Modificaciones a la Ley 10/2010 introducidas por la Ley 18/2022 de creación y crecimiento de empresas

Silvia de Andrés. Miembro de la Subcomisión de Prevención del Blanqueo de Capitales del Consejo General de la Abogacía Española. Financiera El Corte Inglés, E.F.C., S.A.

La Disposición Final segunda de la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas ha modificado, entre otras, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Uno de los aspectos más relevante de la reforma, al que nos referiremos seguidamente, ya fue anticipado en el anteproyecto de ley de modificación de la Ley 10/2010, analizado en este blog en 2010 (Anteproyecto de Ley de modificación de la Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo. ¿Qué cabe esperar?), que pretendía transponer al ordenamiento jurídico español la Quinta Directiva en materia de prevención del blanqueo de capitales y la financiación del terrorismo (Directiva 2018/843/UE, del Parlamento Europeo y del Consejo), así como incluir otras modificaciones y mejoras puntuales establecidas por el Grupo de Acción Financiera (GAFI) o fruto del diagnóstico de las autoridades de aplicación de la Ley 10/2010, y que nunca llegó a ver la luz. Finalmente, la Quinta Directiva fue transpuesta mediante el Real Decreto-ley 7/2021 (véase a este respecto el artículo de este blog Transposición de la quinta directiva de prevención del blanqueo de capitales y la financiación del terrorismo: el final de una larga espera).

A continuación, se resumen las principales claves de la modificación de la Ley 10/2010 operada por la Ley 18/2022:

1. Posibilidad de crear sistemas comunes de información sobre diligencia debida

Tal y como se preveía en el citado anteproyecto de ley, los sujetos obligados pertenecientes a una misma categoría podrán crear sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada para el cumplimiento de las obligaciones de diligencia debida, con excepción de la relacionadas con el seguimiento continuo de la relación de negocios, previa comunicación a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias con, al menos, sesenta días de antelación a su puesta en funcionamiento.

Esta, probablemente sea una de las novedades de mayor calado para los sujetos obligados, en la medida en que facilitará enormemente la operativa en el cumplimiento de las medidas de diligencia debida, máxime cuando se prevé la posibilidad de encomendar el mantenimiento de estos sistemas comunes a un tercero, aun cuando no tenga la condición de sujeto obligado.

Incluso se prevé la articulación de sistemas comunes en que participen varias categorías de sujetos obligados, delimitándose dichas categorías y la información que podrá ser compartida.

Eso sí, el acceso a la información estará sujeto a límites:

• Los sujetos obligados solo podrán acceder a la información facilitada por otro sujeto obligado en los supuestos en que la persona a la que se refieran los datos sea su cliente o el acceso a la información sea necesario para el cumplimiento de las obligaciones de identificación previas al establecimiento de la relación de negocios.
  En tal caso, los sujetos obligados únicamente podrán acceder a los datos necesarios, sin que se indique cuáles son. Ello causará, sin duda, problemas de aplicación práctica.
• Los interesados deberán ser informados acerca de la comunicación de los datos al sistema, así como del acceso que pretendiese llevarse a cabo con carácter previo a que el mismo se produzca. Esto deberá ser tenido en cuenta por los sujetos obligados que hagan uso de estos sistemas comunes en sus canales de comercialización de productos y servicios y alta de clientes, tanto online como presenciales.
• Los datos obtenidos solo podrán ser utilizados para el cumplimiento de las obligaciones de diligencia debida. En consecuencia, no cabe su uso para fines comerciales o de cualquier otra índole.

El sujeto obligado que haya facilitado los datos al sistema responderá de su exactitud y actualización, en los términos establecidos en el Reglamento General de Protección de Dados y, si detecta que dichos datos no son correctos o están desactualizados, deberá comunicarlo al sistema para su subsanación.

2. Se amplía a las entidades de pago y a las entidades de dinero electrónico la exclusión total o parcial de la aplicación de la Ley 10/2010, ya prevista en el artículo 2.3 de la misma para juegos de azar, siempre que presenten un bajo riesgo de blanqueo de capitales y de financiación del terrorismo.

Sin perjuicio de que deba esperarse a la vía reglamentaria para que esta posibilidad pueda materializarse, es buena noticia que el legislador abra esta vía a más colectivos en lugar de continuar ampliando el catálogo de sujetos obligados, como ha venido siendo la tónica habitual de los últimos años.

No obstante, nótese que, hasta ahora, el artículo 3 del reglamento de desarrollo de la Ley 10/2010 (Real Decreto 304/2014, de 5 de mayo) únicamente ha excluido de la aplicación de dicha ley a la actividad de cambio de moneda extranjera realizada con carácter accesorio a la actividad principal del titular que cumpla determinados requisitos, así como actos notariales y registrales que carezcan de contenido económico o patrimonial o no sean relevantes a efectos de PBCFT.

3. Relaciones no presenciales

En línea con lo previsto en el anteproyecto de ley referido al comienzo de este artículo, se establece que la identidad del cliente debe quedar acreditada mediante la firma electrónica cualificada regulada en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (el texto anterior de la Ley 10/2010 únicamente se refería a la firma electrónica sin mayor concreción).

En tal caso, no se requiere que el sujeto obligado obtenga copia del documento de identidad del cliente, pero sí deberá conservar los datos de identificación que justifiquen la validez del procedimiento utilizado.

Si la firma no es cualificada, se deberá obtener copia del documento de identidad en el plazo de un mes como en cualquier otra relación no presencial.

Asimismo se aclara, en relación con los intercambios de información entre sujetos obligados y ficheros centralizados de prevención del fraude previstos en el artículo 33 de la Ley 10/2010, que el tratamiento de los datos personales de los interesados no requiere el consentimiento del interesado, ni tampoco cumplir la obligación de información del artículo 14.5 del Reglamento General de Protección de Datos, así como atender los derechos de los artículos 15 a 22 del citado Reglamento.