a Diego Cabezuela, Senior Partner de Círculo Legal,  el Registrador Mercantil Francisco Javier González del Valle García, y la compañera Pilar Corredoyra, hemos decidido dedicar unas líneas a recordar las obligaciones que dentro de los sistemas de prevención de blanqueo tienen los sujetos obligados por un lado, y qué cuestiones suscita el nuevo Registro Central de titularidades reales que exige la publicación de información personal asociada a la titularidad real de las entidades y la participación en las mismas.

La normativa de prevención del blanqueo supone, ya en sí misma, una limitación al derecho a la libre disposición sobre los propios datos. Como todo derecho fundamental no es absoluto y entra en conflicto con otros derechos. En este caso, con el interés general de perseguir determinadas conductas ilícitas o los frutos de las mismas. Para ello, ciertas entidades (los denominados sujetos obligados) deberán realizar  tratamientos de datos a fin de cumplir con las obligaciones dispuestas en la LPBCFT. En la última reforma ya se adaptaron los artículos específicos dedicados a la protección de datos (art.32, 32 bis y 32 ter) al Reglamento UE 2016/679 General de Protección de Datos (RGPD) que hacían referencia a la LOPD anterior, ya derogada.

La ley obliga a los sujetos obligados (descritos en la LPBCFT) a:

  • Tener en su registro de actividades de tratamiento, una actividad específica sobre el cumplimiento de las obligaciones establecidas en la ley
  • Establece igualmente que para realizar ese tratamiento no es necesario el consentimiento del interesado puesto que la base de legitimación de dicho tratamiento es el cumplimiento de una obligación legal. Nadie puede negarse a que sus datos personales, en el contexto de una determinada operación o transacción económica sean objeto de investigación ante una posible sospecha de blanqueo. La entidad está obligada a gestionar esos datos, eso sí, con absoluta discreción y seguridad.
  • Sí debe informarse, con carácter general, del tratamiento realizado.
  • El ejercicio de los derechos de los interesados no tendrán que atenderse. Es una de las pocas excepciones que establece la normativa (no tendría sentido atender un derecho de supresión en un tratamiento de datos que tiene como fin la investigación de una posible actividad ilícita)
  • Conservar los datos durante diez años siendo éste uno de los plazos de conservación más amplios que establece nuestra legislación.
  • Puesto que se trata de un tratamiento con ciertos riesgos, la ley obliga a realizar una Evaluación de Impacto en Protección de Datos para determinar las medidas de seguridad aplicables, la trazabilidad de los accesos y las posibles comunicaciones.
  • Los datos personales utilizados para estos fines, no se pueden utilizar con fines distintos.

Lo anterior exige, como no podría ser de otra forma, que dentro del modelo de cumplimiento del RGPD de cada organización, si ésta es sujeto obligado, se adopten las medidas necesarias para proteger la información personal relacionada con este tipo de tratamientos.

Con respecto al Registro Central de Titularidades Reales que entró en funcionamiento en septiembre del pasado año y creado por Real Decreto 609/2023, de 11 de julio, por el que se crea el Registro Central de Titularidades Reales y se aprueba su Reglamento y que tiene como finalidad identificar a los titulares reales de las entidades  inscritas, es decir, la verdadera titularidad directa o indirecta de dichas entidades; se trata de un tratamiento realizado en cumplimiento de una obligación legal siendo el Responsable el Ministerio de Justicia a través de la Dirección General de Seguridad Jurídica y Fe Pública.

Este tratamiento de datos tampoco requerirá el consentimiento del interesado que sí deberá ser informado de aquél. Igualmente el interesado podrá ejercitar sus derechos (acceso, rectificación, supresión, etc).

Puesto que dicho registro se alimenta de los datos de otros registros, principalmente los registros mercantiles, deberá garantizarse que se cumple con el principio de “exactitud” establecido en el RGPD. También debe cumplirse el principio de minimización debiendo constar estrictamente los datos exigidos por el RD mencionado.

También el RD aludido determina quién está legitimado para acceder al mismo siendo ésta una facultad que pueden tener determinadas personas que justifiquen su “interés legítimo”. Dependerá de dichas personas utilizar la información obtenida en estricta observancia de la normativa de protección de datos dado que la información contenida sólo obedece, insistimos, al cumplimiento de una obligación legal y en la persecución del blanqueo de capitales y la detección de posibles fuentes de financiación de actividades ilícitas. Cualquier uso que exceda dicha finalidad, implicará una infracción grave del RGPD.

Puesto que se trata de un tratamiento de datos dentro de una administración pública, el Registro debe cumplir con las medidas establecidas en el Esquema Nacional de Seguridad.

Estamos en definitiva ante un tratamiento de datos que limita los derechos de las personas dado que no permite el ejercicio de derechos y en determinados casos, restringe el conocimiento del destino de los datos cuando están en el contexto de una investigación. Cualquier acceso y sobre todo cualquier uso de dicha información deberá respetar la privacidad de los interesados objeto de registro.

El plazo de conservación se establece en diez años tras la extinción de las personas jurídicas y en determinados casos diez años tras la relación negocial.

En nuestra opinión, al tratarse de un Registro público las cuestiones que podrán suscitarse a propósitos de los datos personales contenidos en el mismo serán los posibles accesos basados en “intereses legítimos” de los solicitantes que vayan más allá de la lucha contra el blanqueo y la financiación del terrorismo utilizando la información con fines espurios. En todo caso, cualquier uso distinto se encuentra sancionado por el RGPD y la LOPDGDD.

Paz Martín

LEGAL THINGS ABOGADOS

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad