martes, 2 de agosto de 2016

La prevención del lavado de activos y la protección de datos personales

En el presente artículo traigo a colación un tema que normalmente es relegado a un segundo plano cuando pensamos en la observancia de las normas sobre prevención del lavado de activos y financiamiento del terrorismo a nivel de los sujetos obligados, como es la protección de datos personales. Su alcance e importancia es de tal magnitud que, si realizamos un tratamiento inadecuado de la información suministrada por sus titulares, el sujeto receptor podría verse implicado en consecuencias administrativas y civiles, con el consiguiente perjuicio económico que ello le causaría.

En el Perú, la diversa y cada vez más abundante normativa sobre prevención del lavado de activos y financiamiento del terrorismo en las instituciones financieras y no financieras irroga a los sujetos obligados a cumplir un conjunto de obligaciones destinada a evitar que sus productos y servicios sean utilizados por parte de las organizaciones criminales para dar apariencia de legalidad a sus ingresos delictivos. Para ello, deben desarrollar, implementar y cumplir, dentro del marco legal que les resulte aplicable, medidas para conocer a sus clientes, trabajadores y proveedores, entre otros aspectos no menos importantes y directamente relacionados.

En lo que sigue, tomaremos como referencia el Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo, aprobado por Resolución SBS Nro. 2660-2015, aplicable al sector bancario y financiero, lo que no significa que las demás disposiciones legales existentes dentro del conglomerado de normas PLAFT no regulen la materia sub examine, sobre todo teniendo en cuenta que el conocimiento del cliente es un mecanismo de capital importancia en la prevención de los referidos ilícitos penales.

El Art. 30 de la Resolución SBS Nro. 2660-2015, en el marco del régimen de debida diligencia en el conocimiento del cliente, establece que los sujetos obligados deben obtener de sus clientes que son personas naturales, siempre que sea aplicable, entre otra, la siguiente información: nombres y apellidos completos; tipo y número del documento de identidad; nacionalidad y residencia; domicilio; número de teléfono y/o correo electrónico; propósito de la relación a establecerse con la empresa; ocupación, oficio o profesión; y nombre del centro de labores; en caso el cliente fuera una persona expuesta políticamente (PEP), el nombre de la institución, organismo público u organización internacional y el cargo; de igual modo, la identificación de los representantes legales, apoderados y mandatarios con poderes de disposición, así como el documento que acredite la representación legal o el otorgamiento de los poderes correspondientes.

Asimismo, en el supuesto que el cliente fuese una persona jurídica, el requerimiento de información a solicitar consiste en la denominación o razón social; el Registro Único de Contribuyentes (RUC) o registro equivalente para no domiciliados; el objeto social, actividad económica principal o finalidad de constitución de la persona jurídica o ente jurídico, según corresponda; la identificación de los accionistas, socios o asociados que tengan directa o indirectamente más del 25% del capital social, aporte o participación de la persona jurídica y/o ente jurídico, considerando la información requerida para las personas naturales, identificando aquellos que sean PEP, cuando corresponda; el propósito de la relación a establecerse; la identificación de los representantes legales considerando la información requerida para las personas naturales, así como el otorgamiento de los poderes correspondientes; las personas jurídicas vinculadas al cliente y/o a su grupo económico, si corresponde; y la dirección y teléfono de la oficina o local principal, donde desarrollan las actividades propias al giro de su negocio.

Con respecto a los trabajadores, el Art. 35 de la citada resolución, señala el contenido de la información que debe ser requerida por los sujetos obligados: nombres y apellidos completos; copia del documento de identidad; estado civil, incluyendo los nombres, apellidos y número documento de identidad del cónyuge o conviviente; dirección domiciliaria y número telefónico de su domicilio habitual; certificado u otros documentos que presenten información sobre sus antecedentes policiales y penales; declaración jurada patrimonial y de otros ingresos, distintos a los percibidos por la relación laboral con la empresa; ocupación dentro de la empresa; y nivel de endeudamiento en el sistema financiero.

Finalmente, en cuanto a los proveedores, la resolución en cuestión prescribe en su Art. 36 la información mínima requerida: nombres y apellidos completos o denominación o razón social, en caso se trate de una persona jurídica; el Registro Único de Contribuyentes (RUC), o registro equivalente para no domiciliados, de ser el caso; el tipo y número de documento de identidad, en caso se trate de una persona natural; la dirección de la oficina o local principal; los años de experiencia en el mercado; los rubros en los que el proveedor brinda sus productos o servicios; la identificación de los accionistas, socios o asociados que tengan directa o indirectamente más del 25% del capital social, aporte o participación de la persona jurídica, y el nombre del representante legal, considerando la información requerida para las personas naturales; y la declaración jurada de no contar con antecedentes penales del proveedor, de ser el caso.

