EL ÓRGANO DE CONTROL INTERNO Y EL REPRESENTANTE ANTE EL SEPBLAC (IV)

PLANIFICACIÓN LOGÍSTICA

Entendemos como PLANIFICACIÓN LOGÍSTICA, en la prevención del blanqueo de capitales y de la financiación del terrorismo, el proceso continuo de identificación y facilitación de los recursos humanos y tecnológicos necesarios para el cumplimiento de la diligencia debida, información y control interno, que han de ser puestos por la alta dirección a disposición de la organización del sujeto obligado.

La responsabilidad de la PLANIFICACIÓN LOGÍSTICA la tiene la alta dirección, que en el Modelo que estamos utilizando se concreta en el ÓRGANO DE CONTROL INTERNO (OCI titular), en el que estarán representados los jefes de área de negocio que estén afectados por el MANUAL DE PROCEDIMIENTOS AML.

La PLANIFICACIÓN ESTRATÉGICA, como ya vimos, tiene como objetivo la consecución de los siguientes resultados:

• Concreción y aprobación por escrito de las políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones pertinentes y comunicación,…, y la política expresa de admisión de clientes. Lo anterior se resume en el MANUAL AML (Artículo 26.1).
• Aprobación y mantenimiento actualizado de un manual adecuado de prevención del blanqueo de capitales y de la financiación del terrorismo, con información completa sobre las medidas de control interno del artículo 26. Lo anterior se resume en el MANUAL PBC (Artículo 26.3)
• Establecimiento de las políticas y procedimientos adecuados para asegurar altos estándares éticos en la contratación de empleados, directivos y agentes. (Artículo 30.2)
• Adopción de las medidas adecuadas para mantener la confidencialidad sobre la identidad de los empleados, directivos o agentes que hayan realizado una comunicación a los órganos de control interno. (Artículo 30.1)
• Designación y dotación de “autoritat” a la figura legal del REPRESENTANTE ANTE EL SEPBLAC, como responsable del cumplimiento de las obligaciones de información establecidas en la Ley 10/2010, para lo que tendrá acceso sin limitación alguna a cualquier información obrante en el sujeto obligado, y deberá ejercer cargo de administración o dirección de la sociedad. (Artículo 26.2.)
• Establecimiento de un ÓRGANO DE CONTROL INTERNO , responsable de la aplicación de las políticas y procedimientos especificados en el MANUAL DE PROCEDIMIENTOS AML. (Artículo 26.2)

Tanto en el MANUAL AML, como en el MANUAL PBC, se han de plasmar los criterios de riesgo utilizados por la entidad (sujeto obligado), para el control de sus clientes y operaciones.

El MANUAL AML ha de contener la concreción operativa, en cada área de negocio, de las políticas y procedimientos definidos por la alta dirección bajo sus criterios de riesgo. Según la Ley, el Manual deberá aprobarse por escrito y aplicarse.

El MANUAL PBC ha de contener una síntesis de los criterios de riesgo aprobados por la alta dirección, junto con la información completa sobre las medidas de control interno establecidas, en base al artículo 26.

• El MANUAL AML, es operativo.
• El MANUAL PBC, es de control.

REFLEXIÓN SOBRE LA FORMA DE PLASMACIÓN POR ESCRITO DE ESTOS DOS DOCUMENTOS:

Aunque en la Ley y para el MANUAL DE PROCEDIMIENTOS aparece la referencia “aprobarán por escrito”, no deberá entenderse “escrito en papel” puesto que estamos en una sociedad de la información y de la comunicación. Bajo mi criterio, los dos MANUALES podrían concretarse perfectamente en documentos escritos en soportes ópticos, magnéticos o electrónicos, siempre que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

Tanto el MANUAL DE PROCEDIMIENTOS (AML), como el MANUAL DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y DE LA FINANCIACIÓN DEL TERRORISMO (PBC), son documentos vivos desde el punto de vista operativo y por tanto, actualizables en el tiempo por cada sujeto obligado en base a sus propios criterios de riesgo. Y esos criterios pueden variar en cualquier momento porque aparezcan circunstancias que así lo aconsejen. Esa variación se irá concretando en NORMAS, que se irán aprobando progresivamente por la alta dirección, pasando de inmediato a su aplicación dentro de la empresa, por lo que la utilización de las nuevas tecnologías en la forma de presentación de los Manuales, agilizaría la actualización de los mismos.

Alguien podría pensar que un manual escrito en papel ofrece al Supervisor una mayor garantía de control, lo que no resulta cierto desde el momento en que la Ley no obliga a la remisión obligatoria del Manual de Prevención del Blanqueo, y por tanto el SEPBLAC puede no tener constancia del mismo si no lo requiere. (Artículo 26.3.). Se puede enviar de forma voluntaria, pero, bajo mi criterio, considero que ésta es una decisión poco operativa y además, constituye un corsé para la empresa más que una garantía de seguridad legal. La remisión voluntaria del documento condiciona de alguna manera al sujeto obligado, en el caso de que tuviera que modificar sus criterios de riesgo por alguna razón de peso, puesto que le obligaría a remitir al SEPBLAC un nuevo documento con cada actualización.

Los Manuales en soportes ópticos, magnéticos o electrónicos, sin cumplen los requisitos establecidos en el artículo 25 sobre conservación de documentos, y tienen integrados los correspondientes sellos electrónicos de tiempo, constituyen la mejor garantía probatoria tanto para el sujeto obligado como para el supervisor, puesto que especificarán el momento exacto en el que regían los criterios de riesgo objeto de inspección, y que muy bien pudieran ser distintos de los que estén rigiendo en el momento en el que la inspección se materialice.

El problema analizado no es baladí ante una Ley que obliga a la conservación de la documentación durante diez años, lo que no deja de ser una eternidad en la determinación de las políticas de riesgo. La solución a este problema está en la utilización de las nuevas tecnologías para la concreción documental y archivo de los Manuales, lo que permitiría, por ejemplo, que en el supuesto de una inspección en el año diez, la alta dirección existente en ese momento pudiera recuperar, sin ningún problema, los criterios que regían en el año uno, que quizás fueron establecidos por una alta dirección diferente, pudiendo de esta manera justificar ante el SEPBLAC los criterios inspeccionados, dentro del contexto histórico en el que fueron decididos como válidos.

Resumiendo: La Ley permite a cada sujeto obligado determinar la forma documental que considere más conveniente para los Manuales. Por tanto, éstos pueden estar escritos en papel, o pueden revestir cualquier forma electrónica que facilite el funcionamiento operativo de las empresas.

Éste es un ejemplo de la convergencia existente entre la PLANIFICACIÓN ESTRATÉGICA Y LOGÍSTICA, por cuanto las decisiones estratégicas condicionan los medios tecnológicos necesarios para llevarlas a la práctica.

La PLANIFICACIÓN TÁCTICA, como ya vimos, tiene como objetivo la consecución de los siguientes resultados:

• Aplicación interna de las Normas que la empresa considera adecuadas, (Políticas y Procedimientos), en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones pertinentes y comunicación (APLICACIÓN DEL MANUAL AML) (Art. 26.1).
• Control efectivo de la aplicación de las Políticas y Procedimientos aprobados. (APLICACIÓN DEL MANUAL PBC) (Art. 26.1.)

La aplicación efectiva del MANUAL DE PROCEDIMIENTOS AML sólo será posible si este documento se imbrica y funde dentro del MANUAL DE PROCEDIMIENTOS GENERAL DE LA EMPRESA, cuyo control está a cargo de la Auditoria Interna.

Esto es así porque el personal de la empresa, que trabaja en diferentes áreas de actividad, debería regirse por un solo MANUAL DE PROCEDIMIENTOS, que sería el GENERAL, que podría ser un documento estructurado por áreas o una aplicación informática en permanente renovación, que sea visible para cada área de negocio a través de las plataformas tecnológicas de decisión.

Dentro de la empresa, las políticas de “compliance” sólo tendrán éxito en la medida en que queden incorporadas al MANUAL DE PROCEDIMIENTOS GENERAL.

El MANUAL DE PROCEDIMIENTOS AML, tal como lo concibe la Ley 10/2010, sería un documento de uso interno para la alta dirección, para el OCI y para el Departamento de PBC. Realmente no ha de ser un manual que esté omnipresente en la actividad diaria, puesto que sería inmanejable para los trabajadores ; es, por tanto, un documento de cumplimiento, que una vez aprobado servirá de guía para que el OCI introduzca las modificaciones necesarias en el MANUAL DE PROCEDIMIENTOS GENERAL DE LA EMPRESA, con el fin de que la maquinaria de producción y comercialización genere la exigida prevención e información AML.

EL OCI Y LA AUDITORÍA INTERNA

La Auditoria Interna es la que tiene a su cargo el control del cumplimiento del MANUAL DE PROCEDIMIENTOS GENERAL, del que el MANUAL AML forma parte.

La Ley 10/2010 no impide que el control del cumplimiento AML sea efectuado por Auditoria Interna. El último párrafo del apartado 2 del artículo 26, cuando dice “Los órganos de prevención del blanqueo de capitales y de la financiación del terrorismo operarán, en todo caso, con separación funcional del departamento o unidad de auditoria interna del sujeto obligado.”, sólo quiere indicar que el OCI y el Representante ante el SEPBLAC han de estar funcionalmente separados de la Auditoria Interna, lo que no quiere decir descoordinados de la misma.

Bajo mi criterio, en la empresa sólo puede haber una Auditoria Interna, tanto económica como de cumplimiento, por lo que los departamentos de “compliance”, en su objetivo de control efectivo del cumplimiento, han de limitarse a colaborar con aquella y apoyarla en base a su especialización. De esta colaboración mutua surgirán los datos necesarios para valorar el grado de cumplimiento existente, y la toma de medidas para solucionar los problemas detectados.

