AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA

Desde el pasado 1 de marzo de 2016 ha entrado en vigor la autorización del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) para el uso de la videoconferencia como procedimiento de identificación de clientes.

Las nuevas tecnologías deben facilitar el trabajo y además ahorrar costes. Es por ello que nuestra legislación en materia de prevención del blanqueo de capitales y de la financiación del terrorismo (tanto la Ley 10/2010, como su Reglamento desarrollador) apuestan por ellas.

Partiendo de esta premisa y dando debido cumplimiento a lo dispuesto en el artículo 21.1 d) del Reglamento de la Ley 10/2010, se establecen en la autorización del SEPBLAC los parámetros bajo los cuales los sujetos obligados podrán utilizar la videoconferencia para identificar a aquellos de sus clientes a los que no puedan identificar presencialmente.

En su introducción, esta última autorización mediante videoconferencia liga la innovación tecnológica con el sector financiero, pero se indica que se autoriza a los sujetos obligados sin detallar a cuáles, por lo que debemos entender que deben ser todos.

Esta autorización viene a completar la de 22 de mayo de 2015 sobre procedimiento de identificaciones no presenciales -en vigor desde el pasado 1 de junio de 2015- ideada sólo para entidades participantes del Sistema Nacional de Compensación Electrónica.

 ¿Qué debe tener en cuenta el sujeto obligado que opte por la videoconferencia para identificar a sus clientes?

– Con carácter previo:

-Solicitar los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.

-Realizar el análisis de riesgo del cliente.

-Se debe documentar el procedimiento que se va a llevar a cabo para la videoconferencia y probar la eficacia, anotando por escrito los resultados. Si las pruebas no acreditan la eficacia, se deberá desistir de este procedimiento de identificación.

-Deberá implantar requerimientos técnicos idóneos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.

-La identificación deberá gestionarse por personal con formación específica.

-Verificar que el cliente no está sometido a sanciones o contramedidas financieras internacionales.

– Durante la videoconferencia:

-Deberá quedar constancia de la fecha y hora de la grabación y conservarla por un período mínimo de 10 años.

-El cliente debe consentir expresamente la grabación, con carácter previo o en el curso de la misma. Evidentemente, se le deberá informar, conforme al artículo 5 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) de:

-La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

-El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

-Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

-La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

-La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

-Adoptar medidas de seguridad que acrediten la privacidad de la conversación mantenida con el cliente. En este sentido también será de aplicación lo dispuesto al respecto en la LOPD.

-El cliente deberá mostrar los documentos fehacientes en su anverso y reverso.

-Deberá obtener y conservar (durante un período mínimo de 10 años) fotografía o instantánea del documento de identificación, tanto anverso como reverso, y que éste reúna condiciones de calidad y nitidez para posibles futuras investigaciones o análisis.

Evidentemente, no podrá completarse el proceso de identificación en el caso de que:

-Existan indicios de falsedad o manipulación del documento de identificación.

-Existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación.

-Las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.

– Otras consideraciones:

La videoconferencia podrá ser externalizada, si bien la responsabilidad será del sujeto obligado. En este sentido se deberá cumplir con los requisitos del artículo 12 de la LOPD, y el artículo 20 de su Reglamento (RD 1720/2007) si la externalización implica acceso a datos de carácter personal. Este tercero será considerado encargado del tratamiento y, por tanto, deberá suscribirse un contrato de protección de datos entre el sujeto obligado (responsable del fichero) y el tercero contratado para la videoconferencia (encargado del tratamiento). En este contrato se establecerá que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Asimismo, se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

En sus informes, el experto externo deberá pronunciarse sobre la eficacia y adecuación operativa del sistema de videoconferencia implantado por el sujeto obligado, así como de la formación recibida por los empleados para identificar por estos medios a los clientes.

 VICTOR-2 

Víctor ALTIMIRA, Socio-Abogado y Presidente de INBLAC  (Instituto de Expertos en Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo).

DESPACHOS PROFESIONALES Y REDES SOCIALES

El miércoles 6 de abril, nuestros socios Irene López y Víctor Altimira impartirán una conferencia en el Col·legi de Censors Jurats de Comptes de Catalunya, bajo el título:

“El despacho profesional en las redes sociales”

1.- Evolución y momento de “dar el salto” a las redes sociales.

2.- Ventajas de la presencia del despacho en el entorno digital.

3.- Reputación online: el despacho y sus profesionales.

4.- Aspectos legales: propiedad intelectual e industrial, protección de datos de carácter personal, derechos de imagen y LSSI.

5.- Políticas de uso de las redes sociales.

6.- Pautas de estilo y gestión de las diferentes redes sociales: Twitter, Linkedin, Facebook…

7.- Define tu estrategia digital.

