Blog - DPO & it law

Madrid, 15 de junio de 2020

La Secretaria General del Tesoro y Financiación Internacional dependiente del Ministerio de Asuntos Económicos y Transformación Digital, por Acuerdo del Consejo de Ministros del pasado 10 de marzo, ha sacado a audiencia pública  el Anteproyecto de ley –/2020, por la que se modifica la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y se transponen directivas de la Unión Europea en materia de prevención de blanqueo de capital. El plazo para presentar alegaciones finalizará el próximo 23 de junio, según se indica en la web del Ministerio. La tramitación del nuevo texto normativo tiene carácter urgente y, su aprobación parlamentaria, está prevista para el segundo semestre de 2020.

En nuestro artículo del pasado 10 de enero, España a la cola en la regulación de las criptomonedas en Europa, indicábamos que, en ese mismo día, terminaba el plazo de transposición de la 5ª Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo y que, en la transposición a realizar por nuestro Parlamento, se debería incorporar como sujetos obligados ante el Banco de España/SEPBLAC, no solo a los exchanges o proveedores de criptomonedas, sino también a aquellos proveedores de servicios financieros que permitan la emisión y negociación de activos virtuales que tengan la consideración de valores negociables (security tokens o criptoactivos).

Pues bien, en el Artículo Único que modifica la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, incluye como sujetos obligados a “los proveedores de servicios de cambio entre monedas virtuales, de cambio de moneda virtual por moneda fiduciaria, de transferencia de monedas virtuales y de custodia de monederos electrónicos”, los que hemos denominado exchanges de criptomonedas y, respecto a los proveedores de criptoactivos, en el Preámbulo se indica que, como los criptoactivos ya tienen la consideración como valor negociable por parte de la Comisión Nacional del Mercado de Valores (CNMV), se encuentran sometidos a la normativa de prevención de blanqueo de capitales y, por tanto, no es preciso realizar modificaciones adicionales a la presente ley para dar cobertura a los criptoactivos.

Los nuevos sujetos obligados que provean este tipo de servicios a residentes en España deberán estar inscritos en el registro constituido al efecto en el Banco de España/SEPBLAC en el plazo máximo de nueve meses desde la entrada en vigor de la nueva Ley.

Igualmente, deberán inscribirse las personas físicas que presten estos servicios, cuando la dirección y gestión de las actividades se ejerza en España y las personas jurídicas establecidas en España, con independencia, en ambos casos, de la ubicación de los destinatarios del servicio. Reglamentariamente, se establecerán los requisitos conforme a los cuales se entenderá que la dirección y gestión se ejerce en España.

Aquel exchange que no se haya registrado, la infracción será considerada como muy grave, pudiendo ser considerada como grave si la actividad se hubiera desarrollado de forma meramente ocasional o aislada. Las sanciones son muy elevadas según lo dispuesto en el Título IV de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

Cómo decíamos en el artículo citado de nuestro blog, esta modificación normativa permitirá a los exchanges que operen en España contar con la misma seguridad jurídica, en materia de prevención de blanqueo de capitales, que las entidades de crédito, lo cual podría ayudar a que estas últimas abran sus puertas al “Sector Cripto”.

Otras novedades incluidas en este Anteproyecto son las de crear un sistema registral único de los titulares reales de las personas jurídicas y dependiente del Ministerio de Justicia; se modifica el Fichero de Titularidades Financieras, vigente desde 2016, en el que se añadirá la información relativa a los titulares de cajas de seguridad y de cualquier cuenta de pago; se establecen mejoras en el intercambio de información entre instituciones españolas o con autoridades internacionales; se aprueba un nuevo sistema  de responsabilidad para los expertos externos que pasarán a tener responsabilidad directa por el contenido de los informes anuales realizados sobre las actividades realizadas por los sujetos obligados y, finalmente, se modifican algunos aspectos relacionados con el transporte profesional de fondos o medios de pago.

Queda todavía mucho recorrido para que la Ley sea aprobada y entre en vigor, por lo que estaremos muy atentos a las modificaciones que pudiera sufrir el texto del Anteproyecto.

Redacción DPO&itlaw

La AEPD ha publicado su Memoria correspondiente al año 2019, la primera que recoge las actividades de la Agencia que incluye un año completo de aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD). En la Memoria se hace referencia a varios ámbitos de actuación de la Agencia, como el número de reclamaciones, el motivo de las mismas, los tiempos de resolución, casos transfronterizos o notificaciones de quiebras de seguridad.

Durante el año 2019 se presentaron ante la Agencia 11.590 reclamaciones, lo que supone un regreso a la normalidad, tras el incremento de un 33% del año 2018, siendo las reclamaciones más comunes las relativas a servicios de internet, videovigilancia, inserción indebida en ficheros de morosidad, reclamación de deudas y publicidad.

Los traslados, el procedimiento por el que el RGPD y la LOPDGDD pretender facilitar la resolución amistosa de estas reclamaciones ha crecido un 147% hasta los 5.691, elemento que más que probablemente haya influido en la reducción del tiempo medio de resolución de los procedimientos sancionadores en casi un tercio. De estas reclamaciones, la Agencia ha dictado 338 resoluciones sancionadoras, la mayoría de las mismas relativas a videovigilancia (287), servicios de internet, publicidad a través de correo electrónico o teléfono móvil, telecomunicaciones y Administración Pública.

Destaca la AEPD el importante papel desempeñado por la figura del Delegado de Protección de Datos como mecanismo para la resolución extrajudicial de reclamaciones evitando la iniciación de actuaciones de investigación de la Agencia que pueden dar lugar a procedimientos sancionadores.

Otro elemento que recoge la Memoria 2019 son los casos transfronterizos. La nueva normativa europea permite a los ciudadanos presentar reclamaciones ante cualquier autoridad de protección de datos europea, que debe dar traslado a las autoridades competentes para que sean atendidas, lo que ha permitido que éstas aumenten en un 33% durante el año 2019.

Uno de los elementos más importantes de la normativa relativa a la protección de datos es la obligación de notificar las brechas de seguridad, obligación que ha provocado que estas notificaciones se hayan triplicado de un año a otro. Las notificaciones son recibidas por la Unidad de Estudios y Evaluación Tecnológicos (UEET), que las analiza y valora si debe trasladar la quiebra a la Subdirección General de Inspección de Datos, que es quien las investiga y analiza. Tan sólo se han comunicado a esta subdirección el 5% de estas quiebras.

Otro de los aspectos más relevantes recogidos por la Memoria 2019 es el relativo al Canal prioritario para solicitar la eliminación urgente de contenidos violentos o sexuales en internet, que coloca a la AEPD como la única agencia europea de protección de datos que ofrece este servicio, que durante 2019 recogió 18 órdenes de medida provisional urgente, retirándose de forma definitiva el contenido original de la página o red social en todos los casos.

En el Canal Joven de la Agencia, que se ocupa de temáticas como publicación de imágenes de menores en redes sociales por parte de padres separados, consentimiento de los padres para la publicación de imágenes en webs de los colegios o RRSS, videovigilancia en los colegios o grabación de imágenes en eventos escolares, se han recibido 1.502 cuestiones.

Por último, debemos hacer mención a los datos que la Memoria aporta sobre las herramientas puestas a disposición por la AEPD, Facilita RGPD, utilizada por más de 800.000 pymes y autónomos, y Gestiona RGPD, lanzada en junio de 2019 y utilizada en casi 3.000 ocasiones.

Puede accederse a la Memoria 2019 completa aquí.

Gonzalo de la Cruz Larregla, Asociado Senior de DPO&IT Law, formará parte del profesorado que impartirá el curso «Introducción a los contratos inteligentes» organizado por el Ilustre Colegio de Abogados de Madrid.

Gonzalo de la Cruz, será el responsable de los siguientes puntos del programa formativo:

• La Digitalización y Tecnología.
• ¿Se pueden regular las redes descentralizadas?.
• Aspectos Claves del bitcoin: ¿Cómo afecta al sector financiero? ¿Qué son las ICOs? Etapas, fraude, gobernanza
• ¿Qué es una DAO? Ataque al the DAO, Modelos de Gobernanza.
• La Regulación. Normativa diversa internacional
• BlockChain Vs Smart Contracts.

Introducción del curso

Introducción a la tecnología de los Contratos Inteligentes y cómo afectan al desarrollo de los profesionales del mundo jurídico, que características tienen y cuales son las características más importantes que hay que tener en cuenta en el corto-medio plazo.

Objetivos

Con la llegada de Blockchain al panorama tecnológico, nos encontramos con una nueva revolución tecnológica que promete cambiar el funcionamiento y ordenamiento de la Sociedad tal y como la conocemos actualmente. Uno de los elementos claves que vienen de la mano de la cadena de bloques, son los denominados como Contratos Inteligentes o Smart Contracts. Gracias a ellos las interacciones entre los diferentes actores pueden automatizarse y eficientarse, eliminando muchos de los intermediarios que no aportan valor. No obstante, esta tecnología no está exenta de retos que el profesional del Derecho tendrá que conocer y articular, el nuevo jurista tendrá que evolucionar y convertirse en una persona de tecnología, capaz de articular mediante código informático, lo que hasta el momento hace en documentos tradicionales. Gracias a este curso, será capaz de entender el funcionamiento de los Smart Contracts y las herramientas que son necesarias para su creación.

