El Delegado de Protección de Datos tiene un papel importante en entornos donde se aplican medidas contra el blanqueo de capitales. En este contexto, el DPO para la prevención del blanqueo de capitales garantiza que el tratamiento de datos personales se realice de forma legal, proporcional y respetuosa con los derechos de los interesados.
Contenidos
- ¿Qué es PBC (prevención del blanqueo de capitales)?
- ¿Es obligatorio el DPO para la prevención del blanqueo de capitales?
- Rol del DPO en el contexto de la prevención del blanqueo de capitales
- Funciones del DPO relacionadas con la PBC
- Diferencias entre el DPO y el responsable de PBC
- ¿Cómo deben cooperar el DPO y el responsable de PBC?
¿Qué es PBC (prevención del blanqueo de capitales)?
La prevención del blanqueo de capitales y la financiación del terrorismo (PBC/FT) es el conjunto de medidas legales y operativas que deben adoptar las entidades para evitar que sus servicios sean utilizados con fines ilícitos. Estas medidas incluyen la identificación del cliente, la vigilancia de operaciones y la comunicación de actividades sospechosas a las autoridades competentes, como el SEPBLAC.
¿Es obligatorio el DPO para la prevención del blanqueo de capitales?
El Delegado de Protección de Datos (DPO) y el responsable de cumplimiento en materia de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (PBC/FT) son figuras distintas, pero su trabajo puede y debe estar coordinado, especialmente en entidades financieras, aseguradoras o cooperativas de crédito donde se gestionan grandes volúmenes de datos personales.
El artículo 34 de la LOPDGDD indica que deben designar un DPO:
- Los responsables y encargados del tratamiento en los casos previstos en el artículo 37.1 del RGPD.
- Entidades concretas como centros sanitarios, centros docentes, entidades de crédito, aseguradoras, operadores de juego, entre otros.
Entonces, ¿es obligatorio un DPO por actividades de PBC?
No por el hecho de realizar actividades de prevención del blanqueo en sí mismas, pero sí puede ser obligatorio si la entidad:
- Forma parte de un sector con obligación legal de nombrar un DPO, como:
- Entidades de crédito
- Aseguradoras
- Cooperativas de crédito
- Realiza tratamientos de datos a gran escala, como elaboración de perfiles de riesgo, controles automatizados o tratamiento sistemático de datos financieros o sensibles.
El artículo 34 de la LOPDGDD no vincula directamente al DPO con la PBC, pero las actividades propias de la prevención del blanqueo suelen implicar tratamientos de datos personales que sí obligan a contar con un DPO.
Rol del DPO en el contexto de la prevención del blanqueo de capitales
El DPO no es responsable directo de aplicar la normativa de prevención de blanqueo, pero supervisa que los tratamientos de datos personales realizados en ese contexto respeten el RGPD y la LOPDGDD.
Esto es clave porque las operaciones de prevención de blanqueo implican:
- Recogida intensiva de datos de clientes (KYC: Know Your Customer).
- Análisis automatizados o elaboración de perfiles de riesgo.
- Conservación prolongada de información personal (hasta 10 años en algunos casos).
- Comunicaciones con organismos públicos, como el SEPBLAC.
Funciones del DPO relacionadas con la PBC
El DPO debe:
- Verificar la base legal del tratamiento de datos en procesos de control de identidad, análisis de riesgo y seguimiento de operaciones.
- Supervisar que las medidas de PBC respeten los principios de minimización, limitación y conservación establecidos por el RGPD.
- Evaluar los riesgos de privacidad en herramientas tecnológicas utilizadas para detectar actividades sospechosas (por ejemplo, software de scoring o análisis de transacciones).
- Revisar contratos con terceros que intervengan en procesos relacionados con la prevención del blanqueo, asegurando cláusulas de tratamiento adecuado de datos.