8.- Cómo gestionar una crisis 2.0

Link de la convocatoria del CCJCC. Reserva tu plaza.

 

 

GOOGLE ESPAÑA NO ES RESPONSABLE DEL “DERECHO AL OLVIDO”

El Tribunal Supremo (TS) ha dictaminado que Google España no es responsable del “derecho al olvido ya que sólo Google Inc. –Estados Unidos es responsable del tratamiento en cuanto le corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos en cuestión.

Así lo ha establecido el alto tribunal en una sentencia en la que determina que corresponde al responsable del tratamiento de los datos personales “garantizar que el tratamiento de los datos se ajusta a los principios y condiciones de la normativa reguladora y asumir las correspondientes obligaciones al respecto frente al interesado.

De este modo, el TS considera que ha lugar al recurso de casación interpuesto por Google España contra la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional del 29 de diciembre de 2014, que avalaba la resolución del director de la Agencia Española de Protección de Datos (AEPD) de 13 de diciembre de 2011, en la que estima la reclamación formulada por José Carlos Fernández-Villaverde Silva contra la compañía.

La AEPD instaba a dicha entidad, como representante en España de la compañía estadounidense del sitio web www.blogspot.com, para que adoptase y realizase “las gestiones necesarias en orden a la exclusión de los datos personales del interesado contenidos en los blogs objeto de la presente tutela de derechos“. El Tribunal Supremo ha declarado la nulidad de las resoluciones de la AEPD argumentando que es el gestor del motor de búsqueda -en este caso Google Inc. Estados Unidos– quien determina los fines y los medios de esta actividad y, por lo tanto, el responsable del tratamiento.

Nota informativa publicada por la Agencia Española de Protección de Datos en su sitio web en referencia a esta noticia:

 “En relación con la sentencia del Tribunal Supremo que clarifica ante quién deben dirigirse las peticiones de “derecho al olvido”, la AEPD recuerda que la forma en la que los ciudadanos pueden ejercer este derecho frente a Google se mantiene intacta.

La Sala Tercera del Tribunal Supremo ha hecho pública una sentencia en la que clarifica ante quién deben dirigirse las peticiones de “derecho al olvido”.

La forma en la que los ciudadanos pueden ejercer su “derecho al olvido” frente a Google se mantiene intacta. Los usuarios pueden seguir dirigiéndose a Google, por ejemplo, a través del formulario que la compañía mantiene habilitado en español desde el 30 de mayo de 2014. Del mismo modo, si Google deniega la solicitud del interesado o éste no estuviera conforme con la decisión de la compañía, podrá seguir solicitando la tutela de la Agencia en los mismos términos en que podía hacerlo hasta ahora.

En todo caso, es necesario subrayar que la sentencia no supone que los interesados no puedan ejercer sus derechos conforme a lo previsto en la LOPD ni que deje de aplicarse la Ley española. Tampoco modifica los principios y criterios de ponderación que estableció el TJUE en su sentencia, sino que aclara que el destinatario de las solicitudes deberá ser Google Inc.

La Agencia informa de que los ciudadanos afectados directamente por la anulación de las sentencias de la Audiencia Nacional pueden garantizar su derecho del siguiente modo:

– Comprobando, en primer término, si Google ha vuelto a indexar los enlaces. En caso afirmativo, solicitando el ejercicio de su ‘derecho al olvido’ a través del formulario que la compañía tiene habilitado.

– Si la entidad no responde a la petición realizada o el ciudadano considera que la respuesta que recibe no es la adecuada, puede seguir solicitando la tutela de la Agencia Española de Protección de Datos frente a Google.”

MEJORAS EN EL “DERECHO AL OLVIDO” EN GOOGLE

Google evitará mostrar los resultados excluidos a cualquier usuario, que acceda desde un país europeo, usando tecnología de geolocalización.

Los links ya habían dejado de mostrarse simultáneamente en las versiones europeas de Google (google.es, google.fr, google.co.uk, etc.); ahora además (y basándose en la dirección IP y otros elementos) Google utilizará además tecnología de geolocalización para determinar dónde se ubican sus usuarios, y evitar así mostrar los resultados cuestionados también en el resto de dominios pertenecientes a Google, pero siempre que el acceso se realice en el ámbito geográfico europeo: quiénes se encuentren fuera del mismo podrán seguir accediendo sin problemas a los resultados “sin olvido”. Este cambio se llevará a cabo de modo retroactivo.

Ahora, con esta variación, Google respetará la normativa europea al mismo tiempo que garantizará que sus usuarios puedan acceder a toda la información legalmente disponible en la zona en que se hallen en cada momento.

