“CÁPSULAS DE CONOCIMIENTO”: NUEVO FORMATO DE COMUNICACIÓN-INFORMACIÓN-FORMACIÓN

El pasado 26 de mayo nuestra socia Irene López se “estrenó” -de la mano de ACEDE- en un nuevo formato de comunicación-información-formación:

“Las cápsulas de conocimiento”

IMG_20160530_111029

en el que, contando con un auditorio reducido, pero verdaderamente interesado en la temática, aprovecha la “proximidad física” para establecer una relación muy directa entre el ponente y los asistentes.

Su “cápsula de conocimiento” versó sobre:  “¿Cómo hacer efectiva la protección de datos personales en tu empresa? y el nuevo Reglamento europeo de protección de datos” y debemos destacar que el feedback acontecido fue de lo más interesante, productivo y resolutivo.

Un formato a repetir.

12 PREGUNTAS…. 12 RESPUESTAS (SOBRE EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS)

El Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2016; y, como toda novedad, genera preguntas.

12 de ellas se las ha planteado la propia Agencia Española de Protección  de Datos, proporcionando a su vez las respuestas, para facilitar la comprensión del nuevo marco normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.

3. ¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

 5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

 6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

 7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

 – Protección de datos desde el diseño

– Protección de datos por defecto

– Medidas de seguridad

– Mantenimiento de un registro de tratamientos

– Realización de evaluaciones de impacto sobre la protección de datos

– Nombramiento de un delegado de protección de datos

– Notificación de violaciones de la seguridad de los datos

– Promoción de códigos de conducta y esquemas de certificación.

8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

9. ¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

10. ¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

11. ¿En qué consiste el sistema de “ventanilla única”?

Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en  lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.

12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.

Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.

Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.

En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.

¿POR QUÉ NO HAY NORTEAMERICANOS EN LOS PAPELES DE PANAMÁ?

Los especialistas sostienen que Estados Unidos se ha convertido en una de los principales destinos offshore en tierra firme. Le llaman la nueva Suiza.

Uno de los hechos menos conocidos, y que la trama panameña ha ayudado a poner sobre el tapete como un daño colateral, es que la gran industria offshore -fuera de las costas- se halla, de facto, onshore, en el interior. Según el sitio web South Dakota Trust Company (una de la más activas en la captación de dinero, de donde sea) “muchas de las jurisdicciones fuera de costas son menos atractivas para las familias internacionales que pretenden el secreto y, en consecuencia, la estabilidad de EE.UU., combinado con las leyes de fideicomiso o confianza pueden ofrecer más garantías que los servicios offshore basados en países menos poderosos”.

El estado de Dakota del Sur ya inició su eclosión en este sector al eliminar los impuestos personales o corporativos y con estrictas regulaciones para proteger y acorazar los activos, y que ahora compite para la captación de cuentas, con Nevada, Delaware, Alaska o Nueva York. Cuáles son los puntos de interés: un conjunto de capacidades, entre otras, la garantía del secreto, la minimización de impuestos, la gestión de los bienes y la provisión al cliente de que podrá acceder a sus cuentas en cualquier lugar del mundo.

Tax Justice Network, organización que entre otros asuntos  también se dedica a combatir a los evasores, sitúa a Estados Unidos en tercer lugar a nivel mundial entre los paraísos fiscales, sólo por detrás de Suiza y Hong Kong y por delante de las islas Cayman y Luxemburgo.

Estados Unidos aparece como un atractivo paraíso fiscal, porque no ha firmado las regulaciones globales que fuerzan a las compañías anónimas a desvelar los nombres de los verdaderos propietarios; son más indulgentes y seguros como escondite de dinero. En el estado de Delaware, por ejemplo, se puede registrar una sociedad instrumental, con testaferros al frente, sin ningún tipo de identificación y sin especificar al titular real de la misma. El celo de la IRS (agencia tributaria) se centra en perseguir a los evasores nacionales de puertas afuera y a la continua exigencia de Washington en vigilar la huida al exterior.

 “Estados Unidos presiona a otros países para que establezcan regulaciones, pero le responden que, en primer lugar, los estadounidenses deberían poner orden en su propia casa”.

ATAQUE HACKER AL SINDICATO DE MOSSOS D’ESQUADRA

La madrugada del pasado 18 de mayo, unos piratas informáticos lanzaron un ataque contra el Sindicat de Mossos d’Esquadra (SME), accediendo a su base de datos y filtrando los datos personales de todos los Mossos d’Esquadra afiliados a este sindicato (casi 5.000) así como tomando el control de la cuenta oficial de Twitter del sindicato y de su sitio web. Y fue por medio de un tweet como se facilitó un archivo con los nombres, apellidos, nº de NIF y de miembro del cuerpo, cuenta bancaria, teléfono personal y dirección particular, entre otros datos personales.

