Los sujetos obligados de prevenir el blanqueo de capitales y la financiación del terrorismo deben cumplir con la Ley y el Reglamento General de Protección de Datos. La disyuntiva de qué normativa se ha de aplicar ante un mismo supuesto y que parece que contravenirse, genera mucha preocupación y consulta a lo largo del año, sin embargo, como veremos más adelante, hay una serie de supuestos en los que el derecho fundamental a la protección de los datos personales debe ceder ante los intereses de la prevención del blanqueo de capitales.
En materia de protección de datos es sabido que los responsables del tratamiento tienen la obligación de informar a los interesados del tratamiento que se va a llevar a cabo de sus datos personales, pero ¿qué hacer cuando se trata de sujetos obligados, se debe de informar de la finalidad para la cual se recogen los datos en todo momento?
Un sujeto obligado de prevención de blanqueo de capitales debe informar al cliente con carácter previo al establecimiento de la relación de negocios o la realización de una transacción ocasional la información que enumera el Reglamento General de Protección de Datos.
Es decir, al menos la información respecto del responsable del tratamiento, finalidad de los datos, cesiones que se habilitan, tipos de datos tratados y ejercicio de derechos que le asisten al cliente.
Por ello, no tienen obligación de informar respecto a las obligaciones de información, pero sí que tienen que informar sobre el tratamiento de sus datos personales, ya que en primera instancia hay una prestación de servicios.
Por otra parte, puede que nos preguntemos si se puede utilizar la información obtenido en el marco de aplicación de las medidas de Diligencia Debida para otras finalidades distintas de la contempladas en la ley 10/2010.
Según la Ley de Prevención de Blanqueo de Capitales, los datos recogidos por los sujetos obligados para el cumplimiento de las obligaciones de diligencia debida no podrán ser utilizados para fines distintos, sin el consentimiento del interesado, salvo que el tratamiento de dichos datos sea necesario para la gestión ordinaria de la relación de negocios, ya que cada finalidad necesita de una base de legitimación.
Entonces ¿Sobre qué base de legitimación un sujeto obligado puede solicitar información personal a sus clientes?
El sujeto obligado, se encuentra amparado para la solicitud de información personal a los clientes, en Ley de Prevención de Blanqueo de Capitales, que, a su vez, nos deriva a la LOPD-GDD, que hace referencia al tratamiento de datos basado en el cumplimiento de una obligación legal.
Si atendemos a lo recogido en ese artículo, todos los tratamientos se legitimarían por el cumplimiento de: una obligación legal, interés público o ejercicio de poderes públicos.
Por ello, y de acuerdo con lo anterior, la base de legitimación será la del cumplimiento de las exigencias legales que se derivan de la normativa de prevención de blanqueo de capitales, siendo esa norma la norma habilitante.
¿Cabe otra base que no sea el consentimiento del propio cliente?
La petición de información a clientes se encuentra recogida principalmente en la Ley 10/2010 de Prevención de Blanqueo de Capitales (medidas de diligencia debida).
De acuerdo con lo previsto en esa Ley, el tratamiento de datos personales que resulte necesario para el cumplimiento de las obligaciones establecidas en relación con medidas de diligencia debida se encuentra amparado por lo dispuesto en el artículo 8.1 de la Ley y el Reglamento General de Protección de Datos, no precisando del consentimiento del interesado
Ya que El consentimiento no puede ser la base legitimadora del cumplimiento de medidas de diligencia reforzada, dado que si así fuera, podría ser revocado por quien lo otorgó. Si nos basáramos en esa legitimación (consentimiento), los tratamientos de datos para la prevención del blanqueo de capitales quedarían en las manos de quienes precisamente pueden estar cometiendo esas irregularidades.
Autora: Alicia García Fernández
