Blanqueo de Capitales y LOPD: Niveles de las medidas de seguridad. ¿Ficheros o Tratamientos?

Miniatura noticia

Ya saben los lectores de este blog que el mundo moderno en general ­—y en particular el jurídico— es como un embudo en el que, eches lo que eches por su parte ancha, lo que termina saliendo por su extremo inferior es algo relacionado con el mundo eleopediano, habida cuenta del marcado carácter transversal de La Norma, la LOPD.

 Da igual la regulación  que analices. Podríamos hablar, por ejemplo, de norma ISO y  derivaciones jurídicas de la recogida del higo chumbo en temporada baja1, que algo relacionado con la LOPD encontraríamos, no les quepa duda.

Y si eso nos pasa con los higos chumbos, qué les voy a contar si la norma es el Reglamento de desarrollo de la  Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo, el Real Decreto 304/2014, de 5 de mayo, que dedica dos artículos, 60 y 61 a la protección de datos de carácter personal: el primero, dedicado a la utilización de datos y nivel de los tratamientos de carácter general, y el segundo a los ficheros comunes del artículo 33 de la Ley 10/2010.

Me voy a centrar en el artículo 60, el que determina los niveles de seguridad de los tratamientos llevados a cabo para el cumplimiento de las obligaciones impuestas por la Ley de Blanqueo de Capitales y Prevención del Terrorismo.

El tenor literal del precepto es el siguiente:

Artículo 60 Reglamento Utilización de datos y nivel de seguridad en los tratamientos de carácter personal

1. Los datos recogidos por los sujetos obligados para el cumplimiento de las obligaciones de diligencia debida establecidas en la Ley 10/2010 de 28 de abril y este reglamento no podrán ser utilizados para fines distintos de los relacionados con la prevención del blanqueo de capitales y la financiación del terrorismo sin el consentimiento del interesado, salvo que el tratamiento de dichos datos sea necesario para la gestión ordinaria de la relación de negocios.

2. Los sujetos obligados aplicarán medidas de seguridad de nivel alto a los tratamientos llevados a cabo para el cumplimiento de las obligaciones de comunicación a las que se refiere el capítulo III de este Reglamento.

3. Será exigible a los tratamientos efectuados en el cumplimiento del deber de diligencia debida el nivel de seguridad que corresponda conforme a lo previsto en la normativa vigente de protección de datos de carácter personal.

Este artículo 60 no figuraba en el Proyecto, en el que la única referencia a la protección de datos de carácter personal era originariamente su artículo  25:

Artículo 25. Protección de datos de carácter personal.  

Los sujetos obligados aplicarán medidas de seguridad de nivel alto a los ficheros establecidos para el cumplimiento de las obligaciones de comunicación

Entonces, ¿cómo se ha llegado a la redacción actual?  Pues esa es la intención de este artículo: tratar de explicar su porqué.

Simplificando mucho, ya saben que la Ley 10/2010  impone a quien debe cumplir con la misma dos grandes tipos de obligaciones: observación de diligencia debida y deber de comunicación. Pues bien, su artículo 32 en su apartado primero establece que

El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de esta Ley se someterán a lo dispuesto en la Ley Orgánica 15/1999 y su normativa de desarrollo.

para añadir en el apartado quinto del mismo precepto que

Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.

Esas disposiciones dieron lugar a interesantes debates en distintos foros sobre distintas cuestiones, tales como:

  • Si se debían crear o no obligatoriamente ficheros eleopedianos específicos para el cumplimiento de las obligaciones impuestas por la Ley.
  • si solo serían necesario para las obligaciones de información, pudiendo integrarse en los ficheros ordinarios la documentación recabada en cumplimiento del deber de diligencia debida.
  • que si no creaban ficheros específicos entonces no debería aplicar medidas de seguridad de nivel alto, dado que el 32.5 en relación al apartado 1º hace referencia a los ficheros creados  a propósito para este fin.
  • que si aplicar medidas de nivel alto a la información obtenida en cumplimiento del deber de diligencia era algo absolutamente desproporcionado, puesto que aplicando los criterios del artículo 81 RDLOPD esos datos serían merecedores de medidas de nivel básico o, a lo sumo medio.
  • si solo debería crearse el fichero para cumplimiento de obligaciones informativas en el caso de tener que informar de algo, porque mientras tanto no tenía sentido, si por mi actividad no tenía que aplicar ese nivel de medidas, autosituarnos en un nivel de cumplimiento de medidas de seguridad de nivel alto.

