La nueva ley de creación y crecimiento de empresas modifica la ley de PBCyFT

La reciente Ley 18/2022,¹ sobre la creación y crecimiento de empresas, modifica algunas cuestiones de la Ley 10/2010,² sobre la prevención del blanqueo de capitales y de la financiación del terrorismo (PBCyFT).

Las principales modificaciones se centran en el tratamiento de los datos de carácter personal y la creación de nuevos sistemas de comunicación de información entre sujetos obligados.

También incluye cambios en el ámbito de exclusión de esta ley, que pueden ser relevantes para ciertas entidades que podrían no ser consideradas como sujetos obligados, por su baja exposición al blanqueo de capitales o a la financiación del terrorismo.

A continuación, se resumen estas modificaciones.

Sobre nuevas entidades excluidas

En las exclusiones de la Ley 10/2010, añade la posibilidad de que los sujetos obligados de la letra h) del artículo 2.1 puedan quedar excluidos reglamentariamente de su ámbito de aplicación cuando presenten un bajo nivel en estos riesgos.

Afectaría a:

• entidades de dinero electrónico,
• entidades de pago,
• entidades de pago exentas por razón del volumen de actividad, y
• entidades prestadoras de servicios de información sobre cuentas.

Con esta modificación, el legislador libera de la sujeción a la norma a las entidades que, por razón de su actividad, no presenten un elevado riesgo en estas materias, como sucede con las entidades prestadoras de servicios de información sobre cuentas, comúnmente conocidas como “agregadores” (que habían pasado a ser consideradas sujetos obligados con la trasposición en España de la Quinta Directiva de PBCyFT³).

Sobre protección de datos

También modifica algunos aspectos del tratamiento de los datos de carácter personal en los procesos de PBCyFT. En concreto, se modifican los artículos 32 y 33 de la Ley 10/2010 para incluir los siguientes matices:

En el artículo 32

1. Limitar el ámbito de su aplicación a los tratamientos derivados del cumplimiento de las obligaciones del capítulo III de la Ley 10/2010 (sobre las obligaciones de información).
2. Exceptuar de la condición de encargados del tratamiento a los organismos centralizados cuando desarrollen tratamientos por las funciones que se les atribuyan reglamentariamente.
3. Incluir una nueva obligación para los sujetos obligados, consistente en «realizar una evaluación de impacto en la protección de datos de los tratamientos a los que se refiere este artículo a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales» (artículo 32.4).
   • Estas medidas deben asegurar la trazabilidad de los accesos y comunicaciones de los datos.
4. Actualizar las referencias normativas previstas en el artículo.

En el artículo 33

En este artículo, dedicado al «intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude», la Ley 18/2022 introduce el amparo para no contar con el consentimiento previo del interesado (artículo 6.1.e) del RGPD⁴) en estos tratamientos.

Además, añade aclaraciones sobre cuándo procede el intercambio de información:

1. «cuando concurran riesgos extraordinarios» identificados en:
   • los análisis de riesgos en esta materia de los sujetos obligados;
   • el análisis e inteligencia financieros del Servicio Ejecutivo de la Comisión, o
   • el análisis de riesgo nacional de blanqueo de capitales o de financiación del terrorismo, y
2. «previo dictamen conforme de la Agencia Española de Protección de Datos».

En estos supuestos, no es obligatoria la información prevista en el artículo 14 del RGPD, sobre las personas con responsabilidad pública, ni la atención a los derechos referidos a la privacidad.

Por último, los sujetos obligados o quienes desarrollen los sistemas que soporten al intercambio de información tienen que realizar una evaluación de impacto, como también se citaba en el apartado 2.1, c) anterior.

Sobre la posibilidad de crear sistemas comunes de información

Por último, se añade un nuevo artículo, el 32 ter, que desarrolla la posibilidad de que los sujetos obligados que compartan una misma categoría de las definidas en la Ley 10/2010 puedan «crear sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada para el cumplimiento de las obligaciones de diligencia debida».

Los sujetos obligados adheridos al sistema tendrán la condición de corresponsables del tratamiento (artículo 26 del RGPD y solo podrán acceder a los datos facilitada por otro sujeto obligado:

1. cuando la persona a la que se refieran los datos sea cliente del sujeto obligado, o
2. cuando el acceso sea necesario para cumplir las obligaciones de identificación previas a la relación de negocios.

Además, los interesados tendrán que ser informados de que sus datos se van a comunicar al nuevo sistema y del acceso a ellos que se pretenda, antes de que se puedan consultar.

A este nuevo sistema común ya se le han de aplicar los nuevos criterios expuestos en el apartado 2 anterior.

Entrada en vigor

Las modificaciones entrarán en vigor a los veinte días de su publicación en el BOE, esto es, el 19-10-2022.