Más información: ICAM – INTRODUCCIÓN A LOS CONTRATOS INTELIGENTES.

El pasado jueves, 14 de mayo de 2020, nuestro Socio Director Fernando Ramos, participó en el 5º Talk de NWC10lab exponiendo su visión en relación con el uso de Blockchain y las nuevas herramientas de trackeo de personas y medición de temperatura ante la crisis de la COVID-19.

En una exposición dinámica y participativa, se revisó su trayectoria profesional, así como sus inicios en el ecosistema Blockchain, diversos casos de éxito relacionados con criptomonedas y criptoactivos, pasando por la situación actual y su visión de futuro, haciendo especial hincapié en lo que respecta a la regulación actual y futura en prevención del blanqueo de capitales y de la financiación del terrorismo, así como en los aspectos más relevantes y la problemática que entraña el cumplimiento del RGPD en la cadena de bloques.

DPO&itlaw ha colaborado asesorando a organismos internacionales como EUROPOL y la Comisión Europea y a diversas entidades privadas con objeto de dotar de mayor seguridad jurídica a sus proyectos. 

Si no pudiste asistir puedes verlo aquí.

DPO&itlaw es colaborador de la Asociación SOS4PYMES en este nuevo proyecto cuyo objetivo es asesorar y formar, de manera gratuita, a empresarios, directivos o las propias pequeñas y medianas empresas de ámbito nacional, que estén o puedan estar en una situación de dificultad, ayudando en la toma de decisiones para sacar sus negocios adelante en estos momentos de gran incertidumbre.

Más información: www.sos4pymes.com

Tras cerca de dos meses en confinamiento a causa de la crisis sanitaria por el coronavirus, España comienza su camino hacia la “nueva normalidad”. Si bien la declaración del estado de alarma obligó a frenar casi la totalidad de la actividad económica y social, la vuelta a la “normalidad” y la reapertura de establecimientos y centros de trabajo presenta grandes retos a los que debemos enfrentarnos para evitar un repunte en los contagios.

Así, la desescalada y la vuelta a los centros de trabajo llevan a las empresas a plantearse qué medidas adoptar para prevenir la presencia de la COVID-19 en sus establecimientos, y parece que la opción por la que más se están decantando es la toma de temperatura, tanto al personal como a los clientes.

¿Cómo afecta esta medida a la protección de datos?

Si volvemos la vista atrás, concretamente al 13 de marzo de 2020, nos encontraremos con el documento FAQ sobre el COVID-19 publicado por la Agencia Española de Protección de Datos (AEPD) en el que responde a diversas consultas planteadas sobre el tratamiento de datos personales relativos a la salud durante la crisis del coronavirus.

En este documento vemos como ante la pregunta de si “¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?” la AEPD muestra su conformidad y considera que esta medida está relacionada con la vigilancia de la salud de los trabajadores y, en virtud de la Ley de Prevención de Riesgos Laborales (LPRL), es obligatoria para el empleador.

No obstante, matiza que, en todo caso “el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban”.

Con la postura favorable de la AEPD para aplicar esta medida en el ámbito laboral, no solo las empresas comenzaron a implantarla para prevenir nuevos contagios de COVID-19 entre sus trabajadores, sino que, al parecer, esta práctica se está extendiendo como una medida de control de acceso en numerosos tipos de establecimientos, incluidos espacios públicos, lo que está impidiendo que las personas puedan acceder si presentan una determinada temperatura.

A consecuencia de ello, la AEPD emitió el pasado 30 de abril un comunicado pronunciándose sobre la toma de temperatura por parte de los centros de trabajo y otros establecimientos, en el que muestra su preocupación por el aumento de estas actuaciones, ya que “suponen una injerencia particularmente intensa en los derechos de los afectados”, al afectar a datos relativos a la salud de las personas que se están realizando sin el criterio previo de las autoridades sanitarias. Se trata, por tanto, de un tratamiento de datos sensibles que deben respetar en todo caso los principios de legalidad, limitación de la finalidad y exactitud de los datos.

En dicho comunicado la AEPD indica que la base legitimadora de este tratamiento de datos no puede ser el consentimiento de los interesados, pues este no sería libre. Por el contrario, entiende que la base jurídica podría ser, en el ámbito laboral, la obligación legal de los empleadores de garantizar la seguridad y salud de los trabajadores. En otros ámbitos se podría plantear la existencia de intereses generales como es la protección de la salud pública, pero descarta por completo la utilización del interés legítimo como base legitimadora en virtud del artículo 9.2 del RGPD y al entender que “el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de los afectados haría que ese interés legítimo no resultara prevalente con carácter general”.

