DGE Bruxelles Spain. Área Cumplimiento Normativo La Cuarta Directiva UE, su incidencia en España -09 de julio,2015 1
Las implicaciones de la normativa de protección de datos de carácter personal en la 4ª Directiva: - Calidad de datos, consentimiento y deber de información sobre tratamiento de datos de carácter personal cómo afectan a la aplicación de la 4ª Directiva y demás normativa de PBC/FT? - Implicaciones de protección de datos sobre registro, conservación de documentos y datos estadísticos. www.dge.es 2
Primero, una aclaración: Punto a) Art.3, LOPD 15/1999: Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables Es decir, no todos los datos incluidos dentro de los diversos procesos de aplicación de la Ley 10/2010 (admisión cliente/aplicación medidas D.D., análisis de operaciones, etc.) se encuentran amparados por la normativa de protección de datos. Información referente a entidades jurídicas como información fiscal, contable, administrativa (balances, impuestos, escrituras, etc.) o financiera (cuentas bancarias, extractos, etc.) quedan fuera del ámbito de aplicación de la LOPD 15/99. www.dge.es 3
El principio de la calidad de los datos según LOPD 15/1999: La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que exige que los mismos sean adecuados a la finalidad que motiva su recogida. Se trata de un auténtico derecho fundamental cuyo contenido ha avalado el Tribunal Constitucional mediante la Sentencia 292/2000, de 30 de noviembre, denominándolo derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal Más info: https://www.agpd.es/portalwebagpd/canalresponsable/obligaciones/calidad_de_datos/index-ides-idphp.php www.dge.es 4
Principios relativos a la Calidad de datos (artículos 4 LOPD y 8 RLOPD): - Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. - Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. - Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. www.dge.es 5
Principios relativos a la Calidad de datos (artículos 4 LOPD y 8 RLOPD): - Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 (derechos de rectificación y cancelación). - Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido. En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada. www.dge.es 6
Principios relativos a la Calidad de datos (artículos 4 LOPD y 8 RLOPD): Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. www.dge.es 7
Principios relativos a la Calidad de datos (artículos 4 LOPD y 8 RLOPD): - También podrán conservarse los datos durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de la una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido este período los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la LOPD y en su reglamento de desarrollo. - Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. - Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.' www.dge.es 8
El deber de Información (art.5 LOPD y 18-19 RLOPD): Art. 5.1, LOPD 15/1999: Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco : - De la existencia de un fichero o tratamiento/su finalidad/los destinatarios de la información - Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas - De las consecuencias de la obtención de los datos o de la negativa a suministrarlos - De la posibilidad de ejercitar los derechos ARCO - De la identidad y dirección del responsable de tratamiento o su representante. www.dge.es 9
El deber de Información (art.5 LOPD y 18-19 RLOPD): No obstante, no se precisa cumplir con el deber de información en : Art.32.3 Ley 10/2010: en virtud de lo dispuesto en el art.24.1 Ley 10/2010 (análisis operaciones y comunicaciones a SEPBLAC) Además, el mismo artículo en continuación aclara:..no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada LOPD referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición www.dge.es 10
El deber de Información (art.5 LOPD y 18-19 RLOPD): En consecuencia, concluimos que el sujeto obligado debe cumplir con su deber de información solamente al inicio de su relación de negocios con el cliente y no volver a facilitar más información sobre los datos que va recabando sobre el cliente durante el desarrollo de los procesos de aplicación de las Medidas de D.D., análisis de operaciones, intercambio de información, comunicaciones a SEPBLAC, etc. NO OBSTANTE, siempre la recogida y el tratamiento de los datos deben cumplir con el principio de Calidad de los Datos : Ser precisos, no usarse para fines distintos de los previstos por la normativa de PBCFT, garantizar su integridad, etc. www.dge.es 11
El deber de Consentimiento (art.6 LOPD y 12-17 RLOPD): Art. 3.h) de la Ley Orgánica 15/1999: define el consentimiento como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen Puede ser expreso (datos especialmente protegidos) o tácito. www.dge.es 12
El deber de Consentimiento (art.6 LOPD y 12-17 RLOPD): No obstante, en algunos casos no será necesario el consentimiento de la persona afectada: Art.6 1) LOPD 15/99: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa Art.6 2) LOPD 15/99: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones de las Administraciones Públicas en el ámbito de sus competencias;. www.dge.es 13
El deber de Consentimiento (art.6 LOPD y 12-17 RLOPD): Previsión de no necesidad de consentimiento con respecto al cumplimiento de las obligaciones de información del capítulo III de la Ley 10/2010 Art. 32.2 Ley 10/2010: No se requerirá el consentimiento del interesado para el tratamiento de datos que resulte necesario para el cumplimiento de las obligaciones de información a que se refiere el Capítulo III. Tampoco será necesario el mencionado consentimiento para las comunicaciones de datos previstas en el citado capítulo y, en particular, para las previstas en el art. 24.2 Capítulo III, Ley10/2010: Examen especial, comunicación por indicio, comunicación sistemática, colaboración con la Comisión de PBCFT y sus órganos, conservación de documentos. Art.24.2: comunicaciones entre entidades financieras del mismo grupo, entre sujetos obligados de la misma red, misma categoría profesional, etc. www.dge.es 14