Un día después, el grupo de hackers denominado GrammaGroupPR reivindicó el ataque y colgó un vídeo con todos los pasos que realizaron para infiltrarse en el servidor del sindicato. Por el vídeo que colgaron en YouTube, y en otras plataformas, los piratas informáticos tardaron 40 minutos exactos en infiltrarse en la red y capturar los datos personales de los 5.540 agentes.

Y lo que temían los Mossos d’Esquadra afectados se cumplió tan solo un día después: a una de las agentes le desaparecieron 5.000€ de su cuenta bancaria (dato filtrado y difundido después del ataque en la red). Ahora, la Unidad de Delitos Informáticos de los Mossos d’Esquadra investigará cómo se ha cometido la sustracción, y por quien: si por los mismos hackers que atacaron el sistema del sindicato o bien ha sido obra de alguna persona que aprovechó los datos gracias a la filtración.

VÍCTOR ALTIMIRA – INBLAC (CURSO PRÁCTICO DE ACTUALIZACIÓN)

Nuestro socio Víctor Altimira, a su vez Presidente de INBLAC, participará en Madrid el próximo día 16 de Junio en una jornada en el que se impartirá un “Curso Práctico de Actualización” en materia de prevención de blanqueo de capitales y financiación del terrorismo.

Programa-inblac-1170x252

CURSO PRÁCTICO DE ACTUALIZACIÓN

  • PROGRAMA

Madrid 16 de junio 2016

9:30 – 10:00h     Palabras del Presidente de la Asociación INBLAC, Víctor Altimira.

10:00 – 11:00h   Especificaciones técnicas aprobadas por el SEPBLAC de operaciones No Presenciales a través de Videoconferencia y su implicación en materia de Protección de Datos de Carácter personal; Víctor Altimira, Socio Abogado Logic Data Consulting.

11:00 – 11:20h   Coffee Break.

11:25 – 12:30h   Casuísticas en el Sector Inmobiliario; Héctor Borge, Responsable PBC/FT &Anti-Fraude en Anticipa Real Estate

12:35 – 13:35h   Cómo integrar los controles de Prevención de Blanqueo de Capitales y de la Financiación de Terrorismo con los sistemas de la ISO 19600; Luis Rodríguez, Socio – Director Broseta

13:35 – 14:00h   Preguntas

Tarde

15:00 – 16:00h   La subjetividad en el análisis de riesgo en PBC-FT; Joaquín Mena, Director General en Quimena Consulting

16:00 – 17:00h   Automatización y monitorización continúa de controles internos en la empresa con ACL; Enrique Stampa, Socio Director en PM Partners

17:00 – 17:15h Coffee Break.

17:20 – 18:20h   Tendencias de los delitos relacionados con blanqueo de capitales; Francisco Bonatti, Socio Director de Bonatti Penal & Compliance

18:20 – 19:20h   El mapa de riesgo. Análisis de la naturaleza de los riesgos subyacentes y tipologías; Joaquim Altafaja Diví, Socio Director Itadvisory Partners y miembro del Consejo Consultivo del RASI-CGCEE.

19:20 – 20:00h   Palabras de Cierre del Presidente de la Asociación INBLAC, Víctor Altimira

Lugar: Hotel Catalonia Atocha

Calle Atocha, 81  –  Madrid

Precio de la Jornada: 90€

Asociados miembros de INBLAC: Gratis

Asociados miembros de RASI: 50€

Dirección de las jornadas: Adriana Mendoza, Vocal de INBLAC, Consultoría independiente de PBC&FT.

Coordinadora de las Jornadas: Irene López, Vocal de INBLAC, Socia Abogada de Logic Data Consulting.

Los interesados en apuntarse al Curso Práctico de Actualización lo pueden hacer en: info@inblac.org

 

*El programa y horarios pueden sufrir cambios de última hora.

LA FALTA DE SANCIONES IMPIDE QUE SE CASTIGUE EL BLANQUEO DE CAPITALES EN ESPAÑA

(Texto íntegro de la noticia publicada el 8-5-2016 en ” eldiario.es “, en el que se cita a nuestro socio Víctor Altimira)

  • Los organismos internacionales han advertido de la laxitud de la justicia española a la hora de imponer condenas por este tipo de delitos.
  • El sistema judicial no consigue precisamente un efecto disuasorio para las organizaciones criminales, que ven en España un lugar donde operar con poco riesgo.
  • Desde 2010, España tiene una ley para prevenir el blanqueo que ha hecho subir un 50% la identificación de operaciones sospechosas, pero después las condenas son muy pocas.