¿Cómo se debe hacer y quién está habilitado para realizar la toma de temperatura?

Esta es una de las grandes dudas que se plantean en estos momentos las empresas. Retomando la pregunta “¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?” del documento FAQ sobre el COVID-19 de la AEPD, vemos como se indica que esta medida “debería ser realizada por personal sanitario”.

En este sentido, la LPRL establece en su artículo 22.6, en relación a la vigilancia de la salud que: “las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada”.

Por otra parte, el artículo 9.3 del RGPD establece que “los datos de salud podrán tratarse para fines de medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad […] o por cualquier otra persona sujeta también a la obligación de secreto […]”.

El reciente comunicado de la AEPD de 30 de abril incide en este aspecto al determinar que “los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes” y que el personal que los emplee debe reunir “los requisitos legalmente establecidos y estar formado en su uso”, si bien no establece cuáles son esos requisitos legales.

Por lo tanto, esta medida únicamente se puede realizar por personal cualificado, si bien la AEPD no establece cuáles son los requisitos que debe cumplir este personal y qué debemos considerar como personal “cualificado”, por lo que nos planteamos si debe ser necesariamente personal sanitario o puede realizarse por personal que haya recibido formación específica sobre el uso de los equipos de medición.

En estos momentos, y a la espera de que las autoridades sanitarias se posicionen y determinen si esta medida es lícita y, en su caso, indique la forma de proceder al respecto, entendemos que es recomendable someter al personal a obligación de secreto profesional y formarla en el uso de la herramienta y el procedimiento a seguir.

El último pronunciamiento de la AEPD respecto al uso de dispositivos como cámaras térmicas para registrar la temperatura fue el pasado 5 de mayo en el documento “El uso de las tecnologías en la lucha contra el COVID19”, en el que establecía que la recogida de estos datos solo puede entenderse “como parte de un tratamiento mayor, y no se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios”, ya que en estos casos “tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud”. Por último, y respecto al ámbito laboral, insiste en que la toma de temperatura sea utilizada dentro de un marco de tratamiento más extenso y que, en todo caso, se respeten los derechos y libertades que promueve el RGPD.

En conclusión, si bien la normativa de protección de datos no puede suponer un obstáculo para adoptar las medidas necesarias de prevención contra la COVID-19, debemos tenerla presente y valorar la eficacia y necesidad de las mismas así como la posibilidad de adoptar alternativas menos lesivas para los derechos y libertades de los afectados. Según advierten las autoridades sanitarias, existe un porcentaje de personas que son asintomáticas y que, por tanto, no presentan altas temperaturas pero pueden contagiar, o personas que presentan altas temperaturas por causas ajenas al coronavirus, lo que pone en duda la eficacia de esta medida.

Es por ello necesario que las autoridades sanitarias se pronuncien sobre la pertinencia de estas medidas que están cada vez más presentes en nuestro día a día.  

Alina Nastasache
Consultora en Derecho TIC y Protección de Datos

En octubre del año 2018 y ante el imparable aumento de actividades financieras que involucran activos virtuales, el Grupo de Acción Financiera Internacional (GAFI) actualizó su Recomendación 15 sobre Nuevas Tecnologías para incorporar dentro de su ámbito de aplicación los activos virtuales y los servicios financieros relacionados.

Posteriormente, en junio de 2019, el GAFI adoptó formalmente el texto de la nueva Nota Interpretativa de la modificación de la Recomendación 15 para aclarar las indicaciones relacionadas con los activos virtuales. Junto a ésta publicó una actualización de la “Guía para un enfoque basado en el riesgo para los activos virtuales y los proveedores de servicios de activos virtuales”, basada en el documento de orientación que había publicado en 2015, con el fin de facilitar a países y proveedores de servicios de activos virtuales (PSAV) a comprender sus obligaciones en materia de en materia de prevención del blanqueo de capitales y de la financiación del terrorismo y a implementar de forma efectiva los requisitos que el GAFI aplica a este sector.

Así, el GAFI insta a los países a que regulen las actividades financieras que involucran activos virtuales y pone de manifiesto el riesgo que presentan respecto a la lucha contra el blanqueo de capitales y la financiación del terrorismo (PBC/FT, AML/CTF, por sus siglas en inglés).

¿Por qué las actividades financieras que involucran activos virtuales presentan riesgo de blanqueo de capitales y financiación del terrorismo?

Porque las actividades con activos virtuales facilitan, por sus características intrínsecas, un mayor anonimato y, por tanto, dificultan la identificación y verificación de la identidad del cliente, lo que las convierte en una herramienta idónea para ser utilizadas en actividades ilícitas. Como bien indica el GAFI en la mencionada Guía: “Los activos virtuales y los servicios financieros relacionados tienen el potencial de estimular la innovación financiera y la eficiencia y mejorar la inclusión financiera, pero también crean nuevas oportunidades para que delincuentes y terroristas blanqueen sus ganancias o financien sus actividades ilícitas”.