Entre esos debates, les puedo señalar, por su muy alto interés, los desarrollados vía comentarios a raíz de sendos artículos de Luís Salvador y Jorge Campanillas, así como los artículos de Víctor Altimira, actual presidente del INBLAC.

A la hora de redactar su Proyecto de desarrollo de la Ley, el Ministerio de Economía y Competitividad se hace eco de las dudas interpretativas que genera el precepto entre el sector profesional y pretende despejarlas a través del artículo 25 del que ya les ha hablado: Los sujetos obligados aplicarán medidas de seguridad de nivel alto a los ficheros establecidos para el cumplimiento de las obligaciones de comunicación.

Redactado el Proyecto, por parte del Ministerio se da traslado del mismo para emisión de informe, entre otros organismos e instituciones, a la Agencia Española de Protección de Datos, ente que antes de la emisión de este informe,  ya se había pronunciado hasta en tres ocasiones públicamente, a través de sendas respuestas a preguntas planteadas en sus sesiones abiertas de 2010, 2011 y 2013:

En 2010

 2010

En 2011

 2011

En 2013

 2013

 

 

He considerado interesante reproducir esas respuestas porque, como verán a continuación, la AEPD modifica de forma pública2 su posición, para bien, a resultas del informe que emite el 18 de febrero de 2014  en relación con el Proyecto de desarrollo de la Ley 10/2010.

Ese informe, por desgracia, no está a disposición del sector profesional en la web de la AEPD ni del público en general en la página del Ministerio, pero… Suministros Pacheco, para Privacidad Lógica, se puso en contacto con el gabinete de prensa de la APED, que tuvo la amabilidad de remitírmelo para su estudio. No hemos obtenido autorización para colgarlo a disposición de todos, que es lo que nos hubiera gustado, pero sí para citar y reproducir su contenido en cuanto a la cuestión que nos ocupa, que es lo que haré a continuación. En cualquier caso, muchas gracias, por su trato y deferencia, al gabinete de prensa de la Agencia.

Entonces ¿qué le dice la AEPD al Ministerio? Ni les doy una pista, ni se la canto (como le dice todas las mañanas Carlos Rodríguez Brown a Carlos Herrera), ni se lo explico, sino que, literalmente, se lo copio, que seguro que lo entienden mejor.

Y dice así:

  

Como ya se anticipó, la segunda cuestión que a juicio de esta Agencia debería resolverse en el Reglamento cuyo Proyecto se somete a informe es la relativa al nivel de seguridad exigible a los tratamientos llevados a cabo para el cumplimiento de las obligaciones impuestas por la Ley 10/2010.

En este punto, el artículo 32.5 de la Ley dispone que “Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal”

La aplicación de este precepto ha planteado dudas interpretativas a los distintos sujetos obligados, por cuanto si bien el deber de implantación de medidas de seguridad de nivel alto aparece referido a los “ficheros a los que se refiere este artículo”, es cierto que el artículo 32 se refiere en determinados lugares a cualesquiera ficheros creados para el cumplimiento de las disposiciones de la Ley, como sucede en el apartado 1, al someter todos los ficheros a lo dispuesto en la Ley Orgánica 15/1999 y sus disposiciones de desarrollo, mientras que en otros se refiere exclusivamente a los tratamientos relacionados con el cumplimiento de los deberes de información; es decir, los ficheros creados en el ámbito de las obligaciones impuestas en el Capítulo III de la Ley, como sucede en los apartados 2 y 3 al establecer determinadas excepciones al cumplimiento de las obligaciones impuestas por la Ley Orgánica.

