El paquete europeo de medidas de LBC/LFT de 2021

Sin embargo, todas estas regulaciones non han brindado una protección efectiva del del sistema financiero de la UE las actuaciones ilícitas perpetrados por delincuentes financieros. Teniendo en cuenta que los escándalos de blanqueo de capitales siguen ocupando titulares y los grupos terroristas siguen siendo una amenaza continua, la lucha contra los delitos financieros en el territorio de la UE continua siendo un gran desafío.

En julio de 2021 se marcó un hito en este contexto, cuando la Comisión Europea presentó un paquete de propuestas destinadas a reformar el rompecabezas de leyes y reglamentos de la UE en materia de LBC/LFT. Si bien estas medidas todavía no se han sido aun transpuestas como normas, las instituciones financieras y bancarias así como el resto de entidades obligadas, deben prever una evolución significativa de la normativa en materia de LBC/LFT en Europa en un futuro no muy lejano.

El paquete de medidas de LBC/LFT de 2021 presentadas por la UE incluyen cuatro propuestas legislativas principales:

• Un nuevo reglamento que dispone la creación de una nueva autoridad de LBC en la UE (ALBC)”Autoridad Europea contra el Lavado de Dinero, la cual actuará como único supervisor en materia de LBC en todo el territorio de la UE
• Una 6^.a directiva en materia de LBC, que establece las normas y disposiciones que deben implementar los supervisores nacionales y las unidades de inteligencia financiera de los Estados miembros
• Una actualización del denominado Reglamento sobre transferencia de fondos (Reglamento 2015/847), que amplía su ámbito de aplicación y que especifica que los proveedores de servicios de criptomonedas deben intercambiar información sobre los pagadores y los beneficiarios de cualquier transferencia de criptomonedas
• Un nuevo reglamento, considerado como el «Código Normativo Único» de la UE (que consiste en un conjunto de medidas preventivas, directamente vinculantes para todas las entidades obligadas que operan en la UE).

El Código Normativo Único es sin lugar a dudas el avance más significativo para el sector privado, ya que cierra efectivamente las brechas existentes en los reglamentos nacionales de LBC, además de reunir y codificar un conjunto de medidas preventivas de LBC/LFT directamente vinculantes para las «entidades obligadas» (es decir, bancos, compañías de seguros de vida, proveedores de servicios de pagos, empresas de inversión además de algunas entidades y profesiones no financieras, como abogados, contables, agentes inmobiliarios, casinos, proveedores de servicios de criptomonedas, proveedores de servicios de financiación participativa y proveedores de crédito.

El proceso legislativo de la UE está en marcha para materializar estas cuatro propuestas. A finales de junio de 2022 se llegó a un acuerdo provisional sobre los cambios en el Reglamento de transferencia de fondos. Sin embargo, es probable que otras propuestas, principalmente las leyes que establecen la Autoridad Europea contra el Lavado de Dinero y el Código Normativo Único, requieran de más debate y modificaciones.

«La conclusión es que hay un impulso político significativo en toda la UE para configurar respuestas más eficaces a los desafíos de la delincuencia financiera», sostiene Vincent Gaudel, experto en Cumplimiento contra Delitos Financieros de LexisNexis Risk Solutions. «Hay un buen consenso en torno a la mayoría de las propuestas, por lo que podrían convertirse rápidamente en nuevos requisitos. Es crucial que las instituciones financieras y otras organizaciones afectadas presten mucha más atención a las propuestas que se están tratando para que estén preparadas para lo que se viene».

Esto se aplica especialmente al Código Normativo Único, que, una vez aprobado, se convertirá en un reglamento directamente vinculante para todas las entidades obligadas de la UE. Estas son algunas de las tendencias y cambios que deberán tenerse en cuenta:

Fortalecimiento de las medidas preventivas: filtraje y monitoreo de PPE y más

A través de las directivas sucesivas se han establecido los requisitos normativos para la detección de relaciones comerciales de personas políticamente expuestas (PPE):

• En conformidad con las recomendaciones y definiciones del GAFI, la tercera Directiva en materia de LBC de 2005 introdujo una definición de PPE como «personas físicas que desempeñan o han desempeñado funciones públicas importantes» y exigió a las entidades obligadas a determinar si sus clientes eran PPE (también incluía a los parientes o socios cercanos de la PPE).
• Una década después, la cuarta Directiva amplió el ámbito de aplicación de las PPE para incluir a las PPE nacionales.
• Mediante los cambios que se introdujeron con la quinta Directiva en materia de LBC en 2018, se exhortó a cada uno de los Estados miembros de la UE a publicar listas de funciones que definiesen a sus titulares como PPE. Varios países de la UE como España, Portugal o Polonia han establecido listas nacionales de funciones PPE.

