En el art. 32 se establece que no  se requerirá el consentimiento del interesado para el tratamiento de datos que sea necesario para el cumplimiento de las obligaciones de información establecidas en la norma en su Capítulo III, es decir el examen especial de aquellas operaciones que por su cuantía o naturaleza puedan estar relacionadas con el Blanqueo de Capitales. Esto viene en consonancia con la reciente Sentencia del Tribunal Supremo de 14 de febrero de 2012, de la que ya nos hicimos eco en un anterior post, por la que se declara la nulidad del artículo 10.2 del RLOPD que establece la no necesidad del consentimiento cuando los datos procedan de fuentes accesibles al público, confirmando lo dispuesto en el art. 7 de la Directiva 95/46 que establece la no necesidad de consentimiento para el tratamiento o la cesión siempre y cuando exista un interés legítimo en el tratamiento o comunicación de los datos.

Además, dicho artículo establece que tampoco será necesario el consentimiento para la comunicación de los datos previstos en el Artículo 24.2, siendo necesario destacar que está refiriendo, entre otras, a la comunicación de información entre entidades financieras pertenecientes al mismo grupo. Sin embargo, es importante señalar, que la no exigencia de consentimiento para dicha comunicación se refiere a la definición de grupo que se contiene en el artículo 42 del Código de Comercio, siendo en dichos casos los únicos en los que no se necesitará el consentimiento, y siempre en relación a los datos afectados por la LPBC. Para los demás casos de comunicación entre las empresas del grupo es recomendable la solicitud del consentimiento del afectado, tal y como lo exige la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), pese a que tras la referida sentencia del TS bastaría con un interés legítimo en la comunicación de datos para que la misma se considerada jurídicamente válida sin la existencia del consentimiento del cliente.

Es importante señalar también que aunque la LPBC disponga que no sea necesario el consentimiento para las comunicaciones entre las empresas del mismo grupo, hay que tener en cuenta que la LOPD prohíbe la comunicación de dicha información a personas o entidades domiciliadas en países terceros no calificados como equivalentes o aquellos que pierdan dicha condición.

Por otro lado y en relación a la externalización de servicios para el cumplimiento de las obligaciones de diligencia debida (art. 8 LPBC), si bien es necesario que el sujeto obligado recabe el consentimiento del titular del dato para el cumplimiento de dichas obligaciones, dichos externalizadores no necesitarían recabar a su vez consentimiento de la persona física, ya que actuarían en nombre y por cuenta del sujeto obligado configurándose como un Encargado de tratamiento o Prestador de servicios de acceso a datos por cuenta de terceros (art.12 LOPD). En este sentido, las obligaciones de diligencia debida podrán ser externalizadas en terceras empresas quedando facultadas estas últimas para la recopilación de información en nombre y por cuenta del sujeto obligado, bastando únicamente la firma de un contrato de acceso a datos por cuenta de terceros o contrato de encargado de tratamiento. No obstante lo anterior, y tras la reciente sentencia del TS de 14 de febrero de 2012, a pesar de que el sujeto obligado necesite el consentimiento de las personas físicas o clientes para el tratamiento de sus datos en la obligaciones de diligencia debida, demostrar la existencia de un interés legítimo facultaría al sujeto obligado o terceros externalizadores para tratar los datos o comunicarlos sin el consentimiento del titular del dato. En este sentido, cobrarán una especial importancia en el sector del Blanqueo de Capitales las Bases de Datos de terceros que mantienen información sobre personas físicas para cumplimiento de las obligaciones de diligencia debida, ya que actuarían en nombre y por cuenta de los sujetos obligados y si bien estos últimos han obtenido el correspondiente consentimiento para el tratamiento de los datos del cliente, si no lo hicieran, entendemos que se encontrarían excepcionados por el art.7 de la directiva Europea al tratarse de un supuesto de interés legítimo en el tratamiento o comunicación de dichos datos.

Por otra parte, el citado artículo 32 de la LPBC, indica que no será necesario cumplir con lo dispuesto en el artículo 5 de la LOPD, es decir, el deber de información, cuando se produzcan comunicaciones de información al SEPBLAC, quedando expresamente prohibida la revelación a los clientes de la existencia de dicha comunicación.

Así mismo, no serán de aplicación a los tratamientos de datos del Capítulo III de la LPBC los derechos de acceso, rectificación, cancelación y oposición regulados en la LOPD. En el caso de que algún interesado ejercitara alguno de los mencionados derechos ARCO, los sujetos obligados estarían legitimados para informarles de que no son de aplicación para este tipo de ficheros.