FUNCIONES DEL OCI SUSTITUTO

Las funciones del OCI sustituto, también denominado en algunas empresas como Comité de PBC, y que actúa bajo la coordinación del Representante ante el SEPBLAC, son las siguientes:

1. Adaptación de todos los procedimientos internos de la empresa a los criterios establecidos en el MANUAL DE PROCEDIMIENTOS AML.
2. Revisión y puesta al día del MANUAL DE PROCEDIMIENTOS AML.
3. Identificación de las áreas y departamentos en los que tiene que cumplirse el MANUAL AML, abriendo las vías de información necesarias para medir el grado de cumplimiento.
4. Determinación del equipo humano y tecnológico necesario para el cumplimiento de las políticas y procedimientos definidos en la planificación estratégica, tanto en las áreas de actividad como en el Departamento de prevención del blanqueo de capitales.
5. Colaboración con Auditoria Interna, respetando ambas partes su autonomía funcional, para la identificación de los fallos AML existentes en los departamentos y en las personas que trabajan en los mismos, con el fin de que sean solventados.
6. Creación de los canales internos de comunicación, necesarios para alimentar las plataformas tecnológicas de información, análisis y comunicación del Departamento de prevención del blanqueo de capitales.
7. Reporte al OCI titular de la información de su interés, a través de Representante ante el SEPBLAC.
8. Toma de decisiones sobre la abstención o no en determinadas operaciones que se pongan en su consideración, o sobre la posibilidad o no de operar con determinados clientes de alto riesgo (Vg.: las PRPs (PEPs); asesoramiento al Representante ante el SEPBLAC sobre el envío de las comunicaciones por indicio (COS: comunicación de operativas sospechosas) y sobre el excepcionamiento en la comunicación sistemática. (DMO: declaración mensual de operaciones).
9. Aprobación de los planes de formación.

Es cierto que en la práctica, un número excesivo de Miembros del OCI delegado o Comité PBC dificulta su operatividad, pero para evitar ese problema puede establecerse un doble funcionamiento: Reuniones extraordinarias con la participación de la totalidad de sus Miembros, y reuniones ordinarias con la participación de un número reducido de los mismos, permitiendo en estas últimas, la asistencia de aquellos otros Miembros no ordinarios que quieran participar cuando el Orden del Día les afecte o sea de su interés.

La existencia de un OCI amplio, aunque en su funcionamiento ordinario tenga que actuar de forma reducida, agilizaría su operatividad dentro de la empresa, puesto que cualquier problema que afectase a un área concreta, tendría un interlocutor natural directo para afrontarlo y solucionarlo.

LA PLANIFICACIÓN LOGÍSTICA TIENE COMO OBJETIVO LA CONSECUCIÓN DE LOS SIGUIENTES RESULTADOS:

EN LAS ÁREAS Y DEPARTAMENTOS AFECTADOS POR EL MANUAL AML

• Previsión del personal de apoyo necesario en las distintas áreas y departamentos para el cumplimiento del MANUAL AML.
• Previsión de los medios materiales y técnicos necesarios para el cumplimiento del MANUAL AML, en cada área de negocio o departamento afectados.
• Solicitud justificada al OCI titular, de los recursos humanos y tecnológicos necesarios.

EN LA UNIDAD PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN (DEPARTAMENTO PBC):

• Previsión del personal necesario para el cumplimiento de las obligaciones de información establecidas en el capítulo III, así como para el tratamiento y análisis de la misma.
• Previsión de los medios materiales y técnicos necesarios para que el Departamento de prevención del blanqueo pueda cumplir con sus obligaciones.
• Solicitud justificada al OCI titular, de los recursos humanos y tecnológicos necesarios.

EN EL ÓRGANO DE CONTROL INTERNO:

• Estructuración del OCI para que sea operativo: división en dos grupos, uno de asistencia ordinaria y otro de asistencia extraordinaria.
• Establecimiento de un sistema de comunicación directa entre todos los Miembros del OCI, y de éstos con el Departamento PBC.
• Establecimiento del sistema de comunicación directa entre el Director del Departamento PBC (Representante ante el SEPBLAC) y el OCI titular o político y la Auditoria Interna.
• Previsión de los medios materiales y técnicos necesarios para que el OCI sustituto-Comité PBC pueda cumplir con sus obligaciones de aplicación del MANUAL AML y controlar su cumplimiento según lo establecido en el MANUAL PBC.
• Solicitud justificada al OCI titular, de los recursos humanos y tecnológicos necesarios.

La empresa es un sistema organizado de producción y comercialización de bienes y servicios, que a lo largo de los siglos, tanto en el régimen capitalista como socialista, ha ido siendo domesticado mediante reglas de obligado cumplimiento de diversa índole: económicas, contables, competenciales, contractuales, laborales, de calidad, de seguridad, protectoras de datos personales, o de prevención del blanqueo de capitales y de la financiación del terrorismo, entre otras.

Cada fase histórica de sofisticación de las empresas ha exigido nuevas reglas para asegurar su funcionamiento equilibrado dentro de la economía global, o para tapar los huecos que se han considerado social o económicamente peligrosos.

Y las reglas, una vez probadas y matizadas por el uso, han ido pasando poco a poco a formar parte de la esencia de la actividad empresarial ordinaria.

Hoy nadie discute determinas reglas económicas, contables, laborales o de seguridad, y cada vez menos, las derivadas de reglamentaciones aún cercanas en el tiempo, como sucede con la relativa a la protección de datos de carácter personal. En este momento, las empresas han de asumir las reglas antiblanqueo tratando de perfeccionarlas a través de su uso real, como así está sucediendo con todas las anteriores, que, como vemos en la práctica diaria, siguen en profundo cambio y adaptación durante cada momento histórico.

Como ha sucedido siempre, las normas que se imponen condicionan el funcionamiento de las empresas y generan gastos que han de ser convertidos rápidamente en costes cuando estas reglas pasan al funcionamiento ordinario del sistema productivo y comercial. El siguiente paso inteligente consiste en buscar y explotar rápidamente, su posible rentabilización económica y/o reputacional.

En la prevención del blanqueo de capitales y de la financiación del terrorismo, uno de los capítulos de gasto más importantes, y que cuanto antes tiene que ser rentabilizado, es el referido a la PLANIFICACIÓN LOGÍSTICA.

LA NUEVA LEY 10/2010, EN EL CAPÍTULO DE LA PLANIFICACIÓN LOGÍSTICA, OBLIGA A LO SIGUIENTE:

EN RELACIÓN A LA DILIGENCIA DEBIDA

LA IDENTIFICACIÓN FORMAL de los clientes mediante documentos fehacientes, con carácter previo al establecimiento de la relación de negocio o a la ejecución de cualesquiera operaciones. (Ver artículo 3)

La exigencia legal de la identificación formal constituye la piedra angular sobre la que descansa toda la legislación de prevención del blanqueo de capitales, y para la que no hay ninguna excepción, aún cuando se trate de operaciones de poco riesgo para las que se exija diligencia simplificada.

Por otra parte, la identificación formal constituye también la piedra angular sobre la que ha de construirse el análisis de riesgos y la prevención del fraude.

Cualquier desarrollo tecnológico que tengamos que hacer para cumplir la Ley 10/2010, tendrá repercusiones positivas directas en el análisis de riesgos y en la prevención del fraude y, por tanto, en la cuenta de resultados de la empresa.

La identificación formal mediante documentos fehacientes implica la tecnificación de la identificación a través de estas dos vías:

1. Dotación de plataformas tecnológicas para la recogida de la firma electrónica.
2. Dotación de la tecnología necesaria para evitar dar como bueno un documento fehaciente que haya sido falsificado. Hay que evitar la aceptación de documentos oficiales de identificación que hayan sido falsificados o manipulados.

Por exigencia legal, queda bajo la responsabilidad de las empresas la identificación formal de sus clientes, lo que significa un reto organizativo y tecnológico, que resultará especialmente complicado en algunos sectores de actividad que funcionan sin contacto directo con los clientes, vg.: crédito al consumo, o banca “on line”.

COMENTARIOS SOBRE LA IDENTIFICACIÓN FORMAL EN RELACIÓN CON LAS RELACIONES DE NEGOCIO Y OPERACIONES NO PRESENCIALES

El Legislador, consciente de que la identificación formal genera trastornos en el funcionamiento de determinados sectores económicos, autoriza en su artículo 12 las relaciones de negocio y las operaciones no presenciales, exigiendo para ellas medidas reforzadas de diligencia debida.

Para poder operar de forma no presencial, se han de dar determinadas circunstancias aún no definidas hasta la publicación del nuevo Reglamento.

Con todo hay dos que ya se definen legalmente:

La primera, (acreditación mediante firma electrónica), a mi juicio sobra por su obviedad.

La segunda, (que el primer ingreso proceda de cuenta con el mismo nombre abierta en otra entidad domiciliada en España, en la UE o en países terceros o equivalentes) resulta discutible bajo los criterios estrictos de la prevención del blanqueo, porque pueden existir transferencias desde cuentas que también hayan sido abiertas sin identificación fehaciente, y resulta posible la utilización de cuenta legales para realizar transferencias ilegales mediante la falsificación de la identidad o el uso indebido de claves electrónicas.

