Df 2 Creación y crecimiento de empresas

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, queda modificada como sigue:

Uno. Se modifica el apartado 3 del artículo 2, que queda redactado con el siguiente tenor literal:

«3. Reglamentariamente podrán excluirse aquellas personas que realicen actividades financieras con carácter ocasional o de manera muy limitada cuando exista escaso riesgo de blanqueo de capitales o de financiación del terrorismo. Asimismo, podrán excluirse, total o parcialmente, aquellos juegos de azar y los sujetos obligados de la letra h) del apartado 1 de este artículo, que presenten un bajo riesgo de blanqueo de capitales y de financiación del terrorismo.»

Dos. Se modifica la letra a) del apartado 1 del artículo 12, que queda redactado con el siguiente tenor literal:

«La identidad del cliente quede acreditada mediante la firma electrónica cualificada regulada en el Reglamento (UE) n.° 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. En este caso no será necesaria la obtención de la copia del documento, si bien será preceptiva la conservación de los datos de identificación que justifiquen la validez del procedimiento. En el resto de casos, cuando la firma electrónica utilizada no reuniese los requisitos de la firma electrónica cualificada seguirá siendo preceptiva la obtención en un mes de una copia del documento de identificación.»

Tres. Se modifica el artículo 32, que queda redactado con el siguiente tenor literal:

«Artículo 32. Protección de datos de carácter personal.

1. El tratamiento de datos personales para el cumplimiento de las obligaciones establecidas en el capítulo III de esta ley se encuentra amparado por lo dispuesto en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el artículo 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no precisando del consentimiento del interesado.

Tampoco será necesario el consentimiento para las comunicaciones de datos previstas en el citado capítulo y, en particular, para las previstas en el artículo 24.2, quedando igualmente amparadas por el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre.

2. En virtud de lo dispuesto en el artículo 24.1, y de conformidad con el artículo 14.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 14 del mencionado Reglamento en relación con los tratamientos a los que se refiere el apartado anterior.

Asimismo, de conformidad con el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no procederá la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento en relación con los citados tratamientos. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

Lo dispuesto en el presente apartado será igualmente aplicable a los tratamientos llevados a cabo por el Servicio Ejecutivo de la Comisión para el cumplimiento de las funciones que le otorga esta ley.

3. Los órganos centralizados de prevención a los que se refiere el artículo 27 tendrán la condición de encargados del tratamiento a los efectos previstos en la normativa de protección de datos personales.

Se exceptúan de lo señalado en el párrafo anterior los tratamientos que llevasen a cabo los órganos centralizados de prevención de incorporación obligatoria en el ámbito de las funciones que se les atribuyan reglamentariamente. La norma reglamentaria especificará los supuestos en que estos órganos tengan la condición de responsables del tratamiento.

4. Los sujetos obligados deberán realizar una evaluación de impacto en la protección de datos de los tratamientos a los que se refiere este artículo a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos.

En todo caso, el tratamiento deberá llevarse únicamente a cabo por los órganos a los que se refiere el artículo 26 ter de esta ley.

5. Serán de aplicación a los ficheros creados en aplicación de lo dispuesto en el capítulo III las medidas de seguridad y control reforzadas.»

Cuatro. Se incluye un artículo 32 ter con el siguiente tenor literal:

«1. Los sujetos obligados pertenecientes a una misma categoría de las establecidas en el artículo 2 de esta ley podrán crear sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada para el cumplimiento de las obligaciones de diligencia debida establecidas en el capítulo II, con excepción de la relacionada con el seguimiento continuo de la relación de negocios, regulada en el artículo 6.

Los sujetos adheridos al sistema tendrán la condición de corresponsables del tratamiento a los efectos previstos en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en el artículo 29 de la Ley Orgánica 3/2018, de 5 de diciembre.

El mantenimiento de estos sistemas podrá encomendarse a un tercero, aun cuando no tenga la condición de sujeto obligado.

Los sujetos obligados corresponsables deberán comunicar a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias la intención de constituir estos sistemas al menos sesenta días antes de su puesta en funcionamiento. Esta comunicación no exime a las entidades financieras del cumplimiento de las obligaciones de notificación a que estén sujetas.

2. La comunicación de datos a los sistemas, así como el acceso a los datos incorporados a los mismos se encuentran amparados en lo dispuesto en el artículo 6.1.c) del Reglamento (UE) 2016/679, de 27 de abril de 2016, y en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre.

Los sujetos obligados solo podrán acceder a la información facilitada por otro sujeto obligado en los supuestos en que la persona a la que se refieran los datos sea su cliente o el acceso a la información sea necesario para el cumplimiento de las obligaciones de identificación previas al establecimiento de la relación de negocios previstas en el artículo 3. En este supuesto, solo se accederá a los datos necesarios a tal efecto.

3. Los datos serán facilitados al sistema por los órganos de control interno previstos en el artículo 26 ter. Estos órganos canalizarán asimismo las solicitudes de acceso a los datos contenidos en el sistema.

En todo caso, los interesados deberán ser informados acerca de la comunicación de los datos al sistema, así como del acceso que pretendiese llevarse a cabo con carácter previo a que el mismo se produzca.

4. Los datos obtenidos como consecuencia del acceso al sistema únicamente podrán ser empleados para el cumplimiento por los sujetos obligados de lo dispuesto en el capítulo II de esta ley.