Año 2006. Una transferencia de 632.338,10 euros procedente de un banco en Suiza hace saltar las alarmas en el área de riesgos de La Caixa. Este es el momento inicial de una investigación que, tras diez años de trabajo desenredando una enorme maraña de sociedades y movimientos cruzados de dinero, ha enviado al responsable de esa gestión financiera a la cárcel acusado de blanqueo de capitales. Hablamos de Mario Conde.

En el auto que le envía a prisión, redactado por el juez de la Audiencia Nacional Santiago Pedraz, quedan reflejados no solo los tejemanejes del expresidente de Banesto para gestionar el dinero a través de paraísos fiscales y entramados financieros, también el modus operandi con el que trabaja el Estado español para luchar contra el blanqueo de capitales.

El de Conde podría considerarse un caso de libro. Una operación sospechosa es detectada por una entidad financiera y ésta da la alarma al Servicio de Prevención de Blanqueo de Capitales, Sepblac. Comienzan las pesquisas. En ese organismo, que trabaja bajo la cobertura física y logística del Banco de España, aunque legalmente está adscrito al Ministerio de Economía, se analizan miles de documentos, se cruzan datos de múltiples fuentes y cuando se tienen evidencias constatables de la existencia de delito, el caso pasa a manos de las fuerzas de seguridad especializadas en delitos económicos. La brigada de blanqueo de capitales de la UDEF o la Unidad Central Operativa de la Guardia Civil son los cuerpos que, junto a la Policía o la Agencia Tributaria, se encargan de abordar los casos más flagrantes de delitos financieros.

Pero mientras que la primera parte de este proceso funciona de forma ejemplar, España falla estrepitosamente en la segunda. Frente a un proceso de identificación y prevención de casos de blanqueo que ya es un modelo para otros países –fuentes consultadas aseguran que Reino Unido lo está copiando– el engranaje se atasca cuando los culpables deben ser sancionados.

Que un caso de blanqueo acabe con sus responsables en la cárcel, como le ha ocurrido a Mario Conde, es algo casi excepcional en España. Así lo ha constatado el Grupo de Acción Financiera Internacional (GAFI), el organismo que vela por la supervisión del control del blanqueo de capitales en todo el mundo en su informe sobre España publicado en diciembre de 2014. Así, advierte de que “las penas de prisión que se imponen en España por blanqueo de capitales son excesivamente bajas“. Esto implica, según este organismo supervisor, que “el sistema judicial no consigue precisamente un efecto disuasorio para las organizaciones criminales, que más bien al contrario ven en España un lugar donde operar con poco riesgo“.

No es la primera vez que se cuestiona la eficacia de la Justicia española a la hora de penar los delitos relacionados con blanqueo. Lo ha hecho en reiteradas ocasiones la OCDE y con especial intensidad en su informe 2013 dedicado al soborno y el cohecho. En él acusaba a España de inactividad. Aseguraba que no era coherente que un país de este tamaño hubiera realizado apenas siete investigaciones en 13 años y que ninguna de ellas terminara con condena firme.

España comenzó a tomarse en serio la lucha contra el blanqueo de capitales en 2010. Es el año en que se aprueba la Ley contra el Blanqueo de Capitales que se refuerza en 2014 con el pertinente reglamento. Desde entonces, España ha intensificado, entre otras muchas medidas, lo que podría denominarse una red de chivatos o colaboradores (obligados, eso sí) para facilitar la detección de casos de blanqueo en aquellos sectores de actividad que más relación pueden tener con el dinero negro. Cabe recordar que el blanqueo de capitales solo afecta a los bienes de origen ilícito, un paso más allá de la ocultación de bienes con ánimo defraudatorio.

Los ‘sujetos obligados’ del blanqueo

El nombre oficial de estos “colaboradores” es el de “sujetos obligados”. Los bancos y todo tipo de entidades financieras lo son desde hace años, pero la Ley de 2010 amplió la lista a joyeros, notarios, responsables de inmobiliarias, anticuarios, y así hasta 26 sectores susceptibles de ser utilizados como vía de blanqueo. Están obligados a llevar un registro de operaciones (tipificadas por ley) que deben reportar mensualmente al Sepblac, y además informar puntualmente de todas aquellas operaciones que presenten algún indicio de estar relacionadas con un caso de blanqueo.

“La simple sospecha ya es motivo para informar de un caso. Por lo que Sepblac se convierte en una esponja. Su efectividad se basa también en que le llega información por diversos canales y eso le permite identificar qué casos acumulan más denuncias de distintos sujetos obligados”, explica Víctor Altimira, socio abogado de Logic Data Consulting y presidente del Instituto de Expertos Externos en Prevención de Blanqueo de Capitales y Financiación del Terrorismo ( Inblac).