Las medidas reforzadas de diligencia debida, que la Ley exige para las relaciones de negocio y operaciones no presenciales, son muy duras para los sujetos obligados que deban cumplirlas:

1. En el plazo de un mes desde el establecimiento de la relación de negocio, las entidades deben obtener de los clientes una copia de los documentos necesarios para practicar la diligencia debida. Bajo mi criterio, esta medida lleva a estas entidades al mismo punto de partida que tenían las que hicieron la identificación fehaciente presencial un mes antes, toda vez que la obtención de esa copia ha de hacerse sobre documentos que no estén falsificados o manipulados. ¿Cómo efectuarán ahora la comprobación que no pudieron hacer en el primer momento?
2. Han de proceder a la identificación presencial cuando aprecien discrepancias entre los datos facilitados por el cliente y otra información accesible o en poder del sujeto obligado, lo que, además de de no ser una medida comercial, puede resultar una medida cara. Esta medida obligará a las entidades a tener herramientas de verificación de la identidad desde el inicio, y a complementarlas de forma indirecta a través de ficheros comunes antifraude. Sin herramientas de verificación no presencial de la identidad, la identificación formal resultará imposible y obligará a los clientes a visitar sus oficinas, en los lugares en los que hubiera una delegación, o a utilizar, por ejemplo, a determinados notarios que quisieran prestar este servicio a los sujetos obligados, con el consiguiente coste.
3. Han de adoptar medidas adicionales de diligencia debida si en algún momento se apreciaran riesgos superiores al riesgo promedio, lo que puede suceder con mucha frecuencia, puesto que la contratación no presencial con identidad falsa es uno de los medios más utilizados por la delincuencia económica y por el terrorismo para penetrar en el sistema financiero. Estas empresas, por tanto, han de potenciar tecnológicamente sus departamentos de análisis de riesgos, prevención del fraude y prevención del blanqueo, para justificar que están adoptando medidas adicionales de diligencia debida para apreciar riesgos superiores al promedio.
4. Han de establecer políticas y procedimientos para afrontar los riesgos específicos asociados a las relaciones de negocio y operaciones no presenciales. Esta medida les obliga a estar en la primera línea tecnológica de la prevención de la suplantación de la identidad, que es el principal riesgo constatado en las operaciones no presenciales.

SOLUCIÓN TECNOLÓGICA AL PROBLEMA DE LA IDENTIFICACIÓN FORMAL

En la parte que toca a la identificación formal, estas empresas han de potenciar el interés de sus clientes por la firma electrónica y al mismo tiempo, optar por soluciones tecnológicas que les permitan identificar de forma fehaciente desde el momento de la contratación no presencial. Estas soluciones deben comprobar que los documentos oficiales de identificación no estén manipulados o falsificados, y ofrecer una justificación documental sobre la verificación efectuada en caso de inspección.

El resto de los sujetos obligados que identifiquen de forma presencial, deberán tener personal especializado en la detección de la falsificación de los documentos de identificación o poseer también las herramientas tecnológicas adecuadas para esta finalidad.

La identidad es la llave para poder penetrar en el sistema financiero, y la identificación su cerradura, que queda bajo la responsabilidad de los sujetos obligados, tanto para la prevención AML, como para la prevención del fraude.

Nuestra Asociación, por representar a entidades que trabajan a través de intermediarios, ha sido muy sensible al problema de la identificación formal de los clientes y es por ello por lo que ha puesto en funcionamiento, dentro de Proyecto SISO, una herramienta tecnológica que sirve para afrontar este problema: Esta herramienta se denominan ID-CONFIRMA y se comercializa a través de la empresa SOLUCIONES CONFIRMA.

LAS RESTANTES MEDIDAS DE DILIGENCIA DEBIDA

• Identificación del titular real (ver artículo 4).
• Adopción de medidas adecuadas a fin de comprobar la identificación del titular real, con carácter previo al establecimiento de relaciones de negocio o a la ejecución de cualesquiera operaciones.
• Búsqueda de información para determinar si los clientes actúan por cuenta propia o de terceros, y para conocer la identidad de las personas por cuenta de las cuales actúan.
• Adopción de medidas adecuadas para determinar la estructura de propiedad o de control de las personas jurídicas.
• Adopción de medidas dirigidas a comprobar razonablemente la veracidad de la información aportada por los clientes, sobre el propósito e índole de la relación de negocio. Para ello deberán establecer y aplicar procedimientos de verificación de las actividades declaradas por los clientes. ( ver artículo 5)
• Aplicación de medidas de seguimiento continuo a la relación de negocio, a fin de garantizar que coincidan con el conocimiento que se tenga del cliente y de su perfil empresarial y de riesgo, incluido el origen de los fondos, así como garantizar que los documentos, datos e informaciones estén actualizados. (ver artículo 6)

Tanto para solucionar el problema de la identificación formal, como para el resto de las medidas de DILIGENCIA DEBIDA, las entidades deben ser conscientes de que resulta necesario establecer:

NUEVAS POLÍTICAS Y PROCEDIMIENTOS

La identificación formal, la identificación del titular real, la averiguación del propósito e índole de la relación de negocios y su seguimiento continuo, que constituyen las obligaciones de diligencia debida, son también, en el fondo, obligaciones para el análisis de riesgos y para la prevención del fraude.

Gran parte de la tecnología necesaria para el cumplimiento de la DILIGENCIA DEBIDA, así como un gran número de los profesionales que han de utilizarla, no trabajan directamente para los órganos de prevención AML, sino para las áreas de producción y comercialización.

La Ley 10/2010, con sus duras exigencias, va a obligar a las empresas a tratar de rentabilizar rápidamente la DILIGENCIA DEBIDA, poniéndola en el frontispicio del ANÁLISIS DE RIESGOS y de la PREVENCIÓN DEL FRAUDE, puesto que para los tres objetivos será necesaria la misma tecnología.

Pero sobre todo, las entidades han de concienciarse de que han de poner en funcionamiento NUEVAS POLÍTICAS Y PROCEDIMIENTOS que les permitan generar inteligencia y compartir información.

La entrada en vigor de la nueva Ley de prevención del blanqueo de capitales y de la financiación del terrorismo ha coincidido con uno de los puntos álgidos de la crisis económica actual, que ha provocado una profunda ralentización del sistema financiero y del comercio. Hagamos de la crisis una oportunidad, creando una potente estructura para el análisis de riesgos, con lo que rentabilizaremos la DILIGENCIA DEBIDA que nos impone la nueva Ley. Esta decisión no sólo servirá para el cumplimiento de la Ley 10/2010, sino también para la adaptación de nuestros sistemas a Basilea III, que establece una nueva ratio de capital, Tier 1, mínima para los bancos de todo el mundo. Este indicador básico sobre la seguridad bancaria compara el capital de un banco más los beneficios retenidos, con los activos ajustados por su grado de riesgo.

Controlemos pues el riesgo de nuestros activos a través de una buena información, que puede comenzar a obtenerse a través del cumplimiento de la DILIGENCIA DEBIDA, potenciando para ello los departamentos de análisis de riesgos y de prevención del fraude, con el fin de que sean capaces de generar una buena información AML que podamos hacer llegar al Departamento PBC, porque así, el trabajo de cumplimiento de la Ley 10/2010 lo estaremos rentabilizando internamente asegurando nuestros propios riesgos.

Para ello se deberían establecer algunas normas y procedimientos básicos:

1. La identificación formal de los clientes se ha de hacer utilizando los criterios que establece la Ley 10/2010.
2. La tecnología necesaria para la identificación formal de los clientes, debería permitir obtener y archivar, en el mismo momento, su consentimiento, para la cesión centralizada de la información positiva y negativa de los mismos.
3. Se ha de hacer una división absoluta entre, la información obtenida sin consentimiento que estará bajo el control del Departamento de PBC y la obtenida con consentimiento, que estará a disposición de los Departamentos de Análisis de Riesgos, Prevención del Fraude y Recuperaciones.
4. La DILIGENCIA DEBIDA pasará a formar parte del funcionamiento ordinario productivo y comercial de la empresa, en lo referido a la identificación formal, identificación del titular real, averiguación del propósito e índole de la relación de negocios y seguimiento continuo de la relación de negocios, para lo que se crearán o se contratarán “outsourcing”, las plataformas tecnológicas de información y alerta necesarias.
5. Potenciación de los repositorios comunes de prevención del fraude basados en el consentimiento y de los ficheros de información positiva basados también en el consentimiento, que podrán también ser consultados por las unidades técnicas para el tratamiento y análisis de la información integradas en los Departamentos de PBC, en base al Artículo 33.3.

LA APLICACIÓN POR TERCEROS DE LAS MEDIDAS DE DILIGENCIA DEBIDA

El Artículo 8, en sus apartados 1 y 2, que hablan de la posibilidad de recurrir para la aplicación de la DILIGENCIA DEBIDA a otros sujetos obligados, nacionales, de la U.E. o de países terceros equivalentes, ofrece poco juego práctico desde el momento que se mantiene la plena responsabilidad respecto de la relación de negocios u operación, aún cuando el incumplimiento sea imputable a ese tercero, y demás, exige la previa conclusión de un acuerdo escrito entre ambas partes, en el que se formalicen las respectivas obligaciones.

Sin embargo, el apartado 4 de ese mismo artículo ofrece un mayor interés operativo, al permitir la externalización de una buena parte de la DILIGENCIA DEBIDA mediante contratos “outsourcing”, que aunque mantienen la plena responsabilidad del sujeto obligado, permiten reducir costes de estructura y licencia, al hacer intervenir a empresas especializadas en la búsqueda y análisis de la información, evitando así crear departamentos nuevos y, posibilitando la utilización de plataformas tecnológicas complejas mediante el pago por uso.

LAS LISTAS INTERNACIONALES DE SANCIONES FINANCIERAS Y LAS LISTAS DE PERSONAS CON RESPONSABILIDAD PÚBLICA

El Artículo 42 de la Ley 10/2010, que está dedicado a las contramedidas financieras internacionales, hace mención directa a los Reglamentos Comunitarios y su capacidad de prohibir, restringir o condicionar las transacciones económicas con Estados, entidades o personas. Esta capacidad de prohibición, restricción y condicionamiento se amplía al Consejo de Ministros, a propuesta del Ministro de Economía y Hacienda, con Estados, entidades o personas respecto de los que una organización, institución o grupo internacional decida o recomiende la adopción de contramedidas financieras, por lo que las listas de sanciones y las contramedidas financieras son cambiantes en el tiempo.