Por ello, al suponer mayores riesgos de blanqueo de capitales y de financiación del terrorismo, se precisa de la aplicación de medidas reforzadas de diligencia debida.

¿Cuáles son las recomendaciones del GAFI respecto a los activos virtuales?

En síntesis, el GAFI recomienda a los países que sigan las siguientes pautas: evaluar y mitigar los riesgos asociados con actividades relacionadas con activos virtuales; otorgar licencias o registrar proveedores de servicios relacionados y someterlos a supervisión o monitorización, implementar sanciones y otras medidas de cumplimiento cuando los proveedores de servicios relacionados fallen al cumplir con sus obligaciones en PBC/FT.

A continuación, analizaremos algunas de las recomendaciones más relevantes a efectos de prevención en relación con las actividades que involucran el uso de activos virtuales.

1. Evaluación y mitigación de los riesgos asociados a las actividades con activos virtuales

El GAFI insta a que los países apliquen un enfoque basado en el riesgo para garantizar que las medidas para luchar contra el blanqueo de capitales y la financiación del terrorismo sean proporcionales a los riesgos identificados en sus respectivas jurisdicciones.

Así mismo, se recomienda que los países creen políticas a corto y largo plazo, debido a que el sector de los activos virtuales se encuentra en continua evolución.

Además, deben exigir a los PSAV que identifiquen, evalúen y adopten medidas efectivas para mitigar los riesgos asociados con el suministro o la participación en actividades relacionadas con activos virtuales o con la oferta de productos o servicios asociados a los mismos.

2. Licencia o registro

Se debe exigir a los PSAV que, como mínimo, tengan licencia o estén registrados en las jurisdicciones donde se crean con el fin de poder realizar una supervisión efectiva de los mismos. Además, el GAFI apunta que las jurisdicciones anfitrionas puedan exigir este requisito de licencia o registro a los PSAV que operen desde su jurisdicción u ofrezcan productos y/o servicios a clientes dentro de la misma.

Se requiere la adopción de medidas adecuadas y la aplicación de las sanciones correspondientes en el caso de personas físicas o jurídicas que lleven a cabo operaciones de activos virtuales sin la licencia o registro.

No es preciso que un país imponga sistemas de registro independientes en el caso de las instituciones financieras previamente autorizadas o registradas, pues ya están sujetas a todas las obligaciones recomendadas por el GAFI.

3. Supervisión o Monitorización

Los PSAV deben estar sujetos a sistemas efectivos de supervisión y control para garantizar el cumplimiento de los requisitos nacionales sobre PBC/FT.

En este sentido, la autoridad de control de cada país llevará a cabo una supervisión desde un enfoque basado en el riesgo, y deberá contar con poderes suficientes para garantizar el cumplimiento por parte de los PSAV, con inclusión de un régimen inspector y sancionador disuasorio de índole civil, penal o administrativo aplicable a los mismos y a sus Órganos de administración y dirección.

4. Medidas preventivas

Los países y los sujetos obligados deben diseñar procesos que permitan el cumplimiento de sus obligaciones de Diligencia Debida para cumplir con las Recomendaciones del GAFI y sus legislaciones nacionales. La aplicación de medidas de diligencia debida permite la identificación y conocimiento del cliente, incluidos los beneficiarios de las transferencias, así como del titular real o beneficiario último con carácter previo al inicio de la relación de negocio o a la realización de cualesquiera operaciones.

Adicionalmente, los países han de incluir entre dichas medidas la obtención de información adicional sobre el cliente y el propósito e índole de la relación de negocio, así como la obtención de información sobre el origen de los fondos, la motivación de las transacciones previstas o realizadas y la realización de un seguimiento continuado de la relación de negocio.

Se establece un umbral cuantitativo a partir del cual los PSAV deberán aplicar medidas de diligencia debida para todo tipo de transacciones con activos virtuales, incluyendo transacciones ocasionales por encima de 1.000 EUR/USD.

Asimismo, son de aplicación otros requisitos como la verificación de inclusión en listas de sanciones y la aplicación de contramedidas financieras como la congelación y bloqueo de fondos y la prohibición de transacciones con las personas y entidades designadas.

