El Informe 0195/2013 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la interpretación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, en relación con la Ley 10/2010 de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo. El informe se centra en las obligaciones de seguridad que deben implantarse en los ficheros y tratamientos de datos creados bajo esta normativa.
El informe comienza aclarando que la Ley 10/2010 obliga a ciertos profesionales, como abogados y procuradores, a cumplir con sus disposiciones cuando participen en operaciones financieras o inmobiliarias. Estas obligaciones se dividen en dos bloques principales: los deberes de diligencia debida y las obligaciones de información. Los primeros implican la identificación de clientes y el seguimiento continuo de las relaciones comerciales, mientras que las segundas requieren la comunicación de operaciones sospechosas al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales.
El informe destaca que, aunque ambos tipos de tratamientos están vinculados a la prevención del blanqueo de capitales, tienen diferentes naturalezas y finalidades. Los tratamientos relacionados con la diligencia debida están más alineados con la actividad ordinaria del profesional, mientras que los del Capítulo III tienen una finalidad específica de prevención del blanqueo. Esta diferencia implica distintas consecuencias en la aplicación de los principios de protección de datos.
En cuanto a la protección de datos, el informe señala que los tratamientos del Capítulo II están sometidos a la Ley Orgánica 15/1999, mientras que los del Capítulo III tienen excepciones en cuanto al consentimiento del interesado y al ejercicio de derechos como el acceso, rectificación, cancelación y oposición. Esto se debe a la necesidad de no revelar al cliente que sus datos están siendo analizados o comunicados al Servicio Ejecutivo.
El informe también aborda la interpretación del artículo 32.5 de la Ley 10/2010, que establece la aplicación de medidas de seguridad de nivel alto a los ficheros creados para cumplir con la ley. Se argumenta que estas medidas son necesarias para garantizar la protección de datos en ficheros que, debido a las limitaciones impuestas por la ley, requieren un nivel de seguridad reforzado. Esto incluye la designación de un responsable de seguridad y la realización de auditorías específicas.
En conclusión, el informe determina que las referencias a los ficheros y tratamientos en el artículo 32 de la Ley 10/2010 se refieren específicamente a aquellos creados para cumplir con las obligaciones de información del Capítulo III. Esto implica que estos ficheros deben estar sujetos a medidas de seguridad de nivel alto para proteger los datos y garantizar el cumplimiento de la normativa de protección de datos.