Dentro de las sanciones establecidas en la Ley 10/2010, están las derivadas del incumplimiento doloso de la obligación de congelar o bloquear los fondos, activos financieros o recursos económicos, y la prohibición de poner fondos, activos financieros o recursos económicos, (de, o a), las personas físicas o jurídicas, entidades o grupos designados, en los términos previstos por los Reglamentos comunitarios que establezcan medidas restrictivas específicas. (Ver artículo 51.2)

Estos Reglamentos concretamente son los siguientes:

• Reglamento 2580/2001, que permite la creación de listas de personas físicas y de organizaciones. Estas listas aparecen como ANEXOS al propio Reglamento, y van siendo modificadas en el tiempo, por lo que sólo son válidas las últimas versiones.
• Reglamento 881/2002 (anteriormente 467/2001), que permite a la Comisión europea cumplir con las orientaciones del Comité de Sanciones del Consejo de Seguridad de Naciones Unidas contra la red Al-Qaida y sus ramificaciones

Estos listados son publicados por la U.E. de forma periódica y gratuita, al igual que sucede con listados similares de otros países de fuera de la Unión, y que los sujetos obligados han de tener también presentes si operan directa o indirectamente con los mismos.

La revisión de estos listados durante los procesos automatizados de DELIGENCIA DEBIDA, exigen plataformas tecnológicas específicamente diseñadas para este trabajo, que eviten que las listas sean inmanejables, o la contratación de listados ya comercializados por algunas empresas de la información, que suelen ser multinacionales. Existe también la posibilidad de contratar esos servicios, en régimen de pago por uso, con empresas españolas especializadas en AML.

Con respecto a los ficheros de PERSONAS CON RESPONSABILIDAD PÚBLICA (PRP o PEP en terminología anglosajona), el Artículo 15 deja bajo la responsabilidad de los sujetos obligados su posible creación, recabando para ello la información pública y privada disponible y sin necesidad de consentimiento, o permite contratar los ficheros creados por terceros con la exclusiva finalidad de colaborar con los sujetos obligados en el cumplimiento de las medidas reforzadas de diligencia debida. La Ley es clara y por tanto no existe ninguna posibilidad de que la Administración colabore en el futuro con los sujetos obligados creando para ellos listados gratuitos.

Para poder cumplir, por tanto con el Artículo 14 de la Ley, los sujetos obligados deberán crear los ficheros PRP ellos mismos, o contratarlos a las multinacionales que ya los comercializan, o utilizar los servicios de las empresas especializadas en AML, que los tengan comercializados en régimen de pago por uso.

A través de la plataforma ID-CONFIRMA, impulsada por la Asociación, los sujetos obligados pueden realizar, de forma simultanea e inmediata, la identificación formal y el filtro de las identidades a través de las listas internacionales estudiadas.

La provisión de acceso a las listas señaladas en este apartado, entraría también dentro de la PLANIFICACIÓN LOGÍSTICA que estamos analizando.

LA CORRESPONSALÍA BANCARIA TRANSFRONTERIZA

Las entidades de crédito están obligadas también a tener los instrumentos necesarios para identificar bancos pantalla, que son aquellas entidades de crédito o similares, que están constituidas en países en los que no tienen una presencia física que les permita ejercer una verdadera gestión y dirección, y que no sean filiales de un grupo financiero regulado. (Ver artículo 13)

Deberán tener también establecidos los mecanismos necesarios para evitar operar con aquellas entidades que permitan el uso de sus cuentas por bancos pantalla, y esta información les sea accesible por cualquier medio (Ver artículo 13.2)

Igualmente han de dotarse de sistemas de información suficientes para conocer a las entidades con las que quieran establecer relaciones de corresponsalía bancaria transfronteriza. (Ver artículo 13.1.)

La previsión de estos instrumentos y sistemas de información caen dentro de la PLANIFICACIÓN LOGÍSTICA.

EN RELACIÓN CON LAS OBLIGACIONES DE INFORMACIÓN

LA CONSERVACIÓN DE DOCUMENTOS

Otro apartado de la PLANIFICACIÓN LOGÍSTICA es el referido a la conservación de documentos exigida por el Artículo 25 de la Ley 10/2010.

Ha de hacerse por diez años la conservación de toda documentación en la que se formalice el cumplimiento de las obligaciones exigidas por la Ley, a saber:

• Obligaciones de Diligencia Debida
• Obligaciones de Información
• Obligaciones de Control Interno

Especialmente se han de conservar y tener a disposición de las autoridades, en tiempo y forma, los siguientes documentos:

1. Copia de los documentos exigibles en aplicación de las medidas de diligencia debida, desde la terminación de la relación de negocios o la ejecución de la operación.
2. Original o copia con fuerza probatoria, de los documentos o registros que acrediten adecuadamente las operaciones, los intervinientes en las mismas y las relaciones de negocio, desde la ejecución de la operación o la terminación de la relación de negocio.

Teniendo en cuenta que diez años es un período largísimo dentro de la empresa, en el que se produce una gran rotación del personal y de directivos, la nueva Ley 10/2010 va a obligar a las empresas que aún no lo hayan hecho, a revolucionar su sistema de ARCHIVO, mediante la creación o contratación “outsourcing” del sistema de ARCHIVO TIC (Archivo en formato avalado por las tecnologías de la información y la comunicación); es decir, en soportes ópticos, magnéticos y electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización, así como la adecuada gestión y disponibilidad de la documentación, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las autoridades.

Esta exigencia es ineludible a partir del 28 de abril de 2012, en que entrará en vigor la obligación de almacenar en soportes ópticos, magnéticos o electrónicos las copias de los documentos que sirvieron para la identificación formal. (Ver Disposición final séptima).

La PLANIFICACIÓN LOGÍSTICA que tiene que abordar el OCI, respecto a la conservación de documentos, podría ser la oportunidad esperada para desarrollar un proyecto global de ARCHIVO TIC, puesto que la documentación que hay que conservar para el cumplimiento de la Ley 10/2010, como hemos podido comprobar, es prácticamente la misma que se necesita para iniciar la propia actividad productiva y comercial.

Sería un buen momento para tratar de rentabilizar este esfuerzo, e ir migrando todo el archivo de la empresa a la tecnología TIC, efectuando progresivamente la conversión de los documentos a soportes ópticos, magnéticos o electrónicos, con las garantías exigidas por la Ley, e incorporando a los nuevos documentos el sello electrónico de tiempo.

Un moderno archivo de estas características permitiría realizar con suma facilidad la búsqueda y localización de cualquier documento, y se podría discriminar la utilización del archivo en base a autorizaciones y claves de acceso. Igualmente, este sistema de archivo podría soportar motores que permitieran interrelacionar la información archivada para convertirla en inteligencia, que sería usada para beneficio de la propia entidad y para la prevención del blanqueo de capitales y de la financiación del terrorismo.

En el mercado existe la tecnología necesaria para crear un buen sistema de ARCHIVO TIC. También existe la posibilidad de poder contratar de una forma mucho más económica un servicio externo de ARCHIVO TIC, a través de alguna empresa especializada.

La Asociación, para colaborar con sus entidades y con los restantes sujetos obligados que pudieran estar también interesados, ha añadido al SISTEMA ID-CONFIRMA, que como he indicado facilita la identificación formal mediante tecnología de seguridad, las siguientes ventajas operativas:

• Volcado automático de los datos de identificación, obtenidos de la lectura automatizada de los documentos, en los sistemas de contratación, eliminado con ello los errores de trascripción.
• Creación de un expediente electrónico, al que podría incorporarse de forma simultánea y en formato electrónico, no sólo las copias de los documentos de identificación, sino también el resto de documentación justificativa de la solvencia entregada por el cliente, a la que podría añadirse, si fuera de interés, la solicitud del consentimiento para el intercambio de información positiva y negativa.
• Filtro de las identidades a través de los listados de sanciones internacionales y de los ficheros de personas con responsabilidad pública.
• Sistema de archivo y recuperación, por diez años, de expedientes electrónicos, que contendrían la copia en soporte TIC de la documentación fehaciente aportada por los clientes para su identificación y el informe técnico de validación, así como de la documentación justificativa de la solvencia.
• Sistema de archivo y recuperación de los documentos de consentimiento, para una mejor gestión del riesgo, de la prevención del fraude y de las recuperaciones.
• Filtro de los expedientes contra cualquier repositorio interno de la empresa, y para los expedientes con consentimiento, filtro de los mismos a través de los ficheros de prevención del fraude y de información positiva existentes en el mercado.
• Filtro de las identidades a través del Repositorio SISO para la prevención del blanqueo de capitales y de la financiación del terrorismo, creado por la Asociación en base al Artículo 33, y de uso exclusivo para los Departamentos de PBC.

LAS COMUNICACIONES AL SEPBLAC

La Diligencia Debida, que como hemos visto constituye un trabajo en el que intervienen diversos departamentos dentro de la empresa, genera un flujo de información de interés AML que tiene que ser dirigida a través de las plataformas tecnológicas internas, o externas contratadas, hacia el sistema tecnológico de prevención AML que estará bajo la responsabilidad operativa del Departamento PBC, que es donde se generan las alertas de interés que obligarán a las unidades técnicas para el tratamiento y análisis de la información efectuar el examen especial, y posteriormente, si el resultado fuera positivo, a la comunicación por indicios al SEPBLAC (Informe COS). Igualmente todo el sistema de comunicación interna hará llegar también al Departamento PBC la información necesaria para confeccionar la comunicación sistemática para el SEPBLAC (Informe DMO).