En el citado artículo 32 LPBC, también se regula lo relacionado con las personas de responsabilidad pública, estableciendo una serie de requisitos especiales en cuanto al tratamiento de sus datos. En dicho sentido, los sujetos obligados podrán proceder a crear ficheros donde se contengan sus datos identificativos, aun cuando no mantengan con dichas personas una relación de negocios, pudiendo además recabar información disponible acerca de ellos sin necesidad de informar de la inclusión de sus datos en este tipo de ficheros, ni de contar con el consentimiento del interesado, aún cuando la información no se encuentre en fuentes accesibles al público.

Así mismo, en la LPBC se establece que las medidas de seguridad de aplicación a las obligaciones de Información del Capítulo III de la LPBC son las de nivel alto. Esto supone una diferencia significativa con lo que establece el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de LOPD (en adelante, RLOPD), ya que el nivel que realmente les correspondería, si no estuvieran afectados por la LPBC, sería el nivel básico o medio, si contuvieran  información suficiente como para poder realizar una evaluación de la personalidad del individuo.

Por último también existen diferencias significativas en relación a la conservación de los datos y  en concreto, en cuanto a los plazos. Mientras que la LOPD indica que, de forma general, los datos deben ser cancelados una vez hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados, la LPBC establece un período de conservación de la documentación implicada en la relación de negocios o la ejecución de operaciones de un mínimo de 10 años.

En conclusión, se puede comprobar que la LPBC impone una serie de obligaciones que entran en contradicción con la LOPD y su Reglamento de Desarrollo, haciendo que los ficheros que contengan datos relacionados con la prevención del blanqueo de capitales y financiación del terrorismo deban cumplir parámetros distintos a los establecidos por la LOPD. Esta circunstancia hace que los sujetos obligados deban prestar una especial diligencia para que la información y los datos contenidos en sus ficheros cumplan sus respectivas obligaciones, teniendo que mostrar una especial atención al cumplimiento de la LOPD por parte del fichero de prevención del blanqueo de capitales y financiación del terrorismo.

Departamento de Tecnologías de la Información

LENER

En este sentido, el pasado 13 de abril, el Gobierno aprobó dicho Anteproyecto de Ley, reforzando así las actuaciones del plan de lucha contra en el fraude fiscal, con la finalidad de reducir la economía sumergida y elevar el número de contribuyentes que cumplen con sus obligaciones tributarias.

Entre las medidas adoptadas y más ambiciosas aprobadas en dicho Consejo de Ministros, se encuentra la limitación del uso de dinero en efectivo en determinadas operaciones. Limitación consistente en la prohibición de pago en metálico en operaciones iguales o superiores a 2.500 euros, pero únicamente en aquellas en las que intervenga, al menos, un empresario o profesional, es decir, que aquellos pagos realizados entre particulares no se verían afectados por la misma. Además, tampoco será aplicable esta limitación a los pagos e ingresos realizados con entidades de crédito.

Así mismo, se determinó la sanción en caso de incumplimiento de dicha prohibición, consistiendo la misma en multa del 25 por 100 del valor de pago hecho en efectivo. Tanto el pagador como el receptor de la cantidad dineraria responderán de forma solidaria de dicha infracción, por lo que la Administración podrá dirigirse contra cualquiera de ellos, sin embargo, si la denuncia procede de una de las partes que intervinieron en la operación, no se aplicará sanción alguna a la misma, siempre y cuando, ponga en conocimiento de la Agencia Tributaria la existencia de la operación dentro de los tres meses siguientes a la fecha de pago.

Además, los intervinientes en estas operaciones en las que participe un empresario o profesional deberán conservar los justificantes de pago durante al menos cinco años, para así acreditar ante la Agencia Tributaria que se efectuó el pago a través de alguno de los medios de pago alternativos al pago en metálico.

Si bien dicha medida ha sido apoyada por diferentes sectores, se han realizado ciertas críticas a la misma, por considerar que se ha establecido un límite demasiado alto si tenemos en cuenta en índice de economía sumergida que existe en España, debiendo haberse limitado el pago en efectivo a los 1.000 euros, tal y como se ha regulado en Italia, que posee un índice muy parecido al nuestro.

Igualmente ha sido criticado que la sanción se limite a un 25% del importe de la operación, dado que generar facturas falsas para realizar este tipo de fraudes implica ahorrarse el pago del impuesto de sociedades y el IVA, lo que supone un importe mucho mayor que el que se impondría por incumplimiento de dicha prohibición. Sin embargo, el Ejecutivo señaló que dicha multa se trata únicamente de una sanción administrativa y que el pago de la misma no implica que se exonere a la sociedad de ponerse al día con Hacienda.

