AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA

Desde el pasado 1 de marzo de 2016 ha entrado en vigor la autorización del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) para el uso de la videoconferencia como procedimiento de identificación de clientes.

Las nuevas tecnologías deben facilitar el trabajo y además ahorrar costes. Es por ello que nuestra legislación en materia de prevención del blanqueo de capitales y de la financiación del terrorismo (tanto la Ley 10/2010, como su Reglamento desarrollador) apuestan por ellas.

Partiendo de esta premisa y dando debido cumplimiento a lo dispuesto en el artículo 21.1 d) del Reglamento de la Ley 10/2010, se establecen en la autorización del SEPBLAC los parámetros bajo los cuales los sujetos obligados podrán utilizar la videoconferencia para identificar a aquellos de sus clientes a los que no puedan identificar presencialmente.

En su introducción, esta última autorización mediante videoconferencia liga la innovación tecnológica con el sector financiero, pero se indica que se autoriza a los sujetos obligados sin detallar a cuáles, por lo que debemos entender que deben ser todos.

Esta autorización viene a completar la de 22 de mayo de 2015 sobre procedimiento de identificaciones no presenciales -en vigor desde el pasado 1 de junio de 2015- ideada sólo para entidades participantes del Sistema Nacional de Compensación Electrónica.

 ¿Qué debe tener en cuenta el sujeto obligado que opte por la videoconferencia para identificar a sus clientes?

– Con carácter previo:

-Solicitar los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.

-Realizar el análisis de riesgo del cliente.

-Se debe documentar el procedimiento que se va a llevar a cabo para la videoconferencia y probar la eficacia, anotando por escrito los resultados. Si las pruebas no acreditan la eficacia, se deberá desistir de este procedimiento de identificación.

-Deberá implantar requerimientos técnicos idóneos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.

-La identificación deberá gestionarse por personal con formación específica.

-Verificar que el cliente no está sometido a sanciones o contramedidas financieras internacionales.

– Durante la videoconferencia:

-Deberá quedar constancia de la fecha y hora de la grabación y conservarla por un período mínimo de 10 años.

-El cliente debe consentir expresamente la grabación, con carácter previo o en el curso de la misma. Evidentemente, se le deberá informar, conforme al artículo 5 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) de:

-La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

-El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

-Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

-La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

-La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

-Adoptar medidas de seguridad que acrediten la privacidad de la conversación mantenida con el cliente. En este sentido también será de aplicación lo dispuesto al respecto en la LOPD.

-El cliente deberá mostrar los documentos fehacientes en su anverso y reverso.

-Deberá obtener y conservar (durante un período mínimo de 10 años) fotografía o instantánea del documento de identificación, tanto anverso como reverso, y que éste reúna condiciones de calidad y nitidez para posibles futuras investigaciones o análisis.

Evidentemente, no podrá completarse el proceso de identificación en el caso de que:

-Existan indicios de falsedad o manipulación del documento de identificación.

-Existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación.

-Las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.

– Otras consideraciones:

La videoconferencia podrá ser externalizada, si bien la responsabilidad será del sujeto obligado. En este sentido se deberá cumplir con los requisitos del artículo 12 de la LOPD, y el artículo 20 de su Reglamento (RD 1720/2007) si la externalización implica acceso a datos de carácter personal. Este tercero será considerado encargado del tratamiento y, por tanto, deberá suscribirse un contrato de protección de datos entre el sujeto obligado (responsable del fichero) y el tercero contratado para la videoconferencia (encargado del tratamiento). En este contrato se establecerá que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Asimismo, se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

En sus informes, el experto externo deberá pronunciarse sobre la eficacia y adecuación operativa del sistema de videoconferencia implantado por el sujeto obligado, así como de la formación recibida por los empleados para identificar por estos medios a los clientes.

 VICTOR-2 

Víctor ALTIMIRA, Socio-Abogado y Presidente de INBLAC  (Instituto de Expertos en Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo).

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.