De este modo, sería conveniente que el Proyecto sometido ahora a informe clarificase si el deber de implantación de las medidas de seguridad de nivel alto ha de exigirse a la totalidad de los tratamientos vinculados con el cumplimiento de las obligaciones previstas en la Ley 10/2010 o si dicho nivel es únicamente exigible de los tratamientos efectuados para el cumplimiento de las obligaciones de examen especial y comunicación, bien sistemática bien por indicio, al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.

La respuesta a la citada cuestión podría tomar como punto de partida lo que ya señalaba esta Agencia en su informe de 3 de abril de 2009, relacionado con lo dispuesto en el entonces Anteproyecto de Ley, en que se incorporaba una disposición literalmente reproducida por el artículo 32.5 en su redacción final. Dicho informe vinculaba la exigencia de implantación de las medidas de nivel alto a las excepciones del deber de información y del ejercicio por el interesado de sus derechos en relación con los tratamientos que se efectuasen en el marco del examen especial y de la comunicación al Servicio Ejecutivo. Así, el informe, en su apartado VIII señalaba lo siguiente:

“(…) el artículo 31.6 (…) dispone que “Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal”.

En relación con esta previsión, debe tenerse en cuenta que la obligación de implantar las medidas de seguridad trae su causa del artículo 9 de la Ley Orgánica 15/1999, a cuyo tenor “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

En consecuencia, el deber de seguridad tiene por objeto primordial evitar la pérdida, alteración y, en particular, el acceso no autorizado a la información sometida a tratamiento.

Este objetivo debe ponerse en conexión con la fundamentación legal de los tratamientos a los que ahora se está haciendo referencia, relacionados con las operaciones que han de ser objeto de un análisis singular por los sujetos obligados y de la comunicación de éstas o de las que sean objeto de comunicación sistemática al Servicio Ejecutivo, existiendo además, como se ha venido reiterando una prohibición específica de revelación de la información a terceros e incluso al propio interesado.

De este modo, las cautelas tendentes a evitar el acceso no autorizado a la información contenida en los ficheros resulta esencial para el adecuado cumplimiento de los deberes derivados del propio Anteproyecto.

 La evitación de estas situaciones se logrará esencialmente a través de dos medidas concretas: por una parte el control de todos los accesos que se realicen a la información, de forma que dicho acceso quede limitado a quienes forme parte de los órganos creados en el ámbito de la estructura de la organización del sujeto obligado a los que se refiere el propio texto sometido a informe y, por otra, el cifrado de las comunicaciones de dicha información que impidan su interceptación por terceros.

Ambas medidas aparecen expresamente recogidas entre las de nivel alto previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999, lo que justifica que la norma ahora informada prevea expresamente la exigencia de este nivel de seguridad cuando se trate de ficheros relacionados con las obligaciones previstas en la Ley en cuanto al examen de operaciones y su comunicación al Servicio Ejecutivo, así como a los creados por éste último.

Por tanto, el artículo 31 del Anteproyecto, con la salvedad ya señalada en relación con los ficheros del Servicio Ejecutivo, resulta plenamente conforme a la Ley Orgánica 15/1999.”

Es decir, en el informe emitido por esta Agencia al proyecto normativo en el que se incorporó la exigencia de implantación de las medidas de nivel alto, ya se indicaba por la Agencia que tal exigencia debía considerarse aplicable a los ficheros creados en cumplimiento de lo establecido en el Capítulo III de la Ley 10/2010, sin perjuicio de que el apartado 1 del artículo 32 establezca una obligación general de sometimiento de cualesquiera ficheros vinculados con el cumplimiento de las obligaciones prevista en la Ley a la legislación vigente en materia de protección de datos de carácter personal.

En particular, y en relación con las obligaciones referidas al cumplimiento por los abogados como sujetos obligados de las obligaciones de diligencia debida establecidas en el Capítulo II de la Ley 10/2010, el informe de esta Agencia de 18 de junio de 2013 recordaba que “el cumplimiento de los deberes de diligencia debida y la averiguación de información acerca del cliente y del titular real de la actividad respecto de la cual, en definitiva, se solicitan los servicios del abogado no sólo forma parte de las obligaciones impuestas por la Ley 10/2010, sino que se encuentra igualmente vinculada con la actividad ordinaria del letrado, por cuanto la averiguación de las circunstancias relativas al cliente y a la operación respecto de la que se solicita asesoría jurídica o el procedimiento en que se presta la asistencia letrada. Por el contrario, los tratamientos llevados a cabo en cumplimiento de lo establecido en el Capítulo III tienen una finalidad directamente vinculada a la prevención del blanqueo de capitales y la financiación del terrorismo”.