El Código Normativo propuesto mantiene los requisitos relacionados con la detección de relaciones con PPE. «Para la mayoría de las entidades obligadas, el filtraje y monitoreo de PPE es un control bien establecido y, puesto que el Código Normativo Único no cambia los requisitos en ese ámbito, la gestión de PPE parece haber alcanzado su nivel máximo en lo que respecta a las autoridades reguladoras», sostiene Gaudel. Añade que si bien las entidades obligadas necesitan seguir prestando especial atención a la aplicación de controles adecuados de identificación de PPE, el Código Normativo propuesto también sugiere casos de uso adicionales para los controles de diligencia debida y conozca a su cliente.

Al introducir requisitos formales que reflejen las variables de riesgo del cliente, como la reputación o el comportamiento del cliente, el Código Normativo propuesto argumenta claramente que las entidades obligadas deben considerar la aplicación de un sistema de identificación, filtraje y monitoreo de noticias negativas. El filtraje y monitoreo de noticias negativas se está volviendo esencial para la evaluación de riesgo en materia de LBC/LFT de un cliente.

«Desde hace mucho tiempo, el filtraje y monitoreo de noticias negativas es una práctica habitual en las grandes instituciones financieras», sostiene Gaudel y añade que las directrices recientes del sector, como las preguntas frecuentes del Grupo Wolfsberg acerca del filtraje de noticias negativas (disponible únicamente en inglés), se introdujeron para propiciar la práctica común en el mercado, ya que los reglamentos en materia de LBC/LFT no siempre ofrecían un fundamento jurídico claro. El Grupo Wolfsberg destaca una serie de medidas y procesos mediante los cuales el filtraje y monitoreo continuo de noticias negativas puede brindar un valor añadido a la gestión de riesgos de delitos financieros: ayudando a identificar incoherencias en la identificación del origen de fondos y del patrimonio de un cliente o brindando información que permita tomar una decisión final de incorporar, mantener o finalizar una relación comercial con un cliente.

«En su formulación actual, el Código Normativo Único no contempla el filtraje de noticias negativas como un requisito explícito, pero le da el muy necesario reconocimiento normativo», apunta Gaudel. «Las autoridades reguladoras reconocen así el valor del filtraje de noticias negativas para la gestión de riesgos de delitos financieros y las directrices como la del Grupo Wolfsberg que ofrecen a las entidades obligadas una variedad de mejores prácticas para que apliquen estos controles de la forma más eficaz».

Nuevas disposiciones sobre externalización

En la actualidad, la legislación de la UE en materia de LBC no contempla obligaciones relacionadas con la externalización de los requisitos de LBC/LFT a una entidad no obligada. Esto probablemente cambie con el Código Normativo Único. La propuesta ahora incluye una serie de limitaciones y requisitos de control aplicables a los acuerdos de externalización. Por ejemplo, se especifican nuevas limitaciones y la propuesta establece que ciertas tareas «no deben externalizarse en ninguna circunstancia», entre ellas:

• aprobar la evaluación del riesgo,
• redactar y aprobar políticas, procedimientos y controles en materia de PPE,
• atribuir un perfil de riesgo a un cliente,
• identificar criterios para la detección de transacciones sospechosas, y
• comunicar actividades sospechosas a la Unidad de Inteligencia Financiera.

«También es importante recordar que la entidad obligada sigue siendo la responsable de cumplir con los requisitos de LBC/LFT», indica Gaudel. «Incluso si el proceso se externalizara, no se puede externalizar el riesgo y la responsabilidad».