El deber de Consentimiento (art.6 LOPD y 12-17 RLOPD): Como conclusión lógica con respecto a la limitación de no consentimiento solo a las obligaciones derivadas del capítulo III, Ley 10/2010, podemos suponer que si se requiere el consentimiento del afectado para el tratamiento de sus datos sobre la aplicación de las Medidas de Diligencia Debida (capítulo II). No obstante: Falta de consentimiento=imposibilidad aplicar medidas D.D.=NO HAY NEGOCIO=NO HAY RIESGO DE PBCFT www.dge.es 15
El deber de Consentimiento (art.6 LOPD y 12-17 RLOPD): Previsión de no necesidad de consentimiento con respecto a las personas con responsabilidad pública (incluso para la aplicación de las Medidas de D.D.): Art. 15 Ley 10/2010: A tal efecto los sujetos obligados podrán recabar la información disponible acerca de las personas con responsabilidad pública sin contar con el consentimiento del interesado, aun cuando dicha información no se encuentre disponible en fuentes accesibles al público www.dge.es 16
La aplicación de la LOPD ante el inicio de la relación de negocios con el cliente: Informamos que vamos a recopilar los datos para la aplicación de D.D. Obtenemos el consentimiento del cliente, tácito o expreso (escrito) Procuramos tratar siempre los datos bajo los principios de Calidad de Datos La aplicación de la LOPD ante las obligaciones de información del cap.iii de la Ley 10/2010: Procuramos tratar siempre los datos bajo los principios de Calidad de Datos www.dge.es 17
Normativa de Protección de Datos de Carácter Personal y Cuarta Directiva PBC/FT, principales novedades. i. Registro de Titularidades Reales ii. Protección de datos, registro, conservación de documentos y datos estadísticos www.dge.es 18
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: El objetivo: Crear un registro central por cada país, de carácter público, que muestre los beneficiarios reales o titulares reales de todas las sociedades y trusts. * en el texto inicial de la Comisión no figuraba la creación de los registros de titulares reales. Se agregó tras una enmienda de la Europarlamentaria Holandesa de los Verdes, Judith Sargentini que fue apoyada principalmente por los parlamentarios socialistas, demócratas y verdes y con la oposición inicial de muchos parlamentarios de centroderecha del Partido Popular Europeo que alegaron que un registro de este tipo iría en contra de la normativa existente sobre privacidad. www.dge.es 19
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: Quiénes podrán acceder a la información del Registro?: 1) las autoridades competentes y las UIF, sin restricción alguna; 2) las entidades obligadas, en el marco de la aplicación de las medidas de diligencia debida con respecto al cliente 3) toda persona u organización que pueda demostrar un interés legítimo (con acceso como mínimo a: nombre, apellidos, mes/año nacimiento, nacionalidad y país de residencia del titular real como también a la naturaleza y alcance de la participación real.) www.dge.es 20
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: Principales cuestiones sobre la protección de la privacidad y/o uso fraudulento del Registro? Cómo se asegura que el uso de los datos sobre los titulares reales, incluso por parte de sujetos obligados, se limitará solamente a los propósitos de la normativa anti blanqueo y no se extenderá a fines comerciales, etc. Cómo se definirá y, aún más, comprobará el interés legítimo que habilitará a cualquier persona u organización obtener acceso a Registro? (Por ejemplo, un cónyuge en trámite de separación podría acceder para comprobar el patrimonio real de su pareja, etc.? ) www.dge.es 21
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: El art. 35.1 de la 4ª Directiva exige que:..a efectos del presente apartado, el acceso a la información sobre la titularidad real se hará de conformidad con las normas sobre protección de datos y podrá estar sujeta a un registro en línea y al pago de una tasa. www.dge.es 22
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: Según el art. 30.8 de la 4ª Dir. parece que el Registro se percibe como de último recurso, ( las entidades obligadas no recurran exclusivamente al registro central ) siendo su uso para los interesados solamente en el caso que haya dudas serias sobre la titularidad real del sujeto examinado. >> Quién evaluará que se hayan agotado otras vías de identificación de los titulares reales? www.dge.es 23
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: Art. 30.9 El Estado podrá prohibir el acceso a la totalidad o una parte de la información incluida en el Registro: 1. en casos concretos y circunstancias excepcionales, si tal acceso puede exponer al titular real a un riesgo de fraude, secuestro, chantaje, etc. 2. si el titular es un menor o tiene alguna incapacidad no relacionada con la edad. * estas excepciones no se aplicarán a las entidades financieras y de crédito y tampoco a los notarios y otros profesionales de derecho siempre que sean funcionarios públicos. www.dge.es 24
El Registro de Titulares Reales, Capitulo III, art.30-32 4ª Directiva: En España todo indica que el Estado recomendará la creación (prácticamente ya existe) y funcionamiento del Registro al Consejo General del Notariado. Se trata de un Registro basado en el Índice Único Informatizado Notarial. * Se podrán realizar búsquedas en línea * Las búsquedas serán bajo pago de tasa www.dge.es 25
El Capítulo V de la 4ª Directiva sobre Protección de Datos, Registro, Conservación de documentos y datos estadísticos: 1. Documentos derivados de la aplicación de las Medidas de Diligencia Debida: 4ª Directiva: conservar durante 5 años (desde fin relación/transacción) Ley 10/2010: 10 años (en base de evaluación española de la necesidad de esta prórroga) 2. Justificantes y registros de transacciones: 4ª Directiva: conservar mínimo durante 5 años Ley 10/2010: 10 años www.dge.es 26
El Capítulo V de la 4ª Directiva sobre Protección de Datos, Registro, Conservación de documentos y datos estadísticos: -Una vez expirado el plazo de conservación de los documentos, las entidades obligadas deben eliminar los datos personales (art.40.1). -Las entidades obligadas cumplirán con su deber de información a los nuevos clientes con respecto al tratamiento de sus datos personales a efectos de PBC/FT (art.41.3). -Se limita el derecho de Acceso del interesado a los datos que le conciernan a lo largo de la aplicación de los diversos procedimientos de PBC/FT (art. 41.4). www.dge.es 27
FIN www.dge.es 28