Me gustaría poner hoy a debate la controvertida interpretación del artículo 32 de la Ley 10/2010 de prevención de blanqueo de capitales y de la financiación del terrorismo en relación a la obligatoriedad de aplicar las medidas de nivel alto previstas en la normativa de protección de datos de carácter personal a los ficheros creados para el cumplimiento de las disposiciones recogidas en esta misma Ley.

Literalmente el artículo 32. 1 dice “El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de esta Ley se someterá a lo dispuesto en la Ley Orgánica 15/1999 y su normativa de desarrollo”.

Así mismo, el artículo 32.5 dispone “Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.”

Entre los restantes apartados de este artículo, y más concretamente el 2 y 3 se hace referencia exclusiva al tratamiento relacionado con el cumplimiento de los deberes de información, es decir, a los ficheros creados en virtud del capítulo III de la Ley 10/2010 de prevención de blanqueo de capitales y de la financiación del terrorismo.

Ha habido muchas interpretaciones y dudas en relación al alcance de este artículo y sobre todo en lo que se refiere a su aplicación en lo que respecta a las dos obligaciones más importantes a los que se encuentran sometidos los sujetos obligados contemplados en el artículo 2. de ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo: el deber de diligencia debida y el de comunicación.

Lógicamente, es de entender la dificultad que el artículo 32 presenta a los sujetos obligados a la hora de responder adecuadamente a sus requerimientos sin exceder su nivel de cumplimiento, ya que hay que saber que la aplicabilidad de un nivel de seguridad alto tiene ciertas implicaciones que no se requieren para los niveles básico y medio, como son:

1.- El  establecimiento de medidas de control de todos los accesos a esa información (limitación de accesos).

2.- El cifrado de la información que impida la interceptación por terceros.

Sin olvidar que saltando la barrera del nivel básico, también es exigible la realización de una auditoria bianual externa o interna.

Por lo que teniendo en cuenta lo anterior, lo que sí queda claro es que pasar a un nivel alto complica la estructura de control sobre la información que se maneja y por ende el nivel de burocracia documental no resultando muy operativo sobrepasar límites innecesarios.

La gran duda, de acuerdo con lo anterior, es la de saber razonablemente si es necesario aplicar el nivel de seguridad alto en general, es decir, a la totalidad de los tratamientos relacionados con el cumplimiento de las obligaciones previstas en la Ley 10/2010 de prevención de blanqueo de capitales y de la financiación del terrorismo o si ese nivel resulta únicamente exigible a los tratamientos relativos al cumplimiento de la obligación de examen especial y comunicación (sistemática y por indicio) recogidas en el capítulo III de esta misma Ley.

Todo esto parece quedar algo más claro cuando el Reglamento de la Ley 10/2010 de prevención de blanqueo de capitales y de la financiación del terrorismo en su artículo 60 esclarece la necesidad de aplicar el nivel de seguridad alto únicamente al tratamiento de los datos utilizados para el cumplimiento de las obligaciones de comunicación  (a las que se refiera el ya mencionado capítulo III) y para los tratamientos efectuados en el cumplimiento del deber de diligencia debida el nivel de seguridad que corresponda de acuerdo con lo dispuesto en la normativa vigente de protección de datos de carácter personal.

Cabe destacar en dicho artículo el énfasis que el legislador hace al tratamiento de los datos y no a la creación de ficheros, otro motivo que provocado la confusión de los sujetos obligados, ya que se presenta una nueva duda: la de crear o no los mencionados ficheros.

Como conclusión y sin ser demasiado rigurosos en la interpretación de la Ley, desde nuestra experiencia,  puedo decir que lo más razonable es crear los ficheros únicamente en el caso de que se presente la situación de realizar una comunicación sospechosa para evitar situarnos en un nivel de seguridad que no nos aplica por la propia naturaleza de nuestra actividad.

Por otro lado, en el caso de la documentación recopilada para dar cumplimiento a las obligaciones de diligencia debida que la Ley 10/2010 de prevención de blanqueo de capitales y de la financiación del terrorismo dispone en su capítulo II, dependerá de si entre la información que recopilo por mi propia actividad se encuentra aquella que requiera un nivel de seguridad alto (por ejemplo de salud) o también de si en la propia aplicación del procedimiento de identificación y conocimiento del cliente detecto la necesidad de obtener más información o de  tener que aplicar medidas reforzadas de diligencia debida que me lleven a recopilar datos que supongan un nivel alto (por ejemplo financiera/patrimonio, etc.). En estos supuestos, quizá lo más inteligente sea la creación de este fichero para evitar posibles problemas futuros, ya que en el caso de tener que comunicar “me habré curado en salud” y dispondré preventivamente de los mecanismos legalmente exigidos. En otros casos dependerá, puesto que los ficheros podrán ser de nivel básico o medio.

 Raquel Hernáez Ruiz
Directora