Desde el pasado 1 de marzo de 2016 ha entrado en vigor la autorización del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) para el uso de la videoconferencia como procedimiento de identificación de clientes.
Las nuevas tecnologías deben facilitar el trabajo y además ahorrar costes. Es por ello que nuestra legislación en materia de prevención del blanqueo de capitales y de la financiación del terrorismo (tanto la Ley 10/2010, como su Reglamento desarrollador) apuestan por ellas.
Partiendo de esta premisa y dando debido cumplimiento a lo dispuesto en el artículo 21.1 d) del Reglamento de la Ley 10/2010, se establecen en la autorización del SEPBLAC los parámetros bajo los cuales los sujetos obligados podrán utilizar la videoconferencia para identificar a aquellos de sus clientes a los que no puedan identificar presencialmente.
En su introducción, esta última autorización mediante videoconferencia liga la innovación tecnológica con el sector financiero, pero se indica que se autoriza a los sujetos obligados sin detallar a cuáles, por lo que debemos entender que deben ser todos.
Esta autorización viene a completar la de 22 de mayo de 2015 sobre procedimiento de identificaciones no presenciales -en vigor desde el pasado 1 de junio de 2015- ideada sólo para entidades participantes del Sistema Nacional de Compensación Electrónica.
¿Qué debe tener en cuenta el sujeto obligado que opte por la videoconferencia para identificar a sus clientes?
– Con carácter previo:
-Solicitar los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.
-Realizar el análisis de riesgo del cliente.
-Se debe documentar el procedimiento que se va a llevar a cabo para la videoconferencia y probar la eficacia, anotando por escrito los resultados. Si las pruebas no acreditan la eficacia, se deberá desistir de este procedimiento de identificación.
-Deberá implantar requerimientos técnicos idóneos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.
-La identificación deberá gestionarse por personal con formación específica.
-Verificar que el cliente no está sometido a sanciones o contramedidas financieras internacionales.
– Durante la videoconferencia:
-Deberá quedar constancia de la fecha y hora de la grabación y conservarla por un período mínimo de 10 años.
-El cliente debe consentir expresamente la grabación, con carácter previo o en el curso de la misma. Evidentemente, se le deberá informar, conforme al artículo 5 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) de:
-La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
-El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
-Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
-La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
-La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
-Adoptar medidas de seguridad que acrediten la privacidad de la conversación mantenida con el cliente. En este sentido también será de aplicación lo dispuesto al respecto en la LOPD.
-El cliente deberá mostrar los documentos fehacientes en su anverso y reverso.
-Deberá obtener y conservar (durante un período mínimo de 10 años) fotografía o instantánea del documento de identificación, tanto anverso como reverso, y que éste reúna condiciones de calidad y nitidez para posibles futuras investigaciones o análisis.
Evidentemente, no podrá completarse el proceso de identificación en el caso de que:
-Existan indicios de falsedad o manipulación del documento de identificación.
-Existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación.
-Las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.
– Otras consideraciones:
La videoconferencia podrá ser externalizada, si bien la responsabilidad será del sujeto obligado. En este sentido se deberá cumplir con los requisitos del artículo 12 de la LOPD, y el artículo 20 de su Reglamento (RD 1720/2007) si la externalización implica acceso a datos de carácter personal. Este tercero será considerado encargado del tratamiento y, por tanto, deberá suscribirse un contrato de protección de datos entre el sujeto obligado (responsable del fichero) y el tercero contratado para la videoconferencia (encargado del tratamiento). En este contrato se establecerá que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Asimismo, se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
En sus informes, el experto externo deberá pronunciarse sobre la eficacia y adecuación operativa del sistema de videoconferencia implantado por el sujeto obligado, así como de la formación recibida por los empleados para identificar por estos medios a los clientes.
Víctor ALTIMIRA, Presidente de INBLAC (Instituto de Expertos en Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo).