El pasado 28 de julio la Agencia de Protección de Datos publicó una resolución sancionando a una entidad bancaria por no aplicar de manera adecuada las medidas reforzadas exigidas por la normativa de blanqueo de capitales.
La Agencia manifiesta que considera vulnerado, no sólo la falta de realización de un correcto análisis que permitiera asegurar los principios de protección de datos, sino que, aún solicitada por el titular del dato una alternativa para facilitar su información por un medio que no fuera el correo electrónico, la entidad bancaria no dio respuesta adecuada a esa inquietud del solicitante.
Uno de los puntos relevantes de dicha resolución, es que la Agencia considera que el correo electrónico no puede considerarse un medio apropiado para garantizar un nivel de seguridad adecuado al riesgo en el envío de documentación que contenga datos personales que se proporcionan en cumplimiento del Capítulo II de la LPBCFT y sobre los que requieren una especial protección, teniendo en cuenta la normativa de prevención de blanqueo de capitales, el carácter de los datos que se están tratando y el RGPD.
En el presente post presentamos un resumen de las cuestiones más importantes relacionadas con dicha resolución.
Sobre la aplicabilidad de la normativa de prevención de blanqueo de capitales
La resolución establece que el banco no había diseñado de manera adecuada el tratamiento relacionado con el blanqueo de capitales en su documento de ciclo de vida del dato. Es decir, no tenían prevista esta actividad en ningún registro. Eso implica que no se habían aplicado medidas técnicas y organizativas apropiadas para garantizar de forma efectiva los principios de protección de datos (entre otros, la confidencialidad) y cumplir los requisitos del RGPD y proteger los derechos de los interesados.
En definitiva, el banco no había previsto la actividad de tratamiento consistente en la recogida de datos financieros de los clientes para la prevención del blanqueo de capitales, ni había hecho análisis de riesgos o evaluaciones de impacto sobre dicho tratamiento.
Sobre qué se debe entender como datos financieros
La Agencia de Protección de Datos aclara que la información financiera no se refiere sólo a los datos de pago:
”A pesar de que los datos financieros no se consideran datos sensibles en virtud del Convenio 108 o del Reglamento general de protección de datos, su tratamiento requiere garantías especiales que garanticen la exactitud y la seguridad de los datos. En particular, los sistemas de pago electrónico necesitan incorporar medidas de protección de datos, es decir, protección de la privacidad o de los datos desde el diseño y por defecto”.
Y señala que, en la guía sobre gestión del riesgo y EIPD de la AEPD se diferencia tres tipos de datos económicos:
- (1) Datos relacionados con la situación económica. Por ejemplo, renta personal, Ingresos mensuales, Patrimonio (bienes muebles/inmuebles), Situación laboral). A estos datos se les asigna un “riesgo medio” en dicha guía.
- (2) Datos relacionados con el estado financiero. Por ejemplo, solvencia financiera, capacidad de endeudamiento, nivel de deuda (Préstamos personales, hipotecas), listas de solvencia, impagos, activos (fondos de inversión, rendimientos generados, acciones, cuentas a cobrar, rentas percibidas, etc.), pasivos (gastos en alimentación, vivienda, educación, salud, impuestos, pagos de créditos, tarjetas de crédito o gastos personales, etc.; o deudas u obligaciones)”. A estos datos también se les asigna un “riesgo medio” en la guía.
- (3) Datos de medios de pago, por ejemplo, tarjetas de crédito e información de acceso a servicios de monedas virtuales).. En el caso de estos datos sí se asigna un “riesgo alto” en la guía.
La Agencia de Protección de Datos considera que la documentación solicitada por la entidad bancaria sancionada para el cumplimiento de las obligaciones dispuestas en el capítulo II de la LPBCFT, contiene datos relacionados con la situación económica y el estado financiero de los clientes, de los que permiten determinar la situación financiera o la solvencia patrimonial de una persona, por lo que requieren de una mayor protección. En el caso concreto de la entidad sancionada la documentación que solicitaban era:
“(…) soporte documental relacionado con el origen de un fondo de su cuenta bancaria (P.ej., su nómina, contrato laboral, contrato de compraventa si se trata de una operación inmobiliaria, donación o herencia, la factura por los servicios prestados que le son satisfechos por el beneficiario de aquéllos, la resolución por la que se declare la percepción de una determinada ayuda, etc.)
Falta de seguridad en la recogida de los datos relacionados con el tratamiento
La entidad bancaria sancionada no facilitó a su cliente un medio apropiado para aportar la documentación pese a las advertencias del propio cliente en este sentido, por lo que el envío se hizo sin las medidas de seguridad adecuadas.
El correo electrónico no puede considerarse un medio apropiado para garantizar un nivel de seguridad adecuado al riesgo en el envío de documentación que contenga datos personales de los proporcionados en virtud del Capítulo II de la LPBCFT, de los que requieren una especial protección, teniendo en cuenta la normativa de prevención de blanqueo de capitales, el carácter de los datos que se están tratando y el RGPD.
