El síndrome de acumulación compulsiva de datos personales

  • Derechos Fundamentales, Protección de Datos, Sociedad digital
  • Análisis
Perfil del autor

El síndrome de acumulación compulsiva es un trastorno psicológico que consiste en la acumulación de objetos y en la incapacidad de deshacerse de ellos. Afecta a personas que creen que necesitan guardar un gran número de cosas pese a que carezcan de valor.

Son varios los síntomas que pueden desembocar en esta enfermedad. Por ello, es conveniente realizar un examen lo antes posible.

En este artículo se analizará un posible caso de acumulación compulsiva, en el que el potencial síntoma es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y el paciente sometido a examen son las entidades bancarias.

El síntoma

La Ley de prevención del blanqueo tiene como objetivo “la protección de la integridad del sistema financiero y de otros sectores de actividad económica mediante el establecimiento de obligaciones de prevención del blanqueo de capitales y de la financiación del terrorismo”.

Para ello, la norma impone una serie de obligaciones que pueden entrar en conflicto con otras normas o derechos. Los objetivos de la Ley 10/2010 se impondrán siempre y cuando resulte justificado. En caso contario podríamos estar ante un síntoma de extralimitación en el cumplimiento de las obligaciones bajo el axioma “lo exige la Ley de Prevención del Blanqueo”.

El paciente

La Ley de prevención del blanqueo impone obligaciones a determinados sujetos. Uno de ellos es el paciente que se examinará: las entidades de crédito.

En el desarrollo de su actividad los bancos deben realizar labores de identificación, seguir las operaciones, aplicar medidas de diligencia debida, etc. La finalidad es conocer la procedencia del capital y su titularidad, de modo que si los clientes no acreditan algún punto o no lo hacen de manera suficiente, el banco podría aplicar medidas restrictivas como cancelar, bloquear o restringir operaciones de las cuentas [1].

El caso

El cumplimiento de la Ley 10/2010 implica limitaciones a la privacidad. Ejemplos de ello son la ausencia de necesidad del consentimiento[2], la restricción informativa o la limitación del ejercicio de los derechos de protección de datos[3]. Estas limitaciones, además de resultar necesarias para la prevención del blanqueo, son acordes a la normativa de protección de datos[4].

El problema surge cuando una entidad padece el síndrome de acumulación compulsiva. En estos casos, las entidades empiezan a exigir más datos, más informaciones y más documentos de los necesarios para el cumplimiento normativo. Estas peticiones, que no aportan un valor o utilidad a efectos de supervisar riesgos de blanqueo o terrorismo, son excesivas, desproporcionadas y, en suma, contrarias al RGPD y la LOPDGDD. Concretamente infringen el principio de minimización de datos, el cual exige que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Cuestión que no es baladí, puesto que supone una vulneración de un derecho fundamental.

En consecuencia, debemos preguntarnos: ¿Los bancos pueden solicitarnos cualquier información? ¿Incluso en operaciones que no presentan riesgo alguno? ¿Acaso no existen límites?

El problema es la indeterminación en torno a la cuestión. Por un lado, la Ley 10/2010 y sus normas de desarrollo no han concretado con claridad límites a las obligaciones de diligencia debida de los bancos. Únicamente advierten de que las medidas se aplicarán en función del riesgo y dependiendo del tipo de cliente, relación de negocios, producto u operación, y en cuanto al principio de minimización contiene una referencia relativa al acceso de información entre sujetos obligados. Por otro lado, tanto el Banco de España como el SEPBLAC informan en sus respectivas webs que, al no fijarse por la normativa los documentos que las entidades financieras pueden solicitar, los bancos podrán reclamar cualquier documento que les permita conocer el origen de nuestros fondos, así como la naturaleza de nuestra actividad profesional o empresarial.

El tratamiento del trastorno

Tras haber observado el síntoma, analizado al paciente y estudiado el caso, hay que prescribir el tratamiento adecuado. ¿Cómo podemos tratar la petición compulsiva de informaciones y datos por los bancos? Con Derecho europeo.

En efecto, la Unión Europea ha configurado el marco de la lucha contra el blanqueo y la financiación del terrorismo mediante distintas normas. A continuación destacamos tres textos legales que tratan de conciliar las obligaciones de información con la proporcionalidad y el respeto a la privacidad.  

