El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre el anteproyecto de ley de prevención del blanqueo de capitales y la financiación del terrorismo aborda varios aspectos clave relacionados con la protección de datos personales. A continuación, se presenta un resumen de los puntos más relevantes:
### Objetivo del Anteproyecto
El anteproyecto tiene como objetivo principal transponer la 5ª Directiva de la UE en materia de prevención del blanqueo de capitales y la financiación del terrorismo, así como incorporar otras novedades aprobadas por la Directiva (UE) 2019/2177 y estándares internacionales del Grupo de Acción Financiera (GAFI). Además, incluye modificaciones y mejoras puntuales propuestas por la autoridad nacional española encargada de la aplicación de la legislación sectorial.
### Marco Normativo y Protección de Datos
El informe destaca que el tratamiento de datos personales en virtud de la Directiva se considera de interés público, conforme al artículo 6.1.e) del Reglamento General de Protección de Datos (RGPD). Esto implica que las obligaciones legales impuestas a los sujetos obligados, como responsables del tratamiento, justifican el tratamiento de datos sin necesidad de consentimiento explícito de los interesados.
### Obligaciones de Identificación y Conservación de Datos
El anteproyecto introduce nuevas obligaciones para los sujetos obligados, como la identificación y conservación de información sobre la titularidad real de sus clientes. La AEPD considera que estas obligaciones están amparadas por la prohibición de revelación del artículo 39 de la Directiva y el artículo 24 de la Ley de Prevención del Blanqueo de Capitales (LPBC).
### Evaluaciones de Impacto en la Protección de Datos
La AEPD subraya la necesidad de que los responsables de los tratamientos de datos realicen evaluaciones de impacto en la protección de datos (EIPD) cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. Esto es especialmente relevante para los tratamientos derivados del Capítulo II de la LPBC, que no están exentos de esta obligación.
### Sistemas Comunes de Información
El informe aborda la creación de sistemas comunes de información entre sujetos obligados de la misma categoría, destacando la importancia de garantizar la exactitud y actualización de los datos. La AEPD sugiere que estos sistemas deben cumplir con los principios del RGPD y que los responsables deben determinar sus responsabilidades de manera transparente.
### Acceso a Datos y Garantías
Se analiza el acceso a datos por parte de autoridades y organismos, como las Fuerzas y Cuerpos de Seguridad del Estado, el Centro Nacional de Inteligencia y la Administración Tributaria. La AEPD insiste en la necesidad de un control judicial o del Ministerio Fiscal previo al acceso a los datos, en línea con la jurisprudencia del Tribunal Constitucional y del Tribunal de Justicia de la Unión Europea.
### Registro de Titularidades Reales
El anteproyecto establece la creación de un Registro de Titularidades Reales, accesible a diversas autoridades y sujetos obligados. La AEPD considera necesario que las personas físicas cuyos datos se conserven en el registro sean informadas al respecto y que se garantice la exactitud y actualización de la información.
### Sanciones y Publicación de Datos
Se propone la posibilidad de no publicar los datos personales de las personas físicas sancionadas cuando la publicación sea desproporcionada o ponga en peligro la estabilidad de los mercados financieros o una investigación en curso. La AEPD sugiere modificar el anteproyecto para incluir esta posibilidad en los casos de sanciones muy graves.
### Conclusión
El informe de la AEPD subraya la importancia de que el anteproyecto cumpla con los requisitos del RGPD y la jurisprudencia relevante en materia de protección de datos. Se destacan las necesidades de realizar evaluaciones de impacto, garantizar la exactitud y actualización de los datos, y establecer controles adecuados para el acceso a la información. Estas medidas son esenciales para proteger los derechos fundamentales de las personas físicas y asegurar la conformidad con la normativa europea.