El refuerzo ha sido efectivo. Las operaciones sospechosas reportadas se han incrementado un 50%, desde 3.171 en 2010 a 4.757 en 2015. En el caso de las sistemáticas, el aumento se ha casi cuadruplicado, subiendo un 186% desde 707.968 hasta las 2.027.008 en el mismo período.

El Sepblac tiene la complicada tarea de separar el polvo de la paja. Es decir, discernir si todo aquello que en principio es sospechoso efectivamente es la punta del iceberg de un delito, un fallo administrativo o un indicio fallido. El reto no es baladí. Como se pudo ver en el caso de caso de  Gao Ping y en el de Mario Conde o como reflejan los Papeles de Panamá, la eficiencia a la hora de blanquear dinero se basa en crear complicadas tramas de empresas y testaferros.

En un primer nivel, esa labor recae en un equipo de 79 personas, la plantilla total del organismo, que hasta 2015 era de 54 personas. El Gobierno reforzó la cuantía disponible para el Sepblac recogida en los Presupuestos Generales de 2016 hasta los 14,46 millones de euros, frente a los 11, 09 millones del año anterior.

Desde el propio Sepblac explican que “para incrementar su efectividad centran las investigaciones en las comunicaciones basadas en indicios”.  El número de informes de inteligencia financiera sobre comunicaciones sospechosas que el Sepblac ha remitido a las diferentes autoridades nacionales (desde Tribunales, Policía, Guardia Civil, Aduanas y hasta a la propia Agencia Tributaria) no ha parado de aumentar desde los 4.077 en 2010 hasta los 6.500 en 2015.

Pocas operaciones

Estas cifras descienden drásticamente cuando se analizan las investigaciones que reporta el Sepblac. “No se puede decir que las 71 investigaciones ‘in situ’ que hizo en 2015 o incluso las 90 de 2014 sean un dato para estar orgullosos. Habría que hacer muchas más, aunque solo fuera para que los posibles infractores tuvieran la sensación de que pueden ser pillados“, asegura María García, socia de Amber Legal & Business Advisors, y presidente de ASEBLAC, la Asociacion Española Sujetos Obligados en Prevención del Blanqueo en Cataluña. “Apenas han investigado cinco despachos de abogados y eso que GAFI ha advertido que este es el grupo de sujetos obligados que menos colabora con la Administración”.

Pero esta es una crítica que ya no debe recaer en este cuerpo de inteligencia financiera. “Quien decide si un caso es o no susceptible de ser sancionado administrativamente es la secretaría de la Comisión de Prevención de Blanqueo de Capitales”, explica Víctor Altimira. Es decir, un órgano ya totalmente dependiente del Ministerio de Economía. Es en esa comisión en la que se gestionan las sanciones administrativas.

Además estas sanciones podrían ser tan solo la punta del iceberg, puesto que, como recuerda María García, solo se hacen públicas las sanciones muy graves. Las graves solo se reflejan públicamente en caso de que el multado recurra la sanción. “No hay que ser un lince para adivinar que muchos sujetos obligados prefieren pagar la multa antes que recurrirla y verse ligado a este tipo de problemas en un documento público“, reconoce.

Parece claro que el engranaje de la lucha contra el blanqueo comienza a chirriar cuando los expedientes salen del Sepblac. Según los últimos datos publicados, el número de casos con condena firme por blanqueo de capitales fue en 2013 de 49, con un total de 116 implicados. Los motivos pueden ser muy variados, pero un exalto cargo de la lucha contra el blanqueo de capitales en España apunta a la propia concepción legal de proceso.

“En la Ley de 2010 queda muy claro que los informes de inteligencia financiera (del Sepblac) no tendrán valor probatorio y no podrán ser incorporados directamente a las diligencias judiciales o administrativas”, advierte. Eso significa que aunque las pesquisas realizadas por el Sepblac sirvan de ayuda a las fuerzas de seguridad del Estado, éstas deben comprobar cada uno de los indicios apuntados.

El sistema es muy garantista y conseguir pruebas irrefutables para sustentar un condena en los complicados entramados societarios, con múltiples testaferros y operaciones cruzadas que implican las operaciones de blanqueo no es ni fácil, ni rápido

YA TENEMOS FECHA…

REGLAMENTO (UE)  2016/679  DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

Se aprobó el 14 de abril 2016 y se publicó en el Diario Oficial de la Unión Europea el pasado día 27 de abril.

El Reglamento entrará en vigor a los veinte días de su publicación y será aplicable a partir del 25 de mayo de 2018.

El Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.