Fuentes de Google indican que:

“Creemos que esta capa adicional de exclusión nos permite proporcionar las mejoras que los reguladores europeos nos exigen, al mismo tiempo que defendemos los derechos de las personas de otros países para acceder a la información publicada legalmente. Desde mayo de 2014 hemos trabajado duro para encontrar un equilibrio justo en la implementación del fallo de las autoridades europeas. A pesar de los desacuerdos ocasionales, hemos mantenido el diálogo y la colaboración con las autoridades de protección de datos. Y estamos comprometidos a continuar trabajando de esta manera”.

HACER DE “MULA” NO MOLA Y, ADEMÁS, ES UN DELITO.

Como dicta el sentido común, nadie regala nada por nada, y menos sin esfuerzo y a un desconocido.

Los caminos para blanquear dinero, de origen ilegal, a menudo se transitan utilizando  “mulas”.

¿Y qué se entiende por una “mula” en el ámbito de blanqueo de capitales?. Una “mula” es alguien que transfiere -generalmente a otros países- dinero de origen ilegal, que él recibe previamente de un tercero en su cuenta corriente, a cambio de una comisión por hacerlo (le ingresan, p.e, 3.000€, para que él transfiera 2.910€, con lo que obtiene una ganancia -“sin ningún esfuerzo”- de 90€).

¿Y cómo contacta este tercero con la posible “mula”?. Generalmente vía e-mail, con mensajes en grupos cerrados de redes sociales, por WhatsApp y otras aplicaciones de mensajería instantánea, y casi siempre con apariencia de “ofertas de trabajo” (incluso “copiando” el sitio web de una empresa real, con una dirección URL parecida a ésta).

¿Quiénes son los “candidatos preferidos a muleros” que buscan estas organizaciones criminales?. Preferentemente personas recién llegadas a un país, desempleados, estudiantes y personas con dificultades económicas, con una franja de edad de 18 a 34 años y, preferentemente, hombres.

Desconfía si:

  • Recibes comunicaciones de desconocidos con la promesa de “dinero fácil”.
  • Recibes ofertas de trabajo con salarios elevados, sin tener que dedicar demasiado esfuerzo, y en los que no se necesita ni experiencia ni cualificación profesional ni académica.
  • Son ofertas de trabajo que no describen qué es lo que vas a tener que hacer, pero sí que debes tener y utilizar una cuenta bancaria; y que buscan “agentes locales” para que actúen en su nombre.
  • El contacto con este “empleador” es siempre vía “on line”.
  • Generalmente, el redactado de las comunicaciones es incorrecto gramatical y ortográficamente.

Ante estas posibles situaciones… ¿qué hacer?.

  • No contestes ni hagas “clic” en ningún link.
  • Trata de informarte de la empresa que ofrece este “trabajo”.
  • Jamás des los datos de tu cuenta corriente, salvo a conocidos o a personas de confianza.

Si, pese a todo, crees que te están utilizando como “mula”, contacta con tu banco, haz la denuncia y deja de transferir dinero inmediatamente.

CERTIFICADO DE DELITOS DE NATURALEZA SEXUAL

El 1 de marzo de 2016 entró en vigor el Registro Central de Delincuentes Sexuales regulado a través del Real Decreto 1110/2015, de 11 de diciembre.

El Registro se crea sobre la base del derecho fundamental del menor a que su interés superior sea prioritario, de conformidad con las normas nacionales y supranacionales, y para desarrollar un sistema para conocer si quienes pretenden acceder y ejercer profesiones, oficios y actividades que impliquen un contacto habitual con menores carecen de condenas y facilitar la investigación e identificación de los autores de delitos contra la libertad e indemnidad sexuales. En este Registro se recogen los datos de identidad (incluido el registro de ADN) y procesales de personas condenadas por este tipo de delitos.

Así, los condenados en España y en otros países por delitos contra la libertad e indemnidad sexuales y trata de seres humanos con fines de explotación sexual, incluida la pornografía, con independencia de la edad de la víctima no podrán realizar actividades, trabajos o voluntariado en los que estén en contacto con menores.

Todo aquel cuya profesión o actividad implique contacto habitual con menores deberá presentar un Certificado de Delitos de Naturaleza Sexual. Si el solicitante no es de nacionalidad española, además de este certificado (que solicitará al Registro Central de Delitos Sexuales) deberá obtener un certificado de su país de nacionalidad.

Anteriormente no existía este Registro y se debía facilitar el certificado de antecedentes penales, pero se entendía que invadía en cierta medida la privacidad de las personas solicitantes, ya que en él podían aparecer condenas de otros delitos que no implicaban ningún impedimento para el desarrollo de su profesión.