En relación a la posible variación que supondría dicha prohibición de la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBC), es importante indicar que no existiría modificación alguna, sino que simplemente viene a complementarla. Es decir, la prohibición ya indicada no supone que aquellos comerciantes que comercien con bienes de valor superior a 2.500 euros pasen a ser sujetos obligados por dicha Ley, no debiendo cumplir con las obligaciones establecidas en la misma. Simplemente, en caso de poder aceptar pagos por un valor igual o superior a 2.500 euros, nunca deberán aceptar dinero en efectivo, debiendo utilizar cualquiera de los medios alternativos para el pago.

Como conclusión, podemos indicar que lo que el Gobierno pretende con la implantación de esta medida es que las operaciones comerciales dejen siempre un rastro que dificulte la utilización de dinero negro y, además, en el caso de las de las personas jurídicas  se limite el pago en efectivo y por tanto supone un obstáculo a la utilización de facturas falsas.

Departamento de Tecnologías de la Información

LENER

]]> http://www.lener.es/blogppii/2012/05/el-gobierno-limita-el-pago-en-metalico-para-luchar-contra-el-fraude-y-el-blanqueo-de-capitales/feed/ 0 http://www.lener.es/blogppii/2012/04/finaliza-el-plazo-para-el-cumplimiento-del-articulo-25-2-de-la-ley-102010-de-28-de-abril-de-prevencion-del-blanqueo-de-capitales-y-de-la-financiacion-del-terrorismo/ http://www.lener.es/blogppii/2012/04/finaliza-el-plazo-para-el-cumplimiento-del-articulo-25-2-de-la-ley-102010-de-28-de-abril-de-prevencion-del-blanqueo-de-capitales-y-de-la-financiacion-del-terrorismo/#comments Fri, 27 Apr 2012 08:10:42 +0000 admin http://www.lener.es/blogppii/?p=672 El próximo 30 de abril finaliza el plazo de dos años, que estableció la LPBC en su Disposición Final Séptima, para el cumplimiento de la obligación de su artículo 25.2

Los sujetos obligados, con las excepciones que se determinen reglamentariamente, almacenarán las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

La LPBC ya exigía que la conservación de dicha documentación se realice durante un período mínimo de 10 años pero exceptuaba la obligación establecida en el artículo 25.2,  posponiendo su entrada en vigor dos años desde la publicación de la Ley.

Esta medida es de aplicación tanto para clientes actuales, como para posibles futuros clientes. Por tanto, es indispensable que los sujetos obligados verifiquen la aplicación y cumplimiento de la obligación de conservación de documentos de acuerdo con lo expuesto.

Conviene recordar que el incumplimiento de  esta obligación podría tener como consecuencia para el sujeto obligado la aplicación de una sanción clasificada como infracción grave, pudiendo ascender hasta los 150.000€.

Por otra parte, además de la sanción que corresponda imponer al sujeto obligado, se podrá imponer a quienes, ejerciendo en el mismo cargos de administración o dirección, fueran responsables de la infracción, con una multa de hasta 60.000€ e incluso suspensión temporal en el cargo por plazo de hasta un año.

LENER

El objetivo del seminario es, en una jornada completa de mañana y tarde, hacer un análisis profundo sobre los aspectos básicos, tanto jurídicos como técnicos que deberán ser tenidos en cuenta a la hora de adecuar una empresa a la normativa de protección de datos. Igualmente realizaremos un análisis práctico del cumplimiento legal con ejemplos basados en los ficheros de datos típicos de una empresa.

El programa del seminario será el siguiente:

PARTE I: LA LOPD EN LA EMPRESA

• Normativa aplicable.
• Disposiciones generales.
• Principios
• Datos especialmente protegidos
• Cesiones/Comunicaciones de datos
• Acceso a datos por parte de terceros
• Derechos

PARTE II: MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

• Medidas de Seguridad
• Niveles de Seguridad
• Ordenación / Clasificación

PARTE III: LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: PROCEDIMIENTOS Y SANCIONES