El citado informe, en que se resolvía la consulta formulada por un despacho de abogados en relación con el nivel de seguridad exigible a los ficheros creados para el cumplimiento de las obligaciones de la Ley 10/2010, diferenciando entre los tratamientos referidos al cumplimiento de las obligaciones de diligencia debida y los vinculados con los supuestos de examen especial e información, añadía lo siguiente:

“Como señala la consulta, una interpretación literal del precepto parece implicar que el nivel de seguridad exigible será aplicable a cualesquiera ficheros o tratamientos se encuentran previstos en el artículo 32; es decir, todos los “creados para el cumplimiento de las disposiciones” de la Ley, como establece su apartado 1. De este modo, la exigibilidad del nivel de seguridad alto sería aplicable tanto a los ficheros creados para el cumplimiento de los deberes de diligencia debida como para los que fueran establecidos para cumplir las obligaciones de información previstas en el Capítulo III de la Ley. No obstante, podría hacerse referencia a varios argumentos que exigirían revisar si la interpretación literal de la norma es la única que ha de prevalecer en este caso.

Una primera aproximación podría partir igualmente de una interpretación literal y estricta de la norma, toda vez que el artículo 32.1 de la Ley 10/2010 se refiere a los ficheros “creados para el cumplimiento de las disposiciones de esta Ley”, siendo a los mismos a los que se refiere la aplicación del artículo 32 en su totalidad. De este modo si la información tratada por el sujeto obligado en cumplimiento del deber de diligencia debida no se incorpora a un fichero “creado” con la finalidad de dar cumplimiento a las obligaciones establecidas en la norma cabría considerar que el artículo 32 no resulta de aplicación.

Sin embargo esta interpretación debe ser considerada extremadamente rigorista, toda vez que en la práctica vaciaría de sentido el apartado 1 del artículo 32 de la Ley 10/2010, dado que los ficheros que incorporasen datos obtenidos en cumplimiento del deber de diligencia debida, aun en el supuesto de no estar incluidos en el artículo 32.1 sí estarían sometidos a la Ley Orgánica 15/1999, que resulta de aplicación según su artículo 2.1, párrafo primero a “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”, siendo datos de carácter personal conforme al artículo 3 a) “Cualquier información concerniente a personas físicas identificadas o identificables”. No obstante, esta interpretación permitiría considerar aplicables a los ficheros “no creados” exclusivamente para el cumplimiento de la Ley 10/2010 las medidas de seguridad que correspondieran conforme al artículo 81 del Reglamento de desarrollo de la Ley Orgánica y no las de nivel alto a las que se refiere el artículo 32.5.

En todo caso, esta interpretación dejaría en manos del sujeto obligado la imposición o no de las medidas de seguridad, según procediera o no a la creación de ficheros específicos para el cumplimiento del deber de diligencia debida, lo que tampoco resulta coherente ni con el espíritu de la Ley 10/2010 ni con la adecuada garantía del derecho fundamental a la protección de datos de carácter personal.

No obstante existe otro argumento, a juicio de esta Agencia de mayor calado, que permite efectuar una interpretación del artículo 32.5 de la Ley 10/2010 similar a la contenida en el apartado (ii) de la consulta formulada a esta Agencia, esto es, de considerar que la referencia efectuada por el artículo 32.5 de la Ley ha de entenderse realizada a los ficheros creados para el cumplimiento de los deberes de información regulados en el Capítulo III de la Ley 10/2010.

