El día 28 de septiembre se publicó en el BOE la Ley 18/2022 de Creación de crecimiento de empresas, también conocida como Ley crea y crece. En ella, se introducen varios cambios a la Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo (LPBCFT); los cuales afectan a la normativa de protección de datos. Así, se ha modificado el artículo 32 LPBCFT, el cual regula el tratamiento de datos personales derivado del cumplimiento de las obligaciones en la materia.
El artículo 32 LPBCFT regulaba el tratamiento de datos personales derivado del cumplimiento de las obligaciones de análisis de operaciones sospechosas y comunicación a las autoridades competentes de PBCFT.
En primer lugar, en este post, vamos a ver qué novedades ha introducido la nueva Ley 18/2022 sobre el artículo 32 LPBCFT.
- El tratamiento de datos personales para cumplir con las obligaciones de comunicación a las autoridades competentes en materia de PBCFT debe adecuarse a la normativa vigente de protección de datos. Es decir, este debe cumplir con el Reglamento General de Protección de Datos y con la Ley Orgánica 3/2018 de Protección de Datos
- Para realizar este tratamiento de datos no se requiere el consentimiento del interesado; sino que se legitima en la obligación legal exigible a los Sujetos Obligados.
- No se deberá cumplir con el principio de información y transparencia sobre el tratamiento de datos personales para cumplir con las obligaciones de análisis y comunicación a las autoridades competentes de PBCFT. De esta forma, aplica la excepción recogida en el artículo 14.5.c) RGPD al tratarse de una comunicación de datos expresamente establecida por el Derecho de la Unión Europea.
- No procederá la atención de los derechos reconocidos por el RGPD respecto de la información referida a operaciones sospechosas analizadas y/o que han sido comunicadas al SEPBLAC.
- Los Sujetos Obligados deberán llevar a cabo una Evaluación de Impacto de Protección de Datos en relación con el tratamiento de la información personal necesaria para cumplir con estas obligaciones. El objetivo será adoptar medidas para garantizar la seguridad de los datos tratados con fines de PBCFT.
¿Esta ley ha añadido algo más?
La mencionada Ley crea y crece ha incluido un nuevo artículo, el 32 ter, donde se recogen nuevas consideraciones relacionadas con la protección de datos personales. En él, ofrece la posibilidad de a los Sujetos Obligados que pertenezcan a una misma categoría la posibilidad de crear sistemas comunes de información, almacenamiento y acceso. Con esta previsión, se pretende ayudar a implementar las medidas de diligencia debida requeridas por la LPBCFT.
Los Sujetos Obligados que se acojan a esta medida tendrán condición de Corresponsables del Tratamiento. Así, deberán cumplir con nuevas obligaciones:
- Comunicar la intención de constituir estos sistemas a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).
- Informar a los interesados sobre la comunicación de sus datos al sistema y mantener actualizados los datos que comuniquen al sistema.
- Responder las solicitudes del ejercicio de derechos de los interesados.
En UBT Legal & Compliance conocemos la complejidad que conlleva adaptarse a las diferentes actualizaciones normativas. Es por ello por lo que ayudamos a las empresas a cumplir plenamente con los nuevos cambios de la legislación vigente, garantizando la adecuada gobernanza.