PARTE IV: APLICACIÓN PRÁCTICA DE ASPECTOS JURÍDICOS Y TÉCNICOS A LOS FICHEROS HABITUALES DE LAS EMPRESAS

• Clientes y Proveedores. ¿Debo registrar el fichero de clientes y proveedores si mis clientes son sólo personas jurídicas? ¿y si recabo el DNI del apoderado de la empresa en la firma de contratos?
• Personal.
• Prevención de Riesgos Laborales. ¿Se debe aplicar un nivel de protección alto a los datos de trabajadores que indiquen la baja por enfermedad, el apto no apto de las revisiones médicas, y el % de discapacidad en la gestión de nóminas?
• Candidatos. ¿Los test Psicotécnicos a los candidatos implican aplicar nivel de seguridad alto en el fichero candidatos? ¿podría reutilizar de nuevo el test psicotécnico?
• Videovigilancia. ¿Debo colgar un cartel de videovigilancia en cada cámara? ¿se debe registrar fichero si no conservo datos?
• Usuarios Web. ¿Puedo enviarles comunicaciones comerciales electrónicas a los usuarios que se den de alta en mi web?
• Impagados, etc. ¿puedo dar de alta en ASNEF a un cliente al que no le haya reclamado la deuda vía burofax? ¿Qué debo exigir a mi empresa de recuperación de créditos?

Le recordamos que el curso puede ser bonificado a través de la Fundación Tripartita, vía descuentos seguros sociales con la Seguridad Social.

El primero de los cursos tendrá lugar en la siguiente fecha:

Curso que será impartido y dirigido por D. Fernando Ramos Suárez, Director del Departamento de Propiedad Intelectual e Industrial y TIC.

Plazas limitadas. Para confirmar su asistencia y ver los formularios de inscripción Click Aquí

Si necesita información adicional o cualquier aclaración no dude en comentárnoslo, poniéndose en contacto con Cristina Soriano, a través del email: cristinasoriano@lener.es

Departamento de Propiedad Intelectual

LENER

El objetivo del seminario es, en una jornada completa de mañana y tarde, hacer un análisis profundo sobre los aspectos básicos, tanto jurídicos como técnicos que deberán ser tenidos en cuenta a la hora de adecuar una empresa a la normativa de protección de datos. Igualmente realizaremos un análisis práctico del cumplimiento legal con ejemplos basados en los ficheros de datos típicos de una empresa.

El programa del seminario será el siguiente:

PARTE I: LA LOPD EN LA EMPRESA

• Normativa aplicable.
• Disposiciones generales.
• Principios
• Datos especialmente protegidos
• Cesiones/Comunicaciones de datos
• Acceso a datos por parte de terceros
• Derechos

PARTE II: MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

• Medidas de Seguridad
• Niveles de Seguridad
• Ordenación / Clasificación

PARTE III: LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: PROCEDIMIENTOS Y SANCIONES

PARTE IV: APLICACIÓN PRÁCTICA DE ASPECTOS JURÍDICOS Y TÉCNICOS A LOS FICHEROS HABITUALES DE LAS EMPRESAS

-     Clientes y Proveedores. ¿Debo registrar el fichero de clientes y proveedores si mis clientes son sólo personas jurídicas? ¿y si recabo el DNI del apoderado de la empresa en la firma de contratos?

-     Personal.

-     Prevención de Riesgos Laborales. ¿Se debe aplicar un nivel de protección alto a los datos de trabajadores que indiquen la baja por enfermedad, el apto no apto de las revisiones médicas, y el % de discapacidad en la gestión de nóminas?

-     Candidatos. ¿Los test Psicotécnicos a los candidatos implican aplicar nivel de seguridad alto en el fichero candidatos? ¿podría reutilizar de nuevo el test psicotécnico?

-     Videovigilancia. ¿Debo colgar un cartel de videovigilancia en cada cámara? ¿se debe registrar fichero si no conservo datos?

-     Usuarios Web. ¿Puedo enviarles comunicaciones comerciales electrónicas a los usuarios que se den de alta en mi web?

-     Impagados, etc. ¿puedo dar de alta en ASNEF a un cliente al que no le haya reclamado la deuda vía burofax? ¿Qué debo exigir a mi empresa de recuperación de créditos?

Le recordamos que el curso puede ser bonificados a través de la Fundación Tripartita, vía descuentos seguros sociales con la Seguridad Social.

El primero de los cursos tendrá lugar en la siguiente fecha:

Curso que será impartido y dirigido por D. Fernando Ramos Suárez, Director del Departamento de Propiedad Intelectual e Industrial y TIC.

Plazas limitadas. Para confirmar su asistencia y ver los formularios de inscripción Click Aquí

Si necesita información adicional o cualquier aclaración no dude en comentárnoslo, poniéndose en contacto con Cristina Peremateu, a través del email: cristinaperemateu@lener.es

Departamento de Propiedad Intelectual

LENER