- Asesorar al responsable de cumplimiento normativo, para garantizar un equilibrio entre el deber de prevención y la protección de los derechos de los interesados.
| Función | Resumen |
|---|---|
| Verificación legal | Comprobar la base jurídica del tratamiento de datos en controles de identidad y operaciones de riesgo. |
| Supervisión de principios del RGPD | Garantizar que las medidas respeten minimización, limitación y conservación de datos. |
| Evaluación de riesgos | Analizar impactos en privacidad de herramientas tecnológicas para detectar actividades sospechosas. |
| Revisión de contratos | Controlar que los contratos con terceros incluyan garantías de tratamiento adecuado de datos. |
| Asesoramiento al área de cumplimiento | Orientar al responsable de PBC para equilibrar prevención y derechos de los interesados. |
Diferencias entre el DPO y el responsable de PBC
- Objeto de supervisión: El DPO supervisa el cumplimiento del RGPD y la LOPDGDD. El responsable de PBC vigila el cumplimiento de la normativa de prevención del blanqueo de capitales y financiación del terrorismo.
- Normativa de referencia: El DPO se rige principalmente por el RGPD, la LOPDGDD y guías de la AEPD. El responsable de PBC se basa en la Ley 10/2010 y su reglamento, bajo supervisión del SEPBLAC.
- Autoridad de supervisión: El DPO responde ante la Agencia Española de Protección de Datos. El responsable de PBC actúa bajo supervisión del SEPBLAC y otras autoridades financieras.
- Tipo de datos gestionados: El DPO actúa sobre todos los datos personales tratados en la entidad. El responsable de PBC trabaja específicamente con datos relacionados con la identificación, actividad económica y operaciones financieras.
- Finalidad del tratamiento: El DPO vela por la legalidad y proporcionalidad de cualquier tratamiento de datos. El responsable de PBC aplica medidas para prevenir delitos financieros y reportar operaciones sospechosas.
- Relación con el cliente o usuario: El DPO es un punto de contacto para que el interesado ejerza sus derechos de protección de datos. El responsable de PBC no interactúa directamente con el cliente salvo en requerimientos de identificación o investigación.
| Diferencia | Delegado de Protección de Datos (DPO) | Responsable de PBC |
|---|---|---|
| Objeto de supervisión | Cumplimiento del RGPD y LOPDGDD. | Cumplimiento de la normativa de PBC y FT. |
| Normativa de referencia | RGPD, LOPDGDD y guías de la AEPD. | Ley 10/2010 y reglamento del SEPBLAC. |
| Autoridad de supervisión | Agencia Española de Protección de Datos. | SEPBLAC y autoridades financieras. |
| Tipo de datos gestionados | Todos los datos personales de la entidad. | Datos de identificación y financieros del cliente. |
| Finalidad del tratamiento | Garantizar legalidad y proporcionalidad del tratamiento. | Prevenir delitos financieros y reportar operaciones. |
| Relación con el cliente | Canal para ejercer derechos sobre sus datos. | Intervención puntual en procesos de identificación o control. |
Una correcta coordinación permite aplicar medidas eficaces contra el blanqueo de capitales sin comprometer la legalidad y proporcionalidad del tratamiento de datos personales.
¿Cómo deben cooperar el DPO y el responsable de PBC?
La cooperación entre el Delegado de Protección de Datos y el responsable de PBC debe darse de manera fluida y a varios niveles:
- Evaluación conjunta de riesgos: Compartir información sobre riesgos en sistemas y procesos que tratan datos personales vinculados a la prevención del blanqueo.
- Revisión de bases legales: Verificar que los tratamientos de datos del área de PBC (como identificación o monitorización) se fundamenten en una base jurídica válida conforme al RGPD.
- Supervisión de herramientas tecnológicas: Colaborar en el análisis de impacto en privacidad de los sistemas automatizados usados para detectar operaciones sospechosas.
- Intercambio de políticas y protocolos: Coordinar la elaboración o revisión de documentos internos, cláusulas informativas y procedimientos que afecten tanto a cumplimiento como a protección de datos.
- Gestión de brechas de seguridad o incidentes: Cooperar en la detección y notificación de incidentes que puedan afectar tanto al cumplimiento de PBC como a la confidencialidad de los datos personales.
- Formación conjunta del personal: Impulsar programas de formación que integren aspectos clave de protección de datos y prevención del blanqueo de capitales.
- Coordinación ante inspecciones o requerimientos: Actuar de forma alineada frente a auditorías, requerimientos del SEPBLAC o de la Agencia Española de Protección de Datos.