Como hemos avanzado, lo deberán de presentar personas en contacto habitual con menores, según la normativa de protección del menor y demás informes (entre ellos el 0401/2015 de la Agencia Española de Protección de Datos –AEPD-) siempre que la profesión en sí misma implique, por su propia naturaleza y esencia, un contacto habitual con menores, teniéndoles por ejemplo como destinatarios prioritarios de los servicios prestados, por ser -por ejemplo- servicios específicamente destinados a menores. Por lo tanto, las personas que trabajen o vayan a trabajar como educadores, profesionales de servicios de pediatría, catequistas, canguros, monitores de tiempo libre, técnicos de actividades deportivas, voluntarios de ONG’s, y puede que hasta los empleados y empleadas de hogar, deberán de presentar dicho Certificado; a expensas de mayor concreción por vía reglamentaria.

La solicitud de este Certificado de Delitos de Naturaleza Sexual será gratuita y se hará, preferentemente, por medios electrónicos con certificado electrónico en la Sede Electrónica del Ministerio de Justicia, de forma presencial o por correo postal. Si se quiere solicitar de forma presencial o por correo electrónico se deberá cumplimentar un formulario en las Gerencias Territoriales del Ministerio de Justicia y se deberá aportar original o fotocopia compulsada del DNI, Tarjeta de Residencia, Pasaporte, Carnet de conducir o documento de identificación comunitario o equivalente, en vigor, siempre que el documento presentado permita identificarlo fehacientemente.

Existe la posibilidad de que un representante solicite el certificado; pero éste -además de acreditar su identidad- deberá aportar:

-Original o fotocopia compulsada del documento de identificación en vigor del representado.

-Original o fotocopia compulsada del documento que acredite la representación por cualquier medio válido en derecho que deje constancia fidedigna de la misma (documento público autorizado por notario, documento privado con firmas legitimadas por notario o documento privado, otorgado en comparecencia personal del interesado ante empleado público, que hará constar esta circunstancia mediante diligencia).

Ahora bien, si el profesional trabaja para un órgano de la Administración Pública (por ejemplo, Consellería d’Educació) se podrá tener acceso al Registro Central de Delincuentes Sexuales mediante la plataforma de mediación de datos que permite comunicarse a las diferentes Administraciones, siempre y cuando previamente hayan recabado el consentimiento del interesado (según el artículo 9.2 de la Ley 1110/2015).

 En relación al cumplimiento de la normativa vigente de protección de datos personales, advertimos de la necesidad de que las empresas y administraciones que soliciten este certificado a sus trabajadores deberán revisar sus ficheros inscritos en la AEPD, o autoridad de protección de datos autonómica, con el fin de adecuarlos a la nueva tipología de datos; también de la necesidad de legitimación de los mismos; y de la aplicación de las medidas de seguridad de nivel básico y medio a los ficheros automatizados o no automatizados que incluyan dicha información, en aplicación del artículo  81.2 a) del RLOPD.

SONIA-5  Sonia Gracia – Abogada

HERENCIA DIGITAL

Se calcula que, cada minuto, mueren 3 usuarios de Facebook. Casi dos millones al año. Usuarios que habían colgado en la red fotos, datos, escritos, vivencias…

Regular toda esta información -no solo de Facebook, ni de los usuarios que van falleciendo- se plantea como una cuestión de interés general. Y parece ser que Francia va a ser la primera “en poner orden” en la red con la aprobación (el texto está pendiente de la tramitación del Senado y entrará en vigor en primavera) de un ley para una República Digital que aspira a cubrir algunos de los vacíos legales, (ya que en un sector en constante evolución es imposible cubrir todos los frentes) estableciendo nuevos derechos digitales como, por ejemplo, el “derecho a la muerte digital” para poder permitir a todos los individuos “organizar, en vida, las condiciones de conservación y de comunicación de sus datos personales después de su muerte”, designando a la persona que se ocupará de gestionar su herencia digital, una especie de albacea con autorización para acceder a las cuentas y eliminar o mantener las que deseara el interesado, así como la forma de comunicar su muerte. Este albacea puede ser una persona ajena a la familia, pero los herederos podrán tener acceso a los datos relacionados con la sucesión. Si no se ha nombrado a este administrador del patrimonio virtual, serán los familiares más directos quienes decidan qué hacer con los contenidos de las redes sociales. Se trata de una iniciativa pionera en Europa.

En la actualidad, las distintas redes sociales ofrecen su propia solución funeraria para dar de baja al usuario tras su muerte, acreditando el parentesco o una relación directa, acompañado del certificado de defunción. Facebook o Google también han puesto en marcha la creación de la figura del heredero digital. Tras un período de tiempo, la cuenta desaparece de las pantallas, pero los datos que contiene quedan almacenados. Técnicamente pertenecen a la plataforma.

La ley francesa regula también el controvertido “derecho al olvido” en la red para los menores de edad. La medida tiene en cuenta que los jóvenes, masivamente presentes en las redes sociales, no son siempre conscientes de los riesgos a los que se exponen.