En este sentido, debe partirse de que el tenor del artículo 32.5 de la Ley 10/2010 impone al responsable de los ficheros a los que el mismo se refiere la obligación de implantar un nivel de seguridad que no se desprende de la normativa general de protección de datos, dado que la referencia a las finalidades vinculadas a la prevención del blanqueo de capitales y la financiación del terrorismo no aparece recogida en el artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, que es el que delimita, dentro de la normativa general de protección de datos, los niveles de seguridad que resultan aplicables a los ficheros. Ello conduce a la necesidad de determinar cuál ha podido ser la razón que ha motivado al legislador la imposición de este nivel reforzado de medidas de seguridad no contenido en la normativa de protección de datos.

A tal efecto, debe tenerse en cuenta la diferenciación que se ha llevado a cabo en un lugar anterior entre los tratamientos realizados al amparo, respectivamente, de los Capítulos II y III de la Ley 10/2010, particularmente en lo que se refiere a la aplicación a los mismos de lo que puede ser considerado contenido esencial del derecho fundamental a la protección de datos.

Así, como se vio, los ficheros creados al amparo de lo dispuesto en el Capítulo III quedan exceptuados de la aplicación de la exigencia de consentimiento para el tratamiento, como consecuencia de una exclusión legal expresa, contenida en el artículo 32.2, así como del deber del responsable de informar al interesado acerca del tratamiento y de la obligación de este de atender los derechos consagrados por la legislación de protección de datos.

Estas limitaciones, sin embargo, no serán predicables de los ficheros y tratamientos llevados a cabo en cumplimiento de los deberes de diligencia debida a los que se refiere el Capítulo II de la Ley 10/2010. Ciertamente, la obtención por el abogado de los datos de su cliente dentro del marco de estos deberes se encontrará excluida de la exigencia del consentimiento del interesado, pero ello se fundará bien en la propia relación jurídica que vincula al abogado con el cliente, bien a la adecuada garantía del derecho a la defensa de éste, como parte del derecho fundamental a la tutela judicial efectiva, consagrado por el artículo 24 de la Constitución. En todo caso, sí procederá la información al afectado y la atención de sus derechos de acceso, rectificación, cancelación u oposición, siendo igualmente preciso tener en cuenta el deber de secreto profesional impuesto al abogado por la normativa reguladora de su profesión, al que se ha hecho referencia en un lugar anterior.

A la vista de estos precedentes, y teniendo en cuenta que las limitaciones al derecho a la protección de datos únicamente se recogen en relación con los ficheros vinculados al cumplimiento de las obligaciones impuestas por el Capítulo III de la Ley 10/2010, puede considerarse que la exigencia de un nivel reforzado de seguridad, como el establecido en el artículo 32.5 tiene por objeto el establecimiento de una salvaguarda o garantía adicional que pueda servir de contrapeso a la limitación establecida por los apartados 2 y 3 del precepto.

De este modo, aun cuando se prevén limitaciones de los derechos de los interesados, el precepto exigiría que en estos supuestos se establezcan garantías reforzadas para evitar que quienes no hayan de acceder a la información puedan hacerlo, quedando así garantizado el control de quienes acceden a la información, a través de la figura del registro de accesos o exigiendo el cifrado de los datos en caso de uso de redes públicas de comunicaciones electrónicas. Del mismo modo, debería, entre otras cosas, procederse a la designación de un responsable de seguridad o a la realización de una auditoría específica sobre esos ficheros, tal y como exige el Reglamento para las medidas de seguridad de nivel medio, también aplicables a estos ficheros.

En consecuencia, la interpretación de que el nivel de seguridad alto es al que se refiere el artículo 32.5 de la Ley 10/2010 es únicamente exigible en relación con los ficheros creados para el cumplimiento de las obligaciones establecidas en el Capítulo III de la citada Ley ha de considerarse congruente con el hecho de que la propia Ley establece determinadas limitaciones al afectado en relación únicamente con dichos ficheros, siendo ese nivel exigible una garantía adicional establecida como contrapeso de las citadas limitaciones.”

El Proyecto sometido a informe establece en su artículo 25 que “los sujetos obligados aplicarán medidas de seguridad de nivel alto a los ficheros establecidos para el cumplimiento de las obligaciones de comunicación”.

Esta disposición encaja con la interpretación que esta Agencia ha venido realizando de lo dispuesto en el artículo 32.5 de la Ley 10/2010. Sin embargo el hecho de que la misma aparezca exclusivamente referida a los ficheros creados al amparo de lo dispuesto en el Capítulo III de la Ley 10/2010 puede dar lugar a que se mantengan las dudas interpretativas que genera el citado artículo en cuanto al nivel de seguridad exigible a los tratamientos vinculados al cumplimiento de las obligaciones de diligencia debida. Por este motivo, sería conveniente, garantizando en mayor medida el principio de seguridad jurídica, que el precepto se refiriese expresamente a los restantes tratamientos de datos, incluidos los vinculados al cumplimiento de las obligaciones de diligencia debida, y que por esta razón el precepto se ubique en un lugar distinto del Reglamento, probablemente dentro de las disposiciones establecidas en el Capítulo V.

Por todo ello, se propone la supresión del artículo 25 del Proyecto sometido a informe, siendo reemplazado por otro precepto distinto con el siguiente tenor:

“Artículo nn. Nivel de seguridad en los tratamientos de datos de carácter personal.

Los sujetos obligados aplicarán medidas de seguridad de nivel alto a los tratamientos llevados a cabo para el cumplimiento de las obligaciones de comunicación a las que se refiere el Capítulo III del presente Reglamento.

Será exigible a los tratamientos efectuados en el cumplimiento del deber de diligencia debida el nivel de seguridad que corresponda conforme a lo previsto en la normativa vigente de protección de datos de carácter personal.”

 

Hasta aqui la reproducción del informe.

Como pueden comprobar por el texto final del artículo, el Ministerio hizo caso a las indicaciones de la Agencia, poniendo el énfasis en el tratamiento y no en la creación de ficheros, y aclarando el asunto de los niveles de seguridad.

Ahora bien, la pregunta del millón sigue en el aire: ¿creo entonces ficheros específicos o no? En cuanto al cumplimiento de obligaciones de comunicación, modestamente opino que en el caso de encontrarme ante una operación que me obligue a ello, a comunicar, sí lo crearía, pero no antes, porque para qué tengo necesidad, por ejemplo, de auto situarme en situación de cumplimiento de medidas de seguridad eleopedianas de nivel alto, con todo lo que conlleva, si no tengo por qué.

Y en cuanto a la documentación que recabe para el cumplimiento del deber de diligencia, pues depende, por ejemplo, de si toda esa documentación la necesito para el desarrollo del servicio por el que he sido contratado o no. En el primer caso, creo suficiente mi  fichero de expedientes. Y en el segundo, a efectos de facilitarme futuros expurgos, pues a lo mejor lo creo. Pero también sería suficiente protocolizar un tratamiento específico de esos datos y documentos dentro del fichero de expedientes, sin necesidad de crear uno específico. Aquí, al gusto de cada uno, ¿no creen?.Eso sí, siempre ojo con las medidas de seguridad que debo aplicar.

Y hasta aquí llego. Espero que haya resultado de su interés.

 

Foto: ©Images_of-Money

 

Notas:

(1) lo de disertar sobre la recogida de higos chumbos en temporada baja es una frase cosecha de mi muy querido amigo Juan Ramón Vivern, con la que nos referíamos a esas clases no rollo, sino plúmbeas, con las que muchas tardes nos encontrábamos en la Facultad hace ya…. uffff. Juanito: un abrazo.

(2) Lo del cambio de posicionamiento público de la AEPD lo digo porque ha sido un sorpresón leer en el informe que el 18 de junio de 2013 la Agencia emite un informe jurídico sobre algo que atañe a tanta gente ¡Y no lo pone a disposición en su web! Y si lo puso, ya no está, porque anda que no lo he estado buscando.

Al hilo de esta cuestión, creo que será muy oportuno que los informes que la AEPD emite en relación con proyectos legislativos, se hicieran públicos en su propia web, como sí hacen, por ejemplo, el Consejo de Estado, El Consejo Fiscal o el Consejo del Poder Judicial.