Las Comunicaciones al SEPBLAC constituyen un punto crítico para los sujetos obligados en el cumplimiento AML. Así lo ha entendido la Administración y por ello, aún con la crisis actual, ha puesto en marcha un concurso público en el que están participando las principales empresas tecnológicas de España, para diseñar y mantener un nuevo sistema de intercambio de información entre el Banco de España, los sujetos obligados y otros Organismos que deben remitir información contra el blanqueo.

La PLANIFICACIÓN LOGÍSTICA tiene pues, entre sus obligaciones, el diseño de la red interna por la que fluya la información AML de toda la empresa hacia el Departamento PBC, facilitando también a este Departamento el mejor sistema de comunicación posible con el SEPBLAC.

Mientras no se modernice el sistema de comunicación con el SEPBLAC, a través del proyecto que quiere poner en funcionamiento el Banco de España, tanto para la comunicación de operativas sospechosas por indicios, como para la comunicación sistemática de operaciones, las entidades han de utilizar, para el COS, la aplicación informática CTL., versión 1.1., diseñada por el propio SEPBLAC, o el formulario F19-1, y para el DMO, la herramienta también diseñada por el SEPBLAC, DMO 2.0.

Las plataformas tecnológicas AML existentes en el mercado, que facilitan al Departamento PBC la detección e investigación de operaciones de blanqueo de capitales, y el control y seguimiento de la diligencia debida de los clientes, suelen llevar integradas un generador DMO y un módulo de comunicaciones, evitando así el inconveniente de tener que adaptar internamente las herramientas del SEPBLAC.

EL DEPARTAMENTO PBC Y LAS UNIDADES TÉCNICAS PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN

La Ley 10/2010 especifica claramente en su Artículo 26, que no todos los sujetos obligados van a tener la obligación de crear la estructura operativa completa AML, a saber:

• EL ORGANO DE CONTROL INTERNO (OCI)
• El REPRESENTANTE ANTE EL SEPBLAC
• LAS UNIDADES TÉCNICAS PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN

El Representante ante el SEPBLAC es la parte de esta estructura que será obligatoria para todos los sujetos obligados. Cuando se trate de empresarios o profesionales individuales, este cargo lo tendrá el titular de la actividad. En los restantes casos, esta figura deberá ser nombrada oficialmente por la empresa, entre los profesionales que ejerzan cargos de administración o dirección, lo que no resulta especialmente aclarativo, puesto que se puede interpretar de la forma más amplia posible.

Creo que el Legislador ha optado por dejar libertad a las empresas para que decidan la persona que consideren más conveniente para Representante ante el SEPBLAC, al margen de su puesto previo dentro del organigrama, puesto que en algunas instituciones complejas ya estaba constituido este cargo con verdaderos especialistas en la materia, pero que no tenían un puesto demasiado relevante en los organigramas de sus empresas.

La nueva Ley, a mi juicio, permite que estos profesionales puedan seguir en sus cargos sin que previamente se tengan que modificar los organigramas de dirección. Pero desde el momento en que se formaliza la propuesta de nombramiento, los nombrados deberán ser considerados internamente como directivos, por la autoridad con la que tienen que ser revestidos para poder tener acceso, sin limitación alguna, a cualquier información obrante en los sujetos obligados, para el cumplimiento de las obligaciones de información.

De esta manera, los Representantes ante el SEPBLAC pasan a ser, si no lo eran ya, unos directivos más dentro de los organigramas de las empresas, lo que por otra parte resulta lógico por la responsabilidad que asumen de formar parte, de forma natural, de los OCI titulares y coordinar los OCI delegados, además de ser los Directores de los Departamentos de Prevención del Blanqueo de Capitales.

En principio, todos los sujetos obligados que no sean empresarios o profesionales individuales, deberán establecer ORGANOS DE CONTROL INTERNO, puesto que el excepcionamiento a esta obligación se hará por vía reglamentaria para determinadas categorías de sujetos obligados, lo que no sucederá en ningún caso para la totalidad de las entidades financieras reguladas por el Banco de España.

Con respecto a las UNIDADES TÉCNICAS PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN, la situación es totalmente la contraria, porque hasta que no se publique el nuevo Reglamento, no se sabrán las categorías de sujetos obligados a las que se les exigirá la constitución de estas UNIDADES TÉCNICAS.

El panorama por tanto, hasta la entrada en vigor del nuevo Reglamento es el siguiente:

1. Todos los sujetos obligados han de nombrar un REPRESENTANTE ANTE EL SEBLAC.
2. Todos los sujetos obligados han de constituir, de facto, un OCI responsable de la aplicación de las políticas y procedimientos. Este organismo podría ser la propia dirección, que también se encaría de la PLANIFICACIÓN TÁCTICA.
3. La alta dirección debe crear el MANUAL AML y el MANUAL PBC, o en su caso, delegar en el OCI, las planificaciones ESTRATÉGICA Y LOGÍSTICA.
4. El REPRESENTANTE ANTE EL SEPBLAC, dependiendo de la complejidad de la empresa, puede tener ya constituido un DEPARTAMENTO PBC, pero no resulta obligado en este momento, que dentro del mismo estén constituidas y funcionando UNIDADES TÉCNICAS PARA AL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN, hasta tanto se especifique esta obligación en el nuevo Reglamento.

Existe una sutil diferencia entre lo que debemos entender como DEPARTAMENTOS PBC y UNIDADES TÉCNICAS PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN, que trataré de explicar seguidamente.

Cualquier entidad con una cierta complejidad AML, va a necesitar herramientas tecnológicas para poder cumplir con las obligaciones de información, como son las plataformas de comunicación o de alerta, por lo que necesariamente tendrá que constituir un Departamento PBC con los recursos humanos y tecnológicos necesarios. Ese equipo humano se irá especializando en esta materia, si no lo está ya, y hará el trabajo de análisis y tratamiento de la información que le vaya llegando. Es posible que en algunos casos, la empresa decida no complicar este Departamento y contrate “outsourcing” esta especialización, y hasta contrate la utilización de plataformas tecnológicas de pago por uso y utilización independiente, con lo que se ahorrará importantes costes de inversión.

Hay que tener en cuenta que la implantación de PLATAFORMAS AML, que sean potentes, requieren licencias que no suelen ser baratas, por lo que puede resultar interesante la utilización de soluciones de uso compartido y funcionamiento independiente, de forma que entidades pequeñas puedan disfrutar de la misma tecnología sofisticada que las grandes, pero a un precio menor.

El PROYECTO SISO impulsado por la Asociación va en esa dirección, de facilitar a los sujetos obligados que lo deseen, asociados o no, las mejores soluciones tecnológicas AML existentes en el mercado, para que puedan ser utilizadas por los mismos de forma independiente y mediante pago por uso.

Para poner en marcha estos recursos sólo se necesita un número crítico mínimo de usuarios, de un mismo sector de actividad, que permitan hacer rentable la predefinición de patrones para la actividad concreta que se trate, a través de un trabajo de homologación de los propios usuarios interesados, de la misma manera que lo tienen que hacer las entidades que quieran implantar soluciones personalizadas.

Junto a las soluciones tecnológicas indicadas para el cumplimiento de la DILIGENCIA DEBIDA, la Asociación promoverá en su momento, una vez detectado el interés de sus socios, y obtenidas las autorizaciones administrativas necesarias, la creación de una UNIDAD TÉCNICA PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN, compuesta por especialistas en investigación y dotada de la necesaria tecnología, que trabajará en régimen “outsourcing” para aquellas entidades que lo necesiten y requieran su apoyo.

Se desprende de todo lo anterior, que las UNIDADES TÉCNICAS PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN, son unidades especializadas en la investigación del blanqueo de capitales y en la financiación del terrorismo, que han de estar dotadas de numerosas herramientas de captación de información y análisis de la misma.

Solo determinados sujetos obligados que se identificarán en el nuevo Reglamento que está por llegar, tendrán la obligación de constituir este tipo de Unidades, que lógicamente formarán parte del Departamento PBC y estarán dirigidas por el REPRESENTANTE ANTE EL SEPBLAC.

Todos los recursos humanos y tecnológicos necesarios para el funcionamiento del Representante ante el SEPBLAC, o del Departamento PBC o de las unidades tecnológicas para el tratamiento y análisis de la información, han de ser objeto de la PLANIFICACIÓN LOGÍSTICA.

EL EXAMEN ESPECIAL

El Artículo 17 deja libertad a los sujetos obligados para que concreten el modo en que han de hacer el examen especial, aunque el modelo que decidan deberá quedar concretado dentro de sus medidas de control interno. Aún así, pone dos condiciones:

1. Tienen que elaborar y difundir entre sus directivos, empleados y agentes una relación de operaciones susceptibles de estar relacionadas con el blanqueo de capitales o la financiación del terrorismo, así como efectuar la periódica revisión de tal relación.
2. Tienen que utilizar aplicaciones informáticas apropiadas, teniendo en cuenta el tipo de operaciones, sector de negocio, ámbito geográfico y volumen de la información.

Será por tanto en la PLANIFICACIÓN ESTRATÉGICA de cada entidad, en donde se concrete el modo de efectuar el examen especial. Existen unas líneas maestras en el Artículo 18 que pueden servirnos de base para esa estructuración, analizando para ello los datos que se tienen que aportar al SEPBLAC en el caso de que resultara positivo dicho examen.

