Obligació de designar un DPO per als subjectes obligats de la LPBCFT

NORMATIVA APLICABLE

L'art. 34.1.j de la LOPDGDD disposa que han de designar un delegat de protecció de dades (DPO) les entitats responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.

La LOPDGDD parla d'entitats responsables de portar fitxers regulats a la Llei 10/2010 de Prevenció del Blanqueig de Capitals i del Finançament del Terrorisme (LPBCFT), i per tant no inclou totes aquelles entitats subjectes a la Llei, que poden estar sotmeses a aquesta sense necessitat d'estar obligades a portar determinats fitxers regulats.

L'article 15.2 de la LPBCFT estableix que serà possible la creació per tercers diferents dels subjectes obligats de fitxers en què s'incloguin les dades identificatives dels qui tinguin la condició de persones amb responsabilitat pública amb l'exclusiva finalitat de col·laborar amb els subjectes obligats a el compliment de les mesures reforçades de diligència deguda. Els que procedeixin a la creació d'aquests fitxers no poden emprar les dades per a cap altra finalitat diferent de la que assenyala el paràgraf anterior.

L'article 33.2 de la LPBCFT assenyala que els subjectes obligats podran intercanviar informació relativa a les operacions a què es refereixen els articles 18 i 19 amb l'única finalitat de prevenir o impedir operacions relacionades amb el blanqueig de capitals o el finançament del terrorisme quan les característiques o operativa del supòsit concret es desprenguin la possibilitat que, una vegada rebutjada, es pugui intentar davant d'altres subjectes obligats el desenvolupament d'una operativa totalment o parcialment similar a aquella.

En relació amb aquest darrer supòsit, el Reial decret 304/2014, pel qual s'aprova el Reglament de la LPBCFT estableix en el seu art. 61 que es poden crear Fitxers comuns per al compliment de les obligacions en matèria de prevenció, en determinats supòsits:

1. Quan concorrin riscos extraordinaris identificats mitjançant les anàlisis de riscos en matèria de blanqueig de capitals i finançament del terrorisme, la Comissió, amb un dictamen previ d'acord amb l'Agència Espanyola de Protecció de Dades, pot autoritzar l'intercanvi d'informació sobre determinades categories d'operacions o clients.

2. Quan les operacions que hagin estat objecte de comunicació per indici al Servei Executiu de la Comissió i posterior rebuig pel subjecte obligat, per les seves característiques, puguin ser intentades de manera idèntica o similar davant d'un altre subjecte obligat, la Comissió, amb un dictamen previ de la de l'Agència Espanyola de Protecció de Dades, pot autoritzar els subjectes obligats l'establiment, bé directament o per mitjà de les associacions a què pertanyen, de fitxers comuns per a l'intercanvi d'aquesta informació.

En conseqüència i respecte a la designació obligatòria d'un DPO en els termes previstos a l'article 34.1.j) de la LOPDGDD, podem entendre que assolirà les entitats responsables de sistemes que fossin creats pels responsables de fitxers regulats per la LPBCFT (com els de l'article 15.2 i 33.3 de la Llei), és a dir, del fitxer comú d'intercanvi d'informació circumscrit a les entitats que tinguin la consideració de subjectes obligats de conformitat amb el que preveu la LPBCFT (article 2).

A la 10a Sessió Anual Oberta de l'AEPD, de 4 de juny de 2018 es preguntava per aquesta qüestió i es va resoldre així:

Pregunta: Tots els subjectes obligats en prevenció del Blanqueig de Capitals necessiten tenir un DPD independentment del volum de clients?

Resposta: En quant a l'exigibilitat d'un DPD, com a regla general només es considera que estan inclosos en els supòsits del RGPD pels tractaments específics relacionats amb prevenció del blanqueig els gestors dels fitxers comuns previstos a l'article 33 de la Llei 10/2010. Tot i això, molts subjectes obligats haurien de comptar amb un DPD com a conseqüència de l'activitat que desenvolupen en general.

Enllaçe (pàg. 5): https://www.aepd.es/documento/9-preguntas.pdf

RECOMANACIÓ

Per tot això exposat anteriorment, els subjectes obligats de la LPBCFT només han de designar d'acord amb l'art. 34.1.j de la LOPDGDD un DPO, quan a més fossin responsables d'algun fitxer comú d'intercanvi d'informació, autoritzat per la Comissió i previ dictamen conforme de l'AEPD, en els casos que:

1. Concorrin riscos extraordinaris identificats mitjançant les anàlisis de riscos en matèria de blanqueig de capitals i finançament del terrorisme.

2. Les operacions que hagin estat objecte de comunicació per indici al Servei Executiu de la Comissió i posterior rebuig pel subjecte obligat, per les seves característiques, puguin ser intentades de manera idèntica o similar davant d'un altre subjecte obligat, bé directament el subjecte o per mitjà de les associacions a què pertanyessin

.

ARTICLES DE LA NORMATIVA DE PREVENCIÓ DE BLANQUEIG DE CAPITALS REFERENCIATS EN EL DOCUMENT I ALTRES RELATIUS A LA PROTECCIÓ DE DADES

Llei 10/2010 de Prevenció del Blanqueig de Capitals i del Finançament del Terrorisme

• Article 2. Subjectes obligats
• Article 15. Tractament de dades de persones amb responsabilitat pública
• Article 32. Protecció de dades de caràcter personal.
• Article 32 bis. Protecció de dades en el compliment de les obligacions de diligència deguda
• Article 32 ter
• Article 33. Intercanvi d'informació entre subjectes obligats i fitxers centralitzats de prevenció del frau

Reial Decret 304/2014, pel qual s'aprova el Reglament de la LPBCFT:

• Article 61. Fitxers comuns per al compliment de les obligacions en matèria de prevenció

.