15 comentarios

  1. Luis Salvador Montero
    18 de julio de 2014 @ 19:20

    Gran trabajo, compañero… como me ha gustado leer tu entrada, jajajajajaja.. Y, por supuesto, gracias por la cita…

    Abrazo fuerte y muy buen fin de semana!

    @LuisSalvadorMon

    Responder

    • Víctor Altimira Ávalos
      19 de julio de 2014 @ 08:31

      Apreciado Alfonso,

      Excelente artículo y trabajo el tuyo. Muchísimas gracias por las menciones a INBLAC y a mi persona. Recuerdo muy bien los debates con Luis y Jorge. Fueron muy interesantes y muy ilustrativos, como siempre con ellos.

      Un abrazo a los tres.

      Víctor Altimira

      Responder

      • Alfonso Pacheco
        19 de julio de 2014 @ 08:36

        Gracias, Víctor.
        Un abrazo

        Responder

    • Alfonso Pacheco
      19 de julio de 2014 @ 08:32

      Gracias, Luís. Celebro que te haya gustado.

      Responder

  2. ignacio Carrasco
    21 de julio de 2014 @ 12:36

    Fantástica la labor de documentación!
    Ojala alguien se hubiera molestado con otras leyes y reglamentos.
    Por otro lado, a mayor número de declaraciones de ficheros altos, más tarea… al menos hasta el futuro reglamento europeo.

    Responder

    • Alfonso Pacheco
      21 de julio de 2014 @ 12:52

      Gracias Nacho.
      Un abrazo

      Responder

  3. Pepe Aguilar
    4 de junio de 2015 @ 09:07

    Mis felicitaciones por el tiempo ocupado y por el gran esfuerzo de clarividencia, porque ya es complicado, a veces, interpretar la normativa.
    En todo caso, considero que la falta de concienciaciòn tan elevada en la sociedad en cuanto a LOPD y Prev. de Blanqueo hace que a muchos sujetos obligados ni les suene y si hablas de nivel alto… ¿Eso qué es?
    Coincido en que no se puede quitar un documento tan importante del Site oficial. Seguiremos haciendo magia…

    Saludos

    Pepe Aguilar

    Responder

    • Alfonso Pacheco
      4 de junio de 2015 @ 10:55

      Gracias por tus palabras. Sin duda, pese a los años transcurridos desde el inicio regulador de la protección de datos, la concienciación sigue brillando en muchos sectores por su ausencia

      Responder

  4. Carla
    19 de enero de 2016 @ 15:04

    Buenas tardes Alfonso, gracias por este magnifico artículo.
    Por lo que explicas hay dos obligaciones básicas que son las que conllevarían una situación u otra en cuanto a LOPD.
    En el caso que a mi me ocupa, el de un asesor fiscal, la primera sería aquella en la que debe cumplir con la obligación de comunicación. Explicas que podría esperar al momento en que se produzca esa obligación para crear un fichero con dicha finalidad y con un nivel de seguridad alto.
    De este modo nos evitamos tener que situar a ese asesor en un nivel de seguridad alto con lo que este conlleva ¿no?
    En los blogs e información que había visto hasta hoy no habían reflejado esta posibilidad por lo que entendía que un asesor fiscal por el simple hecho de serlo y como sujeto obligado debía inscribir un fichero de pbc con un nivel de seguridad alto.

    Pero mi duda surge respecto a la documentación que hay que recabar para el cumplimiento del deber de diligencia
    Por un lado, y en el caso del asesor bastaría con el fichero de expedientes como lo denominas o clientes puesto que esos datos ya estarían incluidos en dichos ficheros ,¿no es así? y además serían los facilitados para el servicio contratado. Entiendo que este fichero se “libra” del nivel alto.
    Sin embargo no entiendo tu ultima opción ¿Cuando se daría el caso de que esos datos no fuesen facilitados para el servicio contratado? Y en ese caso ¿cuándo se crearía el fichero? entiendo que este fichero tambien se ” libraría” del nivel alto.

    Responder

    • Alfonso Pacheco
      19 de enero de 2016 @ 16:16

      Hola.