A toda esta información solicitada por los sujetos obligados a los clientes, trabajadores y proveedores, a título de “requisito” o “condición” para la prestación del servicio o el suministro del producto ofrecido, o para la vinculación laboral, tiene una finalidad predeterminada por la propia ley, y que en el caso concreto consiste en satisfacer las exigencias legales sobre prevención del lavado de activos, lo que significa que el tratamiento que se le asigne a la información recopilada, debe corresponder al marco de actuación normativa, pues excederse a ello, implicaría vulnerar la ley. A manera de ejemplo, la información de los clientes se utilizaría para examinar la naturaleza de las operaciones que realiza con el sujeto obligado; la información de los trabajadores, para conocer el grado de colaboración y cumplimiento de las disposiciones internas; y, el conocimiento de los proveedores para prevenir y evitar situaciones de riesgo que puedan perjudicar las actividades empresariales del sujeto obligado, y su patrimonio.

En la línea de lo anterior, se requiere adoptar las medidas de seguridad adecuadas que permitan proteger la información. Dichas medidas de seguridad, tienen dos vertientes: la primera, está dada por la conservación de la información relacionada directamente con la prevención del lavado de activos, tales como registros de operaciones, carpetas individuales de clientes, etc., (Arts. 54 y 55 de la Resolución SBS Nro. 2660-2015), y por la obligación de confidencialidad que resguarda a los reportes de operaciones sospechosas (Art. 61 de la Resolución SBS Nro. 2660-2015). Y la segunda, consiste en destinar esa misma información recibida como resultado de la aplicación de las normas PLAFT a una finalidad diferente a la establecida en la ley. Es precisamente aquí donde asume competencia la obligación de proteger los datos personales.

La protección de datos personales es un derecho fundamental, previsto en el Art. 2, numeral 6, de la Constitución Política del Perú, con la siguiente redacción:

Toda persona tiene derecho:
A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.

Conforme a las Normas PLAFT, y aquí hago naturalmente extensivo a todos los sujetos obligados, sin excepción, tendrían, cuando menos, hasta tres bancos de datos, regulados por la Ley Nro. 29733, Ley de Protección de Datos Personales, reglamentado por Decreto Supremo Nro. 003-2013-JUS: el de clientes, el de trabajadores y el de proveedores. El titular de dichos bancos de datos sería el propio sujeto obligado, mientras que el titular de los datos personales sería, respectivamente, el cliente, el trabajador y el proveedor.

El tratamiento de los datos personales por parte del titular del banco de datos debe hacerse con respeto a los principios rectores de legalidad (Art. 4), consentimiento (Art. 5), finalidad (Art. 6), proporcionalidad (Art. 7), calidad (Art. 8), seguridad (Art. 9), de disposición de recurso (Art. 10) y de nivel de protección adecuado (Art. 11).

La ley confiere al titular de datos personales el derecho de información (Art. 18), el derecho de acceso (Art. 19), el derecho de actualización, inclusión, rectificación y supresión (Art. 20), derecho a impedir el suministro (Art. 21), derecho de oposición (Art. 22), el derecho al tratamiento objetivo (Art. 23), derecho a la tutela (Art. 24), y el derecho a ser indemnizado (Art. 25).

Asimismo, el sujeto obligado, como titular del banco de datos, deberá observar las siguientes obligaciones puntuales (Art. 28):

1. Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales, salvo ley autoritativa, con excepción de los supuestos consignados en el artículo 14 de la presente Ley.
2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos.
3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido.
4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación.
5. Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.
6. Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto.
7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.
8. Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada.
9. Otras establecidas en la Ley Nro. 29733 y en su reglamento.
Sin perjuicio de lo señalado en el párrafo anterior, los sujetos obligados deben cumplir dos mandatos esenciales: Por un lado, inscribir cada banco de datos en el Registro Nacional de Protección de Datos Personales; y, por otro, adoptar medidas de seguridad apropiadas según su naturaleza.

La norma en cuestión, también regula las infracciones y sanciones susceptibles de ser aplicadas por inobservancia de las obligaciones subyacentes.

Las infracciones pueden ser de tres clases: leves, graves y muy graves (Art. 38), siendo:

- Infracciones leves:
a. Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en la Ley Nro. 29733.
 b. No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III de la Ley Nro. 29733, cuando legalmente proceda.
 c. Obstruir el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección de Datos Personales.

- Infracciones graves:
a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley Nro. 29733 o incumpliendo sus demás disposiciones o las de su Reglamento.
 b. Incumplir la obligación de confidencialidad establecida en el artículo 17 de la Ley Nro. 29733.
 c. No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de datos personales reconocidos en el título III de la Ley Nro. 29733, cuando legalmente proceda.
 d. Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección de Datos Personales.
 e. No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales.

- Infracciones muy graves
a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley Nro. 29733 o incumpliendo sus demás disposiciones o las de su Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
 b. Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la Ley Nro. 29733 o su reglamento.
 c. Suministrar documentos o información falsa o incompleta a la Autoridad Nacional de Protección de Datos Personales.
 d. No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello.
 e. No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales, no obstante haber sido requerido para ello por la Autoridad Nacional de Protección de Datos Personales.

Las sanciones administrativas están previstas en el Art. 39 y son de índole patrimonial. Así, las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT), las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT), y las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).