Existe la obligación de efectuar el EXAMEN ESPECIAL:

1. Cuando surja cualquier hecho u operación, con independencia de su cuantía, que, por su naturaleza, pueda estar relacionado con el blanqueo de capitales y la financiación del terrorismo.
2. Cuando surja cualquier operación o pauta de comportamiento, incluso la mera tentativa, que sea:
1. a. Compleja
2. b. Inusual
3. c. Sin un propósito económico o lícito aparente
4. d. Que presente indicios de simulación o fraude

El primer apartado tiene que ver con la obligación de las entidades de elaborar y difundir internamente los listados de operaciones susceptibles de estar relacionadas con el blanqueo de capitales y la financiación del terrorismo. A este respecto, la PLANIFICACIÓN LOGÍSTICA tiene que proveer a toda la entidad, con la ayuda del Departamento PBC, de estos listados, así como prever su periódica revisión.

Existen listados que han sido difundidos por el SEPBLAC que contienen modelos generalistas, que requieren una adaptación a las actividades económicas concretas para que sean válidos desde el punto de vista operativo.

Pero, a mi juicio, la Ley no se conforma con que los sujetos obligados se limiten, simplemente, a la adaptación interna de listados externos, aunque éstos sean los difundidos oficialmente, sino que quiere que las entidades profundicen en su confección a partir de su propia experiencia, y del conocimiento de lo que representa el blanqueo de capitales y la financiación del terrorismo.

Existe, por tanto, la obligación de la proactividad en esta materia. La iniciativa en esta investigación que es exigida legalmente, se vería facilitada, según he indicado en otros escritos, mediante la constitución de COMISIONES AML, como la que ha propiciado nuestra Asociación, que tuvieran funciones similares a la nuestra:

1. Análisis y adaptación interna de la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo.
2. Elaboración de propuestas e iniciativas que pudieran ser presentadas ante la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, ante el Servicio Ejecutivo de la Comisión, o ante la Agencia Española de Protección de Datos.
3. Potenciación de la operatividad entre los Representantes de las Áreas de Negocio integradas en los OCIs y en los Departamentos PBC.
4. Realización de estudios que definan en cada momento las operaciones susceptibles de estar relacionadas con el blanqueo de capitales o la financiación del terrorismo, teniendo en cuenta los diferentes Sectores de actividad.
5. Descripción de aquellos tipos de clientes que puedan presentar un riesgo de blanqueo o de financiación del terrorismo superior al riesgo promedio, para cada Sector de actividad.
6. Establecimiento de puntos comunes para la normalización de los procedimientos de prevención del blanqueo de capitales y de la financiación del terrorismo, por Sectores de actividad.
7. Propuestas para la creación de nuevas plataformas tecnológicas comunes, o mejora de las existentes.

Teniendo en cuenta el criterio de proactividad exigido legalmente, la alta dirección o el OCI en su caso, no solamente deberían dotar a las entidades y a los Departamentos de PBC de los recursos humanos y tecnológicos necesarios para poder realizar el examen especial, sino que también deberían apoyar el establecimiento de una buena coordinación operativa externa a través de sus Asociaciones, lo que repercutiría en un mejor cumplimiento interno de las obligaciones legales.

El segundo supuesto que obliga a hacer el examen especial, (vg.: toda operación o pauta de comportamiento que sea compleja, inusual, sin un propósito económico o lícito aparente, o que presente indicios de simulación o fraude), constituye un nuevo punto de encuentro entre los departamentos de análisis de riesgos, prevención del fraude y prevención del blanqueo, puesto que esta obligación legal coincide con el interés de la propia empresa.

EL DOBLE FILTRO DENTRO DEL EXAMEN ESPECIAL

Hay toda una serie de operaciones de riesgo, como las que señala el primer párrafo del Artículo 17, que requieren un doble filtro operativo.

El primer filtro es el que realizan los departamentos de análisis de riesgos y los de prevención del fraude sobre las OPERACIONES del Artículo 17, al mismo tiempo que controlan la identificación a través de la DILIGENCIA DEBIDA.

Para este primer filtro se utilizan las plataformas de análisis de riesgos, que estarán predefinidas para dar una alerta cuando surja una operación compleja, inusual, sin un propósito económico o lícito aparente, o que presente indicios de simulación o fraude.

Esta alerta obligará a crear un primer expediente de investigación en el departamento de análisis de riesgos.

Como el departamento de análisis de riesgos ha de seguir centrado en la actividad ordinaria de análisis de las operaciones mediante “scoring”, este expediente de investigación pasaría de forma automática al Departamento de Prevención del Fraude, que es un departamento en el que deberían trabajar especialistas en el análisis de riesgos, especialistas en seguridad y en informática, e investigadores en recuperaciones, y que en algunos casos se estructura a caballo entre el departamento de análisis de riesgos y el de recuperaciones, y en otros, forma parte del Departamento de Seguridad, que suele trabajar de forma coordinada con el Departamento de Seguridad Informática en los temas relativos a esta materia específica.

En el Departamento de Prevención del Fraude, incluirían en el expediente recibido toda la información interna y externa que pudiera ser recabada de distintas fuentes, procediendo a su análisis e investigación.

Es todos los casos, éste expediente de información ya enriquecido con la nueva información, pasaría al segundo filtro establecido en el Departamento PBC, a través de las vías de comunicación internas establecidas, en donde se procedería a filtrar la información a través de las Plataformas Tecnológicas AML, y a analizarla para comprobar si la operación pudiera estar relacionada o no con el blanqueo de capitales y/o la financiación del terrorismo, para lo que accederían a sus propias fuentes de información AML.

De alguna forma, ambos departamentos deberían estar coordinados durante esta doble investigación, intercambiando aquella información que legalmente sea intercambiable y pudiera servir para el cumplimiento de sus respectivas obligaciones. Los límites para el intercambio de información estarán determinados en las políticas internas de “compliance”.

Conviene no cometer el error de integrar el filtro AML dentro de la cadena de producción y comercialización, como si fuera un filtro más dentro del análisis de riesgos, puesto que ello podría ocasionar un grave problema reputacional a la empresa, además de ralentizar los procesos, con cuellos de botella no deseados.

El filtro AML ha de trabajar de forma independiente al filtro de análisis de riesgos y prevención del fraude, puesto que la investigación a realizar tiene objetivos diferentes.

Los resultados de este examen, junto con los datos que le sirvieron de base, constituyen el EXPEDIENTE AML, que deberá ser archivado por el Departamento PBC durante diez años.

El examen especial podría dar lugar a los siguientes resultados:

1. Existencia de indicios o certeza de que la operación analizada está relacionada con el blanqueo de capitales o la financiación del terrorismo, en cuyo caso se ha de hacer la COMUNICACIÓN POR INDICIO (COS) y proceder al archivo del expediente con copia de la comunicación efectuada.
2. No existencia de indicios o certeza, de que la operación analizada está relacionada con el blanqueo de capitales o la financiación del terrorismo, procediéndose al archivo del expediente.

Para que pueda funcionar todo este entramado humano y tecnológico, se requiere una buena PLANIFICACIÓN LOGISTICA.

LA COLABORACIÓN CON LA COMISIÓN Y CON SUS ÓRGANOS DE APOYO

El Artículo 21 obliga a facilitar, tanto a la Comisión como a sus Órganos de apoyo, y a las autoridades legalmente competentes, aquella documentación que les requieran para el ejercicio de sus competencias.

En el apartado 2 de ese mismo artículo, la Ley establece que dentro del marco del control interno, los sujetos obligados han de tener sistemas que les permitan responder, de forma completa y diligente, sobre si mantienen o han mantenido a lo largo de los diez años anteriores, relaciones de negocio con determinadas personas físicas o jurídicas, y sobre la naturaleza de dichas relaciones.

La localización de la documentación requerida en plazo, y las respuestas completas y diligentes sobre posibles relaciones de negocio, exigen algún sistema de archivo tic que facilite el trabajo al Departamento Jurídico o al Departamento PBC, tal como vimos al analizar el tema de la conservación de los documentos como objeto de la PLANIFICACIÓN LOGÍSTICA.

EN RELACIÓN CON EL CONTROL INTERNO

Tanto la aplicación de las medidas de control interno por el OCI, como el propio control efectivo, que hemos ido señalando con anterioridad, requieren de determinados recursos tecnológicos que seguramente se ubicarán en el propio Departamento PBC, bajo la coordinación del Representante ante el SEPBLAC, que como hemos indicado, también es el coordinador del OCI delegado.

Entre estos recursos tecnológicos necesarios, enumero los siguientes a título de ejemplo:

• El MANUAL AML, y el MANUAL PBC, deberán estar en algún sistema de archivo y en un formato que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización. Este archivo deberá contener también las variaciones históricas de los Manuales con sus correspondientes sellos de tiempo, tal como indiqué en el apartado referido a la conservación de documentos.
• Desde el punto de vista operativo, las normas vigentes contenidas en los manuales deberán alimentar alguna plataforma tecnológica de cumplimiento, que permita la identificación de las normas, su afectación concreta a departamentos y personas, el sistema de control establecido, los informes recibidos y las gestiones efectuadas para la resolución de los conflictos.
• Se deberá de establecer algún sistema que organice y distribuya la información AML desde los departamentos de la empresa hacia los Órganos de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Habrá de preverse algún sistema de formación y control, para poder demostrar al SEPBLAC el cumplimiento del Artículo 29, sobre formación de empleados.

EL PROBLEMA DE LAS SUCURSALES Y FILIARES EN TERCEROS PAÍSES NO EQUIVALENTES

Los sujetos obligados que operen en terceros países que no sean equivalentes en la aplicación de las medidas antiblanqueo o antifinancición del terrorismo, deberán tener también en cuenta la estructura extraordinaria de prevención del blanqueo de capitales y de la prevención del terrorismo que han de poner en funcionamiento, que requerirá la siguientes medidas:

PLANIFICACIÓN ESTRATÉGICA:

• Establecimiento en sus sucursales y filiares con participación mayoritaria, de aquellas medidas adicionales que permitan hacer frente de forma eficaz al riesgo AML
• Comunicación de estas medidas extraordinarias al SEPBLAC.

PLANIFICACIÓN TÁCTICA:

• Tanto el OCI, como el Departamento PBC deberán implementar en las sucursales y filiares indicadas, las normas extraordinarias establecidas en la PLANIFICACIÓN ESTRATÉGICA.

PLANIFICACIÓN LOGÍSTICA:

• Se deberán prever los recursos humanos y tecnológicos para poder controlar el cumplimiento de las medidas extraordinarias implantadas.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Para el tratamiento de los datos de carácter personal que sean necesarios para el cumplimiento de la Ley 10/2010, así como para la creación de ficheros que contengan ese tratamiento, sean éstos automatizados o no, rige, con carácter general, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. (Artículo 32.1.)

OBTENCIÓN DEL CONSENTIMIENTO

Se excepciona la obtención del CONSENTIMIENTO, cuando el tratamiento de los datos de carácter personal resulte necesario para el cumplimiento de las obligaciones de información establecidas en el Capítulo III, a saber:

• Para la realización del examen especial
• Para la comunicación por indicio
• Para la abstención de ejecución
• Para la comunicación sistemática
• Para la colaboración con la Comisión y con sus órganos de apoyo.

Las obligaciones de información del Capítulo III caen bajo la responsabilidad directa del Representante ante el SEPBLAC, por lo que sólo éste podrá autorizar, dentro del Departamento PBC, el tratamiento de datos sin CONSENTIMIENTO, siempre que pueda justificar su necesidad.

El Representante ante el SEPBLAC, se convierte en encargado del tratamiento de los datos obtenidos sin CONSENTMIENTO, a los efectos previstos en la normativa de protección de datos de carácter personal, y estos datos no podrán ser utilizados, bajo ningún concepto, fuera del Departamento PBC.

No será necesaria tampoco la obtención del CONSENTIMIENTO para las comunicaciones de datos previstas en el Capítulo III, a saber:

• Para las comunicaciones al SEPBLAC por indicios (Artículo 18)
• Para las comunicaciones sistemática al SEPBLAC (Artículo 20)
• Para las colaboraciones con la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y con sus órganos de apoyo. (Artículo 21).

Esta excepcionalidad ampara tanto al Representante ante el SEPBLAC y su Equipo, para con sus obligaciones de comunicación específicas, como al resto de los departamentos de los sujetos obligados, respecto de las obligaciones de colaboración expresadas en los puntos 1 y 2 del artículo 21, con respecto a la Comisión, a sus órganos de apoyo, y a otras autoridades legalmente competentes.

Tampoco será necesaria la obtención del CONSENTIMIENTO para las operaciones exentas de la prohibición de revelación del Artículo 24.2.

DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

Para el tratamiento o para la utilización de ficheros de datos de carácter personal que resulten necesarios para el cumplimiento de las obligaciones de información establecidas en el Capítulo III, analizados anteriormente, no serán de aplicación las obligaciones derivadas del ejercicio de los derechos de acceso, rectificación, cancelación y oposición recogidos la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. (Artículo 32.3)

La PLANIFICACIÓN LOGÍSTICA tiene que establecer los tratamientos de datos de carácter personal que van a resultar necesarios para el cumplimiento de las obligaciones de información del Capítulo III, y el contenido de los Ficheros que se vayan a crear en la empresa en base al Artículo 32 de la Ley 10/2010, así como las medidas de seguridad de nivel alto con las que éstos han de ser dotados. (Artículo 32.5.)

Las medidas de seguridad a aplicar se pueden analizar en el REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. (B.O.E. número 17 del sábado 19 de enero de 2008).

También la PLANIFICACIÓN LOGÍSTICA ha de establecer el procedimiento a seguir, en el caso del ejercicio por los interesados de alguno de los derechos, de acceso, rectificación, cancelación y oposición, con el fin de que se les informe en tiempo, en los términos establecidos en el Artículo 32.3.

INTERCAMBIO DE INFORMACIÓN ENTRE SUJETOS OBLIGADOS

La Ley 10/2010 establece dos categorías de datos:

1. Los datos referidos al cumplimiento de las obligaciones de DILIGENCIA DEBIDA. (Capítulo II), para cuyo tratamientos rige la Ley Orgánica 15/1999 de protección de datos de carácter personal y su normativa de desarrollo.
2. Los datos referidos al cumplimiento de las obligaciones de INFORMACIÓN. (Capítulo III), para cuyo tratamiento y cesión rige la Ley 10/2010 y su normativa de desarrollo.

INTERCAMBIO DE INFORMACIÓN PARA EL CUMPLIMIENTO DE LA DILIGENCIA DEBIDA, ANÁLISIS DE RIESGOS Y PREVENCIÓN DEL FRAUDE.

No entro a analizar los requisitos que deben cumplir los sujetos obligados para la creación de ficheros propios o para el intercambio de datos de carácter personal dentro de su grupo, o en el ámbito nacional e internacional, puesto que para clarificar esta materia está la Ley Orgánica 15/1999 y su normativa de desarrollo.

Respecto al intercambio de información referida a la DILIGENCIA DEBIDA del Capítulo II, entre sujetos obligados no pertenecientes al mismo grupo, quisiera hacer las siguientes consideraciones.

Las obligaciones de DILIGENCIA DEBIDA, hemos visto que son de interés no sólo para el cumplimiento de la Ley 10/2010, sino también para el análisis de riesgos y para la prevención del fraude.

Con la actual legislación de protección de datos de carácter personal hoy no resulta posible hacer sin CONSENTMIENTO, tratamientos de datos y ficheros centralizados de cumplimiento de DILIGENCIA DEBIDA fuera de la empresa o del grupo empresarial, tal como sucede con los ficheros centralizados de prevención del fraude.

Pero con el CONSENTIMIENTO de los ciudadanos, cualquier tratamiento e intercambio de datos resultaría posible, si se cumple para ello con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa de desarrollo.

La solicitud del CONSENTIMIENTO es un tema de reflexión obligada para las empresas financieras y de telecomunicación, puesto que sería la solución de muchos de los problemas que tienen actualmente para poder operar con unas mínimas garantías de comprobación de la veracidad, sobre las informaciones que reciben de sus clientes.

La solución al problema comercial de la recogida del CONSENTIMIENTO, pasa por informar de forma conveniente a los Ciudadanos de esta necesidad en el momento de la solicitud, lo que puede conseguirse con una decisión reflexionada y asumida al efecto, por todos los operadores pertenecientes a ambos sectores.

Los Ciudadanos son bastante compresibles con los temas que afectan a su seguridad, si saben que sus datos personales y los consentimientos dados para su tratamiento y cesión, están gestionados de una forma seria por los sectores económicos estratégicos, y que están supervisados por la Agencia Española de Protección de Datos.

La generalización del CONSENTIMIENTO, además de facilitar el trabajo de verificación de las entidades, permitirá dotar a los Ciudadanos de nuevas posibilidades de acceso al crédito responsable, y a una utilización mucho más segura de las nuevas tecnologías, porque el CONSENTIMIENTO permitirá la creación de INFORMACIÓN POSITIVA de los clientes y por tanto, éstos podrán utilizar como garantía para sus operaciones, su propia solvencia. Y además, esta INFORMACIÓN POSITIVA mejoraría la calidad de la INFORMACIÓN NEGATIVA que ahora se utiliza para asegurar la actividad económica y comercial.

Igualmente el CONSENTIMIENTO permitiría un mejor análisis de riesgos y un buen control de la criminalidad financiera y de la ciberdelincuencia, lo que facilitaría también un mejor cumplimiento de la legislación AML, puesto que la inteligencia a utilizar estaría integrada y ordenada de una forma lógica, y no dispersa y desordenada como en la actualidad.

Para conseguir este objetivo, resultaría necesaria la constitución de unas Mesas de Estudio, dentro de ambos sectores de actividad, que solucionasen, dentro de la legalidad y bajo criterios empresariales, uno de los grandes problemas que afectan a la seguridad del sector económico y tecnológico, como es la imposibilidad de analizar los riesgos utilizando plataformas centralizdas de información, revestidas con todas las garantías legales.

¿LA LEY 10/2010 OFRECE ALGÚN RESQUICIO LEGAL PARA NO TENER QUE OBTENER EL CONSENTIMIENTO EN EL CUMPLIMIENTO DE LAS OBLIGACIONES DE DILIGENCIA DEBIDA?

Bajo mi criterio y aún a costa de resultar polémico y generar el correspondiente debate, en la Ley 10/2010 hay una excepcionalidad para el CONSENTIMIENTO, que podría ser de utilidad, de forma directa para el cumplimiento de la DILIGENCIA DEBIDA, e indirectamente para facilitar el análisis de riesgos y la prevención del fraude, y es la consulta a la información contenida en los ficheros centralizados legalmente constituidos dentro del Sector financiero con la finalidad de prevención del fraude, cuando esa información fuere necesaria para el cumplimiento de la Ley 10/2010.

El acceso a esta información, sin CONSENTIMIENTO, está permitido según la Ley, tanto al OCI como al Departamento PBC, (Artículo 33.4), cuando indica que el “acceso a los datos a los que se refiere este precepto deberá quedar limitado a los órganos de control interno previstos en el Artículo 26, con inclusión de las unidades técnicas que constituyan los sujetos obligados”

Este resquicio legal abriría una gran capacidad operativa para las empresas, y avalaría el Modelo de OCI que estoy propiciando, en el que está integrada una representación de cada una de las áreas afectadas por el MANUAL AML y por el MANUAL PBC.