      Me refiero a todo documento que estrictamente no sea necesario desde el punto de vista del derecho fiscal para llevar a cabo el servicio que te encomiendan, pero que debas solicitar en cumplimiento de la normativa de blanqueo de capitales.
      Lo de crear o no un fichero específico es un mero tema de organización, pero de crearlo entiendo que las medidas de seguridad a aplicarle serían las de nivel básico.

      Responder

  5. Mar
    31 de enero de 2016 @ 15:47

    Hola: somos una asociación pequeña de vecinos y la nueva gestoría contratada nos dice que es obligatorio que nos demos de alta en ese fichero de blanqueo, aparte del que teníamos, para la gestión administrativa. Por lo que he podido entender aquí, no sería obligatorio en nuestro caso. Gracias por confirmar. saludos

    Responder

    • Alfonso Pacheco
      1 de febrero de 2016 @ 10:58

      Hola Mar.
      Gracias por leer nuestro artículo y por dejar tu comentario. Entiendo que te refieres a si declarar un fichero específico en relación con la documentación que debe recabarse para cumplir el deber de diligencia, en vuestro caso, como asociación, en los términos que establece el artículo 39 de la Ley 10/2010. Como expongo en la entrada, si toda la documentación la tienes ya en el fichero de gestión administrativa no veo la necesidad de declarar un fichero específico, ampliaría en su caso la finalidad del ya declarado. Ahora bien, es una mera opción, por lo que tampoco pasa nada por declararlo.

      Un cordial saludo,

      Alfonso

      Responder

  6. Mar
    6 de febrero de 2016 @ 10:37

    Hola Alfonso: gracias por tu respuesta. De todas formas, hice unas preguntas a la AEPD y ésta ha sido su contestación, que me ha dejado perpleja. Y es:
    ****En relación a su escrito ponemos en su conocimiento que la normativa de blanqueo de capitales no impone la obligación de que las comunidades de vecinos deban inscribir un fichero a tal efecto.
    Por otra parte, esa inscripción de ficheros sí alcanza, por ejemplo, a la gestión de la propia comunidad (vecinos, pagos, etcétera) o videovigilancia (en caso de que exista).
    Para cualquier otra cuestión no dude en ponerse en contacto con esta Agencia.****
    O sea, que no, pero sí…..?! porque una asociación siempre tiene su gestión, aunque solo sea el pago de las cuotas.
    Aunque me quedo con tu respuesta
    un cordial saludo

    Responder

  7. Glo
    13 de febrero de 2017 @ 18:25

    Hola,
    Si se trata de una empresa de asesores, abogados y/o auditores. Entiendo leyendo tu artículo que para las obligaciones de diligencia debida, bien, no debería crearse un fichero (si ya se cuenta con uno de clientes y/o proveedores) o debería crearse uno de nivel BÁSICO. ¿Pero con qué finalidades de las que te aparecen para dar de alta el fichero? ¿Sólo OTRAS FINALIDADES?. Y en caso de que ya se entrase en las obligaciones del Capítulo III, ya entonces crear el fichero de PBC o cambiarle y añadirle finalidades al que se haya creado de nivel básico, pero ¿CUALES?, y además pasar el fichero a nivel ALTO. ¿Estoy en lo correcto?

    Responder

    • Alfonso Pacheco
      22 de febrero de 2017 @ 11:48

      Buenos días
      En cuanto a la tipificación de la finalidad del fichero a la hora de cumplimentar en el formulario NOTA: entiendo que “otras finalidades” es suficiente, dado que es en la descripción de la finalidad donde especificarás con detalle el objeto de los ficheros.

      En relación con la idea de, si tienes que cumplir obligaciones informativas, aprovechar el fichero que has creado para guardar la documentación derivada de la diligencia debida, ampliando su finalidad, yo no lo haría, porque entonces deberás aplicar medidas de nivel alto a todo el fichero. Yo mantendría, de haber creado uno específico, un fichero para las obligaciones de diligencia debida, con nivel básico en cuanto a medidas de seguridad, y crearía uno específico para las obligaciones de cumplimiento en el caso de que tengas que cumplir con las mismas.

      Responder

Responder a Víctor Altimira Ávalos Cancelar

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*