La LOPD et le blanchiment d’argent en Espagne

L’article 32 de la loi 10/2010, du 28 avril, sur la prévention du blanchiment d’argent et le financement du terrorisme, fait référence à la loi de protection des données personnelles, la LOPD, dans les points suivants:

  • Le traitement des données à caractère personnel, ainsi que les fichiers, automatisés ou non, créés pour l’accomplissement des dispositions de cette loi sont soumis à la LOPD et ses dispositions la développant, devant respecter les mesures de sécurité à haut niveau prévues dans ladite réglementation de protection des données.
  • Le traitement des données à caractère personnel sera exempt tant de l’obligation d’information que du consentement requis dans la LOPD pour l’accomplissement de ladite loi. De même, le consentement pour la cession desdites données aux autorités compétentes en matière de lutte contre le blanchiment d’argent et le financement du terrorisme ne sera pas nécessaire.
  • La règlementation sur l’exercice des droits d’accès, de rectification, d’annulation et d’opposition contenue dans la LOPD ne s’appliquera pas aux fichiers et traitements. Si l’intéressé exerce les droits susmentionnés, les personnes obligées se limiteront à mettre en évidence les dispositions des articles 32 de la loi.
    Outre ce qui précède, s’il s’agit de données impliquant des personnes à responsabilité publique, il sera nécessaire de prendre en compte ce qui suit :

A cette fin, les personnes obligées pourront réclamer les informations sur les personnes à responsabilité publique sans nécessité du consentement de l’intéressé, même lorsque les dites informations ne sont pas ouvertes au public:

  • Les personnes obligées pourront procéder à la création de fichiers contenant les données d’identification des personnes à responsabilité publique, même lorsqu’elles n’entretiennent pas avec ces dernières une relation professionnelle/d’affaire.
  • Les données contenues dans les fichiers pourront uniquement être utilisées pour l’accomplissement de mesures renforcées avec les diligences requises par la loi.
  • Il est interdit pour les personnes procédant à la création de ces fichiers d’utiliser les données dans une autre finalité.
  • Il n’est pas nécessaire d’informer les personnes concernées de l’inclusion de leurs données dans des fichiers.
  • Dans tous les cas, les fichiers se verront appliqués les mesures de sécurité de haut niveau prévues dans la réglementation sur la protection des données à caractère personnel.
  • Le chapitre II de la loi sur le blanchiment d’argent concerne les mesures de diligences requises (normales, simplifiés et renforcées) que doivent adopter les personnes obligées, parmi lesquelles il convient de mentionner les obligations d’identification, aussi bien formelles que réelles, de la personne qui directement ou indirectement, est titulaire réelle d’argent qui peut faire l’objet d’un blanchiment.

Ces mesures d’identification et d’enquête devront être reprises dans un manuel ou protocole écrit, qui servira de support à la formation des employés. Ledit manuel fera l’objet de changement en fonction du risque du type de client, relation d’affaires, produit ou opération.

Nonobstant, en ce qui concerne le niveau de sécurité du fichier, il faut prendre en compte les dispositions de l’article 81.8 du RLOPD qui fait référence à la possibilité de séparation des données d’un même fichier grâce à l’application de différentes mesures de sécurité  (…) lorsque dans un système d’information, il existe des fichiers et des traitements qui en fonction de leur finalité ou de leur usage concret ou encore de la nature des données qu’ils contiennent, requièrent l’application d’un niveau de mesures de sécurité différents à celui du système principal, pourra se séparer de celui-ci, étant d’application dans tout les cas le niveau de mesures de sécurité qu’il correspond et dès que peuvent se délimiter les données affectées et les utilisateurs ayant accès à ces dernières, et que celles-ci soient consignées dans le document de sécurité.

En conclusion, il ne suffit pas de connaitre la règlementation de protection des données, il faut aussi connaitre et appliquer les particularités spécifiques établies par chacune des règlementations sectorielles.

Cristina Sandoval & Jesús Sánchez

Cet article ne relève pas du conseil juridique

Jesús Sánchez

Diplômé en Droit des entreprises à l’Université de San Pablo (CEU) et titulaire d’un doctorat en Droits constitutionnels et Informatique, Jesús Sánchez est spécialisé en droit des nouvelles technologies. Membre de Áudea, entreprise spécialisée dans la gestion de la sécurité de l’information. Si vous souhaitez réaliser une consultation Contactez-nous