5. Corresponderá al sujeto obligado que hubiera proporcionado los datos al sistema responder de su exactitud y actualización, debiendo cumplir en su caso lo establecido en los artículos 17.2 y 19 del Reglamento (UE) 2016/679, de 27 de abril de 2016. Conforme al artículo 26.3 del Reglamento (UE) 2016/679, los interesados podrán ejercer los derechos que les reconoce el citado Reglamento frente a, y en contra de, cada uno de los responsables.

Cuando el sujeto obligado compruebe, a la vista de la información que él mismo hubiese recabado en cumplimiento de sus deberes de diligencia debida, que los datos a los que hubiese accedido son incorrectos o no están actualizados, lo comunicará al sistema a fin de que los datos sean objeto de actualización o rectificación en su caso.

Del mismo modo deberá proceder cuando aprecie que un documento incorporado al sistema deba ser sustituido por otro más reciente.

6. Sin perjuicio de las restantes medidas que deban adoptarse en cumplimiento de lo dispuesto en el capítulo V del Reglamento (UE) 2016/679, de 27 de abril de 2016, y el título VI de la Ley Orgánica 3/2018, de 5 de diciembre, el sistema de información incorporará medidas que garanticen la trazabilidad de los accesos al mismo.

7. La Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias podrá autorizar el establecimiento de sistemas comunes en que participen varias categorías de sujetos obligados, delimitando dichas categorías y la información que podrá ser compartida.»

Cinco. Se modifica el artículo 33 con el siguiente tenor literal:

«Artículo 33. Intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude.

1. Sin perjuicio de lo establecido en el artículo 24.2, cuando concurran riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales y financiación del terrorismo llevados a cabo por los sujetos obligados, o a través de la actividad de análisis e inteligencia financieros del Servicio Ejecutivo de la Comisión, o del análisis de riesgo nacional en materia de blanqueo de capitales y de la financiación del terrorismo, la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, previo dictamen conforme de la Agencia Española de Protección de Datos, podrá acordar el intercambio de información referida a determinado tipo de operaciones distintas de las previstas en los artículos 18 y 19 o a clientes sujetos a determinadas circunstancias siempre que el mismo se produzca entre sujetos obligados que se encuentren en una o varias de las categorías previstas en el artículo 2.

El Acuerdo determinará en todo caso el tipo de operación o la categoría de cliente respecto de la que se autoriza el intercambio de información, así como las categorías de sujetos obligados que podrán intercambiar la información.

2. Asimismo, los sujetos obligados podrán intercambiar información relativa a las operaciones a las que se refiere el artículo 18 con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla.

Quedarán excluidas aquellas operaciones que hayan sido objeto de devolución por el Servicio Ejecutivo de la Comisión, conforme al artículo 18.2.

3. El tratamiento de los datos personales al que se refieren los dos apartados anteriores, cuando proceda, se encontrará amparado en lo dispuesto en el artículo 8.2 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 6.1 e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no siendo preciso contar con el consentimiento del interesado.

4. De acuerdo con el artículo 24.1, y de conformidad con el artículo 14.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 14 del Reglamento en relación con los tratamientos a los que se refieren los apartados 1 y 2.

Asimismo, de conformidad con el artículo 23 del Reglamento (UE) 2016/679, no procederá la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento en relación con los citados tratamientos. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

5. Los sujetos obligados o quienes desarrollen los sistemas que sirvan de soporte al intercambio de información al que se refieren los apartados 1 y 2 deberán realizar una evaluación de impacto en la protección de datos de los citados tratamientos a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos.

El acceso a los datos quedará limitado a los órganos de control interno previstos en el artículo 26 ter, con inclusión de las unidades técnicas que constituyan los sujetos obligados.

6. Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes en materia de prevención o represión del blanqueo de capitales o de la financiación del terrorismo podrán consultar la información contenida en los sistemas que fueren creados, de acuerdo con lo previsto en la normativa vigente en materia de protección de datos personales, siempre que el acceso a dicha información fuere necesario para las finalidades descritas en los apartados anteriores.»

Seis. Se modifica la letra d) del apartado 2 del artículo 44 con el siguiente tenor literal:

«d) Nombrar y cesar al Director del Servicio Ejecutivo de la Comisión. El nombramiento y cese se realizarán a propuesta de la persona titular de la Presidencia de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, previa consulta con el Banco de España.»

Siete. Se modifica el apartado 5 en el artículo 45 con el siguiente tenor literal:

«5. El Banco de España, por los gastos que realice al amparo del presupuesto aprobado por la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, formará una cuenta que, debidamente justificada, remitirá a la Dirección General del Tesoro y Política Financiera. La citada Dirección la abonará al Banco de España con cargo al concepto no presupuestario creado a tal efecto por la Intervención General de la Administración del Estado.

El saldo que presente el citado concepto será regularizado con cargo a los beneficios que el Banco de España ingresa anualmente en el Tesoro Público.»

Ocho. Se modifica el apartado 7 del artículo 61 con el siguiente tenor literal:

«La Secretaría de la Comisión informará a la Autoridad Bancaria Europea de todas las sanciones impuestas a las entidades de crédito y financieras, incluido cualquier recurso que se haya podido interponer contra las mismas y su resultado.»