Equilibrar la LBC/LFT con la protección de datos

Un aspecto importante para las instituciones y un área que las autoridades reguladoras de la UE deben tener en cuenta es la protección de datos. Dado que varias disposiciones del Código Normativo Único requieren el tratamiento de datos personales, se deben tener en cuenta los requisitos de privacidad contemplados en el RGPD (Reglamento General de Protección de Datos de la UE). Esto es especialmente evidente en el caso del filtraje de noticias negativas, ya que este proceso puede implicar el tratamiento de categorías especiales de datos personales (es decir, datos sobre el origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, y datos genéticos o biométricos), así como otros datos personales relacionados con las condenas penales y delitos de la persona. El RGPD prohíbe el tratamiento de estos datos, salvo en ciertos casos como «por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros». El Código Normativo propuesto incluye el fundamento jurídico requerido: una entidad obligada puede tratar «categorías especiales» de datos personales cuando es estrictamente necesario a efectos de la LBC/LFT. Sin embargo, la propuesta también especifica las salvaguardias necesarias cuando se tratan dichos datos personales, que contempla la calidad de los datos de origen, la seguridad de dichos datos y la confidencialidad.

Encontrar el equilibrio correcto entre la necesidad de tratar los datos personales para los controles de LBC/LFT a la vez que se respetan las leyes de privacidad, es un ámbito en el que se está llevando a cabo un diálogo permanente que probablemente cambie la configuración de las normas finales. Todavía es objeto de un debate intenso. El Comité Europeo de Protección de Datos (CEPD), por ejemplo, ha manifestado su preocupación con respecto a algunas de las propuestas, como la sugerencia de que las entidades obligadas, deban tratar los datos relacionados con acusaciones de delitos, así como condenas penales. Esto supone un alto nivel de riesgo en cuanto a la privacidad de los datos según el CEPD, que recomendó que el término «acusaciones» fuera definido claramente o eliminado.

Los datos de calidad son fundamentales

Gaudel destaca que, en general, el Código Normativo propuesto refuerza la importancia vital de que las entidades obligadas utilicen datos de calidad para sus controles de filtraje y monitoreo. «Ante la falta de una lista global de funciones para PPE, por ejemplo, se han desarrollado varias bases de datos comerciales que ayudan a identificar relaciones con PPE» sostiene. «Pero es importante que estas bases de datos se gestionen con cuidado. ¿Cuál es su ámbito de aplicación? ¿Qué fuentes se monitorean? ¿Cómo se verifican la precisión y la exhaustividad de los datos? Y ¿con qué frecuencia se actualizan los datos?»

La información oportuna y precisa es la base de un sistema de filtraje y monitoreo sólido basado en el riesgo. En la mayoría de las organizaciones, esto implica una combinación de datos internos y datos de diversas listas de vigilancia obtenidas externamente. Ambos deben ser precisos, creíbles, relevantes y seguros:

Conclusión

Las propuestas son una clara señal de que las piezas del rompecabezas de LBC/LFT en Europa, y en el resto del mundo, están encajando progresivamente. El próximo Código Normativo Único es especialmente importante para mejorar la eficacia de las medidas preventivas en materia de LBC/LFT en las entidades obligadas europeas. Es crucial conseguir uniformidad en los reglamentos de LBC/LFT, ya que los delincuentes financieros siguen buscando vacíos normativos para hacer un uso indebido del sistema financiero. Ahora más que nunca, las entidades obligadas de la UE necesitan estar preparadas y equipadas para cumplir con su parte en la lucha colectiva contra los delitos financieros.

La tecnología de filtraje y monitoreo, respaldada por datos de calidad, son una potente herramienta en este sentido. Trabajamos con clientes del sector financiero y otros sectores a nivel mundial , proporcionándoles la experiencia, los datos y las herramientas que necesitan para responder a sus obligaciones de cumplimiento de forma eficiente y efectiva. Nuestro alcance mundial hace posible que siempre haya alguien disponible para ayudarle y brindarle asistencia cuando lo necesite. Póngase en contacto con nosotros para obtener más información sobre nuestras herramientas y experiencia solida en el filtraje y monitoreo contra el blanqueo de capitales y la financiación del terrorismo.