El Reglamento (EU 2016/679) General de Protección de Datos (“RGPD”) ha permitido homogeneizar y configurar un marco más garantista para el derecho de la privacidad de las personas físicas. Tras su incorporación en nuestro ordenamiento, son numerosas las leyes que han sido actualizadas a fin de adecuarse a las nuevas obligaciones y exigencias en materia de protección de datos.
Fruto de este proceso se encuentran, entre otras, las últimas modificaciones conocidas en materia de Compliance y Prevención del Blanqueo de Capitales. En particular, aquellas que derivan del Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción -que traspone la conocida Directiva Whistleblowing- o de la actualización de la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo (“LPBC”).
Como es sabido, la normativa de Blanqueo de Capitales ha protagonizado en los últimos meses diversas modificaciones con implicación en materia de protección de datos, derivadas tanto de su adecuación a la normativa europea, como de la recién aprobada Ley 18/2022 de creación y crecimiento de empresas.
Si bien su alineación con las directivas europeas introdujo ya importantes previsiones de protección de datos en la LPBC, como la necesidad de realizar una Evaluación de Impacto a fin de adoptar medidas que garanticen la integridad y confidencialidad de los datos personales, estas se han visto reforzadas tras la publicación de la Ley 18/2022 que, entre otros, modifica el artículo 32 de la LPBC.
Entre las principales novedades despendidas del recién incorporado art. 32 ter en la LPBC, destaca la posibilidad de crear sistemas comunes de información crediticia por los sujetos obligados pertenecientes a una misma categoría (entidades aseguradoras de crédito, capital-riesgo, etc.). Esto es, ahora, empresas pertenecientes a la misma categoría podrán crear, almacenar y acceder a la información y documentación recabada por cada una de ellas para cumplir con sus obligaciones de diligencia debida. En este caso, las entidades titulares del sistema de información serán consideradas corresponsables del tratamiento y quedarán sujetas a las distintas obligaciones que el RGPD exige para el tratamiento de información y datos de interesados.
En todo caso, el acceso de los sujetos obligados a la información contenida en los sistemas seguirá respondiendo a los criterios de proporcionalidad y necesidad, debiendo limitar la consulta a información de sus clientes o a la necesaria y requerida para cumplir las obligaciones de identificación previa.
Por último, también la redacción del Anteproyecto de Ley permite adelantar una importante novedad en materia de RGPD, como es la obligación de nombrar un delegado de protección de datos (“DPO”) en aquellas entidades que deban disponer de un sistema interno de denuncias. Así, todas aquellas entidades que, a partir de ahora, empleen a 50 o más trabajadores estarán obligadas tanto a contar con un sistema interno de comunicación como, por consiguiente, con la figura de DPO. De este modo, una vez aprobada y publicada la norma, empresas que hasta la fecha no se encontraban obligadas a nombrar a un DPO, deberán contar con ello y comunicar su nombramiento a la AEPD a fin de no ser objeto de sanción por la autoridad.
En conclusión, y a raíz de las anteriores modificaciones analizadas, cabe observar el serio compromiso del legislador de alinear y adecuar los distintos cuerpos normativos vigentes a los estándares y garantías de protección de datos desprendidos del RGPD.