Si como según parece, el OCI podría acceder sin CONSENTIMIENTO a los ficheros centralizados de prevención del fraude, en cada una de estas áreas estarían facultados para el acceso sin CONSENTIMIENTO, el jefe de área, como representante del OCI titular y un subordinado como titular del OCI delegado, para el cumplimiento de las obligaciones de DILIGENCIA DEBIDA explicadas anteriormente, entre las que están la identificación formal de los clientes. Ya justifiqué anteriormente que la identificación formal afecta tanto a la prevención del blanqueo, como al análisis de riesgos y a la prevención del fraude.

Si no se modifica reglamentariamente la interpretación del apartado 4 del artículo 33 de la Ley 10/2010, resultaría posible justificar ante la AEPD el acceso sin CONSENTIMIENTO a la información contenida en el Fichero de Operaciones con Datos Irregulares (FODI), propiciado por la Asociación, en el momento de la identificación formal de los clientes y restantes obligaciones de DILIGENCIA DEBIDA, e igualmente, con mucha más razón, al Fichero PERSUS para la defensa de la identidad, puesto que la inclusión de los datos en el Fichero por los Ciudadanosm, ya cuenta con el CONSENTIMIENTO tácito de los mismos para que sus datos sean consultados por las entidades que tengan la necesaria justificación para ser usuarias del Fichero.

El CONSENTIMIENTO, por tanto, sería exigible sólo para la cesión de los datos al FICHERO FODI. No olvidemos que la alimentación del fichero resulta imprescindible si queremos compartir información de calidad, surgida tanto del análisis de riesgos, como de la investigación para la prevención del fraude y para la recuperación de activos.

Esta es una interpretación personal y por tanto no oficial, que podría ser objeto de estudio y consulta a la AEPD y al Tesoro, toda vez que la DILIGENCIA DEBIDA se realiza por departamentos diferentes al de PBC, y por ello, resulta inevitable que sus resultados se utilicen también para el análisis de riesgos y para la prevención del fraude.

Si esta interpretación resulta adecuada, se abrirían nuevas potencialidades operativas para los ficheros centralizados de prevención del fraude, puesto que el CONSENTIMIENTO sólo sería necesario para la cesión de los datos, pero no para la consulta, en los trabajos de DILIGENCIA DEBIDA.

INTERCAMBIO DE INFORMACIÓN PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DEL INFORMACIÓN DEL CAPÍTULO III

El Artículo 32 indica claramente que cualquier tratamiento de datos de carácter personal para el cumplimiento de la Ley 10/2010, junto con los ficheros necesarios para su archivo, automatizados o no, estará sometido a la Ley Orgánica 15/1999 de protección de datos de carácter personal y su normativa de desarrollo, excepto en lo siguiente:

El acceso sin CONSENTIMIENTO a los ficheros de prevención del fraude, como he indicado anteriormente, resulta posible tanto para el Departamento PBC, como para las unidades técnicas para el tratamiento y análisis de la información, en el cumplimiento de las obligaciones de información AML, establecidas en el Capítulo III.

La Ley no prohíbe tampoco la comunicación de los datos que están sujetos a las obligaciones de información, cuando esta comunicación se hace entre entidades financieras pertenecientes al mismo grupo que estén dentro de la Unión europea, o dentro de países terceros equivalentes, siempre que esta comunicación se utilice exclusivamente a los efectos de la prevención del blanqueo de capitales y de la financiación del terrorismo. (Artículo 24.2.a)

Igualmente no prohíbe la comunicación de los datos que están sujetos a las obligaciones de información, cuando esta comunicación se realizada hacia o entre algunos profesionales que pudieran trabajar de forma externa para nuestras empresas. (Artículo 24.2.b)

Ni se prohíbe la comunicación de datos que están sujetos sujetos a las obligaciones de información, cuando esta comunicación se hace entre empresas financieras y la información intercambiada se utiliza exclusivamente a efectos de la prevención del blanqueo de capitales y de la financiación del terrorismo. Pero esta información ha de referirse a un mismo cliente y a una misma operación en la que intervengan dos o más entidades financieras. (Artículo 24.2.c)

Como ya sabemos, estos datos sensibles sujetos a las obligaciones de información del Capítulo III, sólo pueden ser comunicados entre los Departamentos PBC y sus unidades técnicas para el tratamiento y análisis de la información, por lo que la PLANIFICACIÓN LOGÍSTICA tiene que prever esta posibilidad y tener previsto el sistema tecnológico de intercambio y control a utilizar entre las empresas financieras, entre Grupos, o entre las empresas y determinados profesionales autorizados, que deberá estar revestido de medidas de seguridad de nivel alto, previstas en la normativa de protección de datos de carácter personal.

EL ARTÍCULO 33.2

“Asimismo, los sujetos obligados podrán intercambiar información relativa a las operaciones a las que se refieren los artículos 18 y 19 con la única finalidad de prevenir e impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquella”

Este es un apartado del Artículo 33 muy delicado en su interpretación, pero que a los sujetos obligados les permitirá crear ficheros centralizados de prevención del blanqueo de capitales y de la financiación del terrorismo, que servirán para facilitar el cumplimiento de las obligaciones de información establecidas en el Capítulo III a los Departamentos PBC y a las unidades técnicas para el tratamiento y el análisis de la información, porque pondrán en sus manos herramientas eficaces de alerta, que dificultarán a los delincuentes la presentación de las mismas operaciones o similares, ante diferentes sujetos obligados.

Según el texto legal, la única información que puede intercambiarse es la relativa a las comunicaciones por indicios efectuadas al SEPBLAC (Artículo 18). No se podrán, por tanto, intercambiar datos relativos al examen especial, si de ese examen especial no se derivara la obligación de la comunicación por indicios, que es lo mismo que decir, que no se podrán intercambiar las informaciones susceptibles de examen especial, si no aparecen, tras el análisis, los suficientes indicios fundamentados de que las operaciones están relacionadas con el blanqueo de capitales y/o la financiación del terrorismo.

Igualmente se podrían intercambiar las informaciones que obliguen a la abstención de ejecución, en los términos establecidos el Artículo 19.

Pero para poder intercambiar esta información, o cederla a ficheros que faciliten el intercambio, deberá valorarse que de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquella.

Tanto el intercambio de este tipo de información, como la creación de ficheros centralizados AML exigirán una gran profesionalización operativa entre sus usuarios, y tecnológica por parte los encargados de su tratamiento, quienes deberán ser además sujetos obligados según se especifica en el Artículo 33.2.

Conciente la Asociación de las posibilidades operativas que para sus asociados y para otros sujetos obligados ofrece este artículo, a partir de la publicación del anteproyecto inició los estudios legales y tecnológicos precisos para la puesta en funcionamiento de REPOSITORIO SISO, (Repositorio del Servicio de Información de los Sujetos Obligados), en su condición de sujeto obligado.

EL REPOSITORIO SISO

El Repositorio del Servicio de Información de los Sujetos Obligados (Repositorio SISO), es el primer proyecto que se ha presentando oficialmente para facilitar el intercambio de información entre sujetos obligados, en base al Artículo 33.2 de la Ley 10/2010.

La Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), es la responsable del Repositorio, en cumplimiento de la Ley Orgánica 15/1999 de protección de datos de carácter personal y su normativa de desarrollo, y la empresa Soluciones Confirma, la encargada del tratamiento de los datos.

El funcionamiento del Repositorio, al margen de sus aspectos técnicos, está regulado por un Reglamento de obligado cumplimiento para sus usuarios, y está controlado por una Comisión.

Tal como he explicado al analizar el Artículo 33.2., la finalidad exclusiva del Repositorio será la prevención del blanqueo de capitales y de la financiación del terrorismo, y únicamente podrá ser consultado por los órganos de prevención del blanqueo de capitales y la financiación del terrorismo de los sujetos obligados usuarios del mismo, que son los que tienen a su cargo las obligaciones de información del Capítulo III.

Sólo aparecerá en el Repositorio la información, desestructurada en cuanto al origen, que haya sido comunicada al SEPBLAC por las entidades usuarias. Esta información será la relativa a las operaciones a las que se refieren los Artículos 18 y 19, y se sacará del Repositorio la información que sea devuelta por el SEPBLAC, porque el examen especial haya resultado insuficiente.

Como el objeto del repositorio es impedir que las operaciones con indicios de blanqueo de capitales o de financiación del terrorismo puedan intentarse ante otros sujetos obligados mediante operativas similares, no podrán ser incluidas en el mismo las operaciones que no revistan este peligro, lo que obligará a los usuarios del Repositorio a una gran profesionalización técnica, que será apoyada desde el Servicio de Información de los Sujetos Obligados de ASNEF, en donde se integrará el Grupo de Coordinadores, que serán los responsables del funcionamiento del Repositorio en cada sujeto obligado, quienes deberán velar dentro de su entidad para que la información cedida sea veraz, exacta, proporcional y puesta al día, haya sido obtenida tras el proceso de examen especial especificado en la Ley 10/2010 y comunicada al SEPBLAC.

Este Repositorio no contendrá, por tanto, un gran volumen de información, aunque la que contenga será de una gran calidad preventiva, puesto que permitirá generar alertas muy fundadas que obligarán a efectuar el examen especial, evitando así que los sujetos obligados usuarios puedan admitir operaciones de riesgo de blanqueo de capitales o de financiación del terrorismo, que hayan sido objeto, a su vez, de alerta por otros sujetos obligados y por tanto comunicadas al SEPBLAC.

ASNEF es el garante del Repositorio, ante la Administración y los Usuarios del mismo, por ser una Institución representativa de una parte importante del Sector Financiero, y por su gran experiencia en el desarrollo de otros ficheros centralizados de datos de carácter personal, y por su experiencia en infraestructuras de cumplimiento, necesarias para su funcionamiento.

Fabián Zambrano Viedma

Responsable del Servicio de Información de los Sujetos Obligados