Por el elevado nivel de riesgo que comportan las distintas formas de intercambio entre criptomonedas y dinero fiduciario o de curso legal y otros activos virtuales, así como los servicios de custodia  y/o administración que permiten su control, la participación y la prestación de servicios financieros asociados su comercio y otros riesgos inherentes a los mismos como el carácter pseudónimo o anónimo de las transacciones y los pagos recibidos de terceros no conocidos, el GAFI insta a los países a  adoptar medidas reforzadas de diligencia debida como:

1. comprobar la información aportada por el cliente relativa a su identidad, como el número de su documento de identidad, contrastándolo con bases de datos de terceros u otras fuentes fiables;
2. rastrear la dirección IP del cliente; y
3. buscar en Internet cualquier información complementaria que permita corroborar la coherencia de la actividad del cliente con su perfil de transaccional, respetando siempre la legislación aplicable en materia de protección de datos.

Otra importante medida preventiva es que los PSAV tengan sistemas de gestión de riesgos apropiados para determinar si los clientes o titulares reales son personas con responsabilidad pública (PRPs o PEPs) o familiares o allegados de las mismas y, si por lo tanto, se han de reforzar las medidas de diligencia debida.

Por otra parte, los países se deben asegurar de que los PSAV conserven todos los registros de transacciones y medidas de diligencia debida al menos durante cinco años, de tal manera que las transacciones individuales puedan ser reconstruidas quedando esta información a disposición las autoridades competentes. Estos registros incluirán, por ejemplo: información relacionada con la identificación de los intervinientes, las claves públicas y direcciones o cuentas empleadas (o identificadores equivalentes), naturaleza y fecha de las transacciones y cantidades transferidas.

5. Transparencia de las personas jurídicas

Al considerar que los PSAV pueden ser tanto personas físicas como personas jurídicas, se recuerda a los países que deben adoptar las medidas adecuadas para evitar el uso indebido de las mismas.

Además, se requiere que los países se aseguren de que los proveedores de servicios también evalúen y mitiguen sus riesgos de BC/FT e implementen la gama completa de medidas preventivas siguiendo las Recomendaciones del GAFI.

Por último, no hay que olvidar la necesaria coordinación con las autoridades pertinentes para garantizar la compatibilidad de los requisitos necesarios a efectos de PBC/FG con las normas de protección de datos, privacidad y disposiciones similares.  

El GAFI, en la Declaración pública sobre activos virtuales y proveedores relacionados de 21 de junio de 2019, hace un llamamiento a todos los países para que adopten medidas para la implementación de sus Recomendaciones en el contexto de las actividades relacionadas con los activos virtuales y reconoce que “la amenaza del uso delictivo y terrorista de los activos virtuales es grave y urgente”. Por ello, el GAFI ha informado que supervisará la implementación de los nuevos requisitos por parte de países y proveedores de servicios y realizará una revisión anual en junio de 2020.

En España, por el momento, la Autoridad competente (SEPBLAC o Banco de España) no se ha pronunciado sobre el Sector de las Criptomonedas o Activos Virtuales, ni se ha transpuesto la 5ª Directiva AML, cuyo plazo finalizaba el pasado 10 de enero de 2020 (art. 4 de la directiva) y que, si bien no incluye los Activos Virtuales, prevé la inclusión de los Exchagers o Plataformas de Cambio de Monedas Virtuales dentro del ámbito de aplicación de la Cuarta Directiva de Blanqueo 4AMLD.

La situación en la que nos encontramos actualmente respecto a este sector en España es que no se permite el Registro del Representante de Prevención de los Proveedores de Servicios de Monedas o Activos Virtuales, alegando que no se encuentran dentro del ámbito de aplicación de la Normativa Española de Blanqueo de Capitales (art. 2 de la Ley 10/2010 de Prevención de Blanqueo).

Podemos concluir que España tiene varias tareas pendientes en cuanto a la regulación de las criptomonedas: además de adoptar las medidas necesarias que incorporen las Recomendaciones del GAFI respecto a los Activos Virtuales, está obligada a modificar la normativa relativa al Blanqueo de Capitales para incluir dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales.

No obstante, si ya se preveía un retraso considerable para la modificación de dichas normas como venía siendo habitual, la crisis en la que nos encontramos provocada por la COVID-19 no hace sino aumentar la sensación de inseguridad ante el vacío legal existente en el sector. En estos momentos, se hace especialmente necesario un pronunciamiento al respecto de la Autoridad Competente.

Alina Nastasache y Gonzalo de la Cruz
DPO&itlaw, S.L.

Dentro de los aspectos que trata el RGPD en el capítulo V, el movimiento internacional de datos, es un supuesto que se está produciendo con más frecuencia de lo que pensamos en nuestra sociedad, motivado fundamentalmente por la frecuencia en la contratación por parte de las empresas de los servicios en la nube, el almacenamiento de archivos con empresas extranjeras como DROPBOX, GOOGLE DRIVE, así como los tradicionales servicios de hosting, correo electrónico y plataforma de comercio electrónico con empresas extranjeras que ofrecen servicios económicamente más rentables. Todo ello convierte a las transferencias internacionales de datos en un elemento clave para la correcta prestación de servicios en una sociedad globalizada.

En este sentido, conforme la normativa de protección de datos para realizar correctamente los movimientos internacionales es necesario que la transferencia se base en una decisión de adecuación (lista de países) o mediante garantías adecuadas, y si éstas no son posibles, se podría aplicar alguna de las excepciones previstas en el artículo 49 del RGPD.

Para analizar a fondo dichas excepciones, es necesario tener en cuenta tanto lo señalado en el RGPD, como lo establecido por las directrices del Comité Europeo de Protección de Datos. En este sentido, entendemos que, en ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia internacional de datos personales se podrá realizar a un tercer país o a una organización internacional solo bajo ciertas condiciones, garantizando un nivel de protección a las personas físicas. Entre las excepciones al principio general, tomando en cuenta lo mencionado en el artículo 49 del RGPD, tenemos:

1. el interesado da su consentimiento a la transferencia propuesta, para que sea válida:
   1. el consentimiento deberá ser específico para la transferencia de datos en particular o para un conjunto de transferencias
   2. el consentimiento debe ser informado, en particular sobre los posibles riesgos de la transferencia.
2. la transferencia sea necesaria para la ejecución de un contrato o para la ejecución de medidas precontractuales, se podrá aplicar cuando:
   1. Solo para transferencias que sean ocasionales, que no sean repetitivas y que sean necesarias, conexión estrecha y sustancial entre la transferencia y los propósitos del contrato.
      1. Prueba de necesidad: requiere una conexión estrecha y sustancial entre la transferencia de datos y los propósitos del contrato.
      2. Transferencias ocasionales: hay que determinar si es una transferencia es ocasional o no y que no ocurran regularmente dentro de una relación estable, puesto que se consideraría sistemática y repetida, por lo que excedería un carácter ocasional.
3. la transferencia sea necesaria para la celebración o ejecución de un contrato, será válida cuando:
   1. Necesidad de la transferencia de datos y la celebración del contrato, debe existir un vinculo estrecho y sustancial, las mismas deben ser ocasionales y no repetitivas.
4. la transferencia sea necesaria por razones importantes de interés público, se podrá invocar:
   1. Solo sobre interés púbicos reconocidos en el derecho de la unión o en el derecho del estado miembro.
   2. No aplica cuando se solicite la transferencia por una autoridad de un tercer país, deberá existir un acuerdo o tratado internacional.
   3. Por entidades privadas
5. la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, se puede aplicar:
   1. Reclamo legal, independientemente si se tratada de un procedimiento judicial, administrativo o extrajudicial, esto es solo para reclamos presentes no para posibles o futuros.
   2. Necesidad de la transferencia de datos, finalidad explícita y que sea ocasional y no repetitiva.
6. la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando:
   1. Los datos deben ser transferidos cuando el interesado, que está fuera de la UE necesita atención médica urgente y el exportador de datos debe proporcionar los mismos. Aplica también a la integridad física de una persona.
   2. Relacionado con el interés individual del interesado o con el interés de otra persona.
   3. El interesado no puede dar su consentimiento.
7. la transferencia se realice desde un registro público, siempre y cuando:
   1. El registro debe estar acorde con la legislación de la UE o de los estados miembros.
   2. Intención de proporcionar información al público, registro abierto al público o a cualquier persona que demuestre interés legítimo.
   3. No aplica a registro privados.
   4. No se puede incluir la totalidad de los datos personales
8. la transferencia es necesaria para los intereses legítimos imperiosos, si:
   1. No aplica ninguna de las excepciones del artículo 49.1 RGPD.
   2. Intereses legítimos convincentes, esenciales para el exportador de los datos.
   3. No repetitivo.
   4. Número limitado de interesados
   5. Equilibrio entre el interés legítimo imperioso y los derechos de los interesados.
   6. Aplicar salvaguardas para minimizar riesgos
   7. Informar a la AEPD y a los interesados.

Por último, en virtud de lo mencionado y teniendo en cuenta que existen varias excepciones en las que pueden ampararse las empresas para poder realizar movimientos internacionales de datos, es muy importante identificar el escenario y el contexto en las que se las va a realizar, existiendo particularidades en las que se puede aplicar cada una, lo que definirá cual es la aplicable a cada caso. Sin embargo, la excepción que suele utilizarse más es la relativa a las transferencias necesarias para la ejecución o celebración de un contrato, puesto que, en la mayoría de los casos, el movimiento internacional se va a realizar con el objetivo de cumplir con las obligaciones contraídas con el interesado. Un claro ejemplo lo tenemos en el movimiento internacional de datos que hace una agencia de viajes de sus clientes a los hoteles donde se van a hospedar, o en aquellos supuestos en los que el cliente solicita a un banco realizar un pago a una cuenta de otro banco en un país extranjero, siendo por tanto necesario en ambos casos transferir los datos del cliente a la empresa extranjera que prestará el servicio. Para que se apliquen correctamente estos supuestos, es necesario que las transferencias sean ocasionales y que exista una conexión estrecha y sustancial entre movimiento y los propósitos del contrato.