Así, la Directiva (UE) 2018/843 establece que los fines de la normativa de prevención de blanqueo de capitales y financiación del terrorismo no pueden limitar de manera total la privacidad y los datos personales de los individuos[5]. Pero más clara es la Directiva (UE) 2024/1640 al señalar que “Con el fin de respetar la privacidad y proteger los datos personales, deben almacenarse (…) los datos mínimos necesarios para el desarrollo de las investigaciones en materia de LBC/LFT”. En el mismo considerando permite a los Estados miembros determinar qué otros datos pueden recabarse, pero advirtiendo que en todo caso deben resultar útiles y proporcionados. Por su parte, el Reglamento (UE) 2024/1624, dice que la normativa de protección de datos es aplicable y que debe respetarse, de modo que “la recogida y el posterior tratamiento de datos personales por las entidades obligadas deben limitarse a lo necesario con el fin de cumplir los requisitos de LBC/LFT”. En cuanto a las medidas aplicables, establece que ante la diferencia de riesgo que presentan los distintos sectores, servicios o clientes, se puede llegar a “eximir a dichos productos de determinadas medidas de diligencia debida con respecto al cliente”.

Este marco genérico de la normativa europea debe completarse con los límites judiciales. Así, en la Sentencia de 10 de marzo de 2016 (asunto C-235/14), el Tribunal de Justicia de la Unión Europea señaló que las medidas de diligencia debida de las normas de prevención de blanqueo deben responder a situaciones de riesgo concreto –no hipotéticas– y ser, en todo caso, proporcionadas. Ello es porque las medidas aplicadas deben presentar un vínculo concreto con el riesgo de blanqueo de capitales o de financiación del terrorismo y ser proporcionadas a éste (apartado 87), siendo este riesgo mayor o menor en función a distintos factores, como el tipo de cliente, la relación de negocios, el producto o transacción, etc. (apartado 64). Por ello, en defecto de un riesgo real de blanqueo de capitales o de financiación del terrorismo, no debe permitirse a las entidades que decidan en cada caso qué medidas aplicar a su libre arbitrio (apartado 107)[6].

Conclusión

Debe encontrarse un equilibrio entre la normativa de prevención del blanqueo y los derechos fundamentales, de modo que los objetivos de la primera no se vean imposibilitados por una aplicación absoluta e ilimitada de los segundos y, por otro lado, que los derechos no se vean sacrificados en todo caso por la normativa.

Es por ello fundamental aplicar correctamente los principios del Derecho europeo para tratar los trastornos de acumulación compulsiva de las entidades bancarias. Los principios de proporcionalidad, necesidad y respeto a los derechos fundamentales son perfectamente compatibles con los principios de la protección de datos (como el de minimización) para regir las actuaciones de las entidades bancarias.

[1] Muestra de ello es el considerando 21, el cual refuerza el principio de minimización de datos: “Con el fin de respetar la privacidad y proteger los datos personales, deben almacenarse en mecanismos automatizados centralizados para cuentas bancarias y de pago, como registros o sistemas de consulta de datos, los datos mínimos necesarios para el desarrollo de las investigaciones en el marco de la lucha contra el blanqueo de capitales y la financiación del terrorismo. Debe permitirse a los Estados miembros determinar qué datos resulta útil y proporcionado recabar, teniendo en cuenta los sistemas y tradiciones jurídicas vigentes para permitir una identificación apropiada de los titulares reales…”

[2] La sentencia además señala que si bien las Directivas posibilitan que el Derecho nacional adopte disposiciones más estrictas para establecer un nivel de protección superior, este refuerzo debe realizarse de manera proporcionada al riesgo existente en una situación determinada (apartado 106).

[3] En este caso, el artículo 32 bis de la Ley de prevención del blanqueo señala expresamente que la base legitimadora para el tratamiento de datos y su comunicación es la obligación legal conforme al artículo 6.1.c RGPD.

[4] Por otra parte, la Ley de prevención del blanqueo limita el tratamiento de los datos únicamente a los fines de prevención del blanqueo y exige medidas de seguridad reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales.

[5] En este aspecto, el considerando 19 del RGPD señala que los Estados miembros pueden limitar obligaciones y derechos del tratamiento de datos personales por organismos privados cuando sea necesario y proporcionado para proteger intereses específicos importantes, entre los cuales cita explícitamente la lucha contra el blanqueo de capitales.

[6] El Banco de España advierte en sus Memorias de Reclamaciones que no es contrario a las buenas prácticas que las entidades que no hayan identificado debidamente a personas físicas o jurídicas se abstengan de mantener relaciones de negocio con ellas o que adopten medidas restrictivas en las cuentas de tales clientes.

Compartir

Compartir

Newsletter

Mantente al día de nuestras novedades

Suscríbete
©2024 Estudio Jurídico Gabeiras y Asociados S.L.