No debemos olvidar que, la utilización de las excepciones descritas anteriormente, solo podrán ser aplicadas ante la ausencia de los mecanismos incluidos en los artículos 45 y 46 del RGPD, las mismas son exenciones al principio general de transferencias, de que los datos personales solo pueden transferirse a terceros países si estos proporcionan un nivel adecuado de protección o si se han establecido salvaguardas apropiadas, esto permitirá a los interesados disfrutar de derechos efectivos y de garantías fundamentales.

Carlos Mogrovejo Riofrío

En este 5to Talk Fernando Ramos socio director de DPO IT Law nos hablará sobre una cuestión que todos cuestionamos, PRIVACIDAD. Las nuevas herramientas de trackeo de personas o medición de temperaturas alertan de la necesidad de también mantener nuestro anonimato. ¿Qué puede hacer Blockchain para solucionarlo?

Fernando María Ramos Suárez @fernandoramosTI es experto jurídico en privacidad y Blockchain quien ha asesorado a entidades como EUROPOL o European Comission entre otros.

Más de 3.500 personas se han inscrito a los NWC10Lab Talks cada jueves en el último mes.

Fecha: 14 may 2020 19:00h

Más Información: https://es.cointelegraph.com/news/spain-they-will-provide-an-online-talk-on-blockchain-and-privacy-organized-by-nwc10-lab

Inscripción:https://us02web.zoom.us/webinar/register/6415893163957/WN_Ix0_bLO1TWq_o2O9WF0ZQw

El pasado 6 de mayo de 2020 el Comité Europeo de Protección de Datos (EDPB por sus siglas en ingles) publicó la Guidelines 05/2020 en la que actualiza la Guidelines WP259 t rev.01 del 10 de abril de 2018 sobre el consentimiento online.

¿Qué novedades trae? A tenor de lo que dicen los expertos, el informe no aporta ninguna novedad relevante, solamente aclara algunas cuestiones sobre las formas de obtener el consentimiento del usuario al navegar por una página web y uno de sus criterio no es coincidente con el de nuestra Agencia Española de Protección de Datos (AEPD)

El informe confirma que el usuario, cuando ve aviso sobre las cookies, si continúa navegando por la web, no supone haber prestado su consentimiento. Se necesita una acción explícita de aceptación. La acción de desplazamiento o deslizamiento (scroll) por la página, hacer clic en un contenido de la página, o simplemente cerrar el aviso (el típico clic en X), no significa que la voluntad del usuario sea la de haber aceptado las cookies. Volveremos a ello después.

Un ejemplo para que la acción del consentimiento sea clara y afirmativa, sería indicar al usuario que “si desliza esta barra hacia la izquierda, acepta el uso de la información X para el propósito Y. Repita el movimiento para confirmar” (pág. 18, 85). De esta manera se consigue un consentimiento inequívoco del usuario.

Igualmente, aclara que las “cookie walls” (aquellas que expulsan al usuario de la web si no aceptan las cookies) son ilegales, pues este tipo de mecanismo supone que el consentimiento obtenido de esta manera no puede considerarse otorgado libremente. Esta práctica tampoco permite la retirada del consentimiento y, en opinión de la EDPB, no debe utilizarse.

En noviembre de 2019, la AEPD publicó la “Guía sobre el uso de las cookies”. Sobre el asunto manifiesta que “A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación” (pág. 21). Es decir, la AEPD establecía un criterio contrario al publicado por la EDPB y, además, no coincidente con el fallo de la Sentencia del Tribunal Superior de Justicia de la Unión Europea (Gran Sala), de 1 de octubre de 2019, en el asunto C-673/17 (caso Planet49 GmbH) al declarar, entre otras cuestiones, que la exigencia de una “manifestación” de voluntad del interesado sugiere claramente un comportamiento activo y no pasivo; es decir, que el consentimiento haya sido dado “de forma inequívoca” por el interesado.

A fecha de redactar estas breves líneas, la AEPD todavía no había publicado en su página web referencia alguna a la publicación de la “Guidelines 05/2020” de la EDPB. ¿Lo publicará a la vez que modifique su criterio?

Redacción DPO&itlaw