ANÁLISIS DEL DOCUMENTO DE RECOMENDACIONES DEL SEPBLAC, SOBRE MEDIDAS DE CONTROL INTERNO (II)
ENTRADA 2: BASE DE DATOS DE
OPERACIONES DE EXAMEN ESPECIAL
Uno de los requerimientos que el
Director del SEPBLAC está efectuando estos días a los sujetos obligados, con
ocasión del envío del documento de
recomendaciones sobre medidas de control interno de PBC/FT, es la elaboración
de una base de datos, con un contenido y formato que ya están determinados por
el Servicio Ejecutivo, tanto en los campos que la componen, como en la descripción
de los mismos y en las observaciones que acompaña a cada uno de ellos.
Esta información la están
recibiendo los sujetos obligados mediante carta del Director del Servicio
Ejecutivo, en la que se les indica la fecha en la que este fichero debe estar
operativo, así como el período que abarcará la primera carga de datos.
En el presente escrito no voy a
desarrollar un análisis operativo sobre el EXAMEN ESPECIAL del Artículo 17 de
la Ley 10/2010, sino tan sólo comentar el requerimiento estricto de la
existencia del Registro informatizado, que el SEPBLAC está denominando en sus
comunicaciones: BASE DE DATOS DE
OPERACIONES DE EXAMEN ESPECIAL.
En los sujetos obligados con un
volumen importante de operaciones o de una cierta complejidad, los exámenes
especiales los suelen realizar las UNIDADES TÉCNICAS PARA EL TRATAMIENTO Y
ANÁLISIS DE LA INFORMACIÓN que están referenciadas en el Artículo 26.2 de la
Ley 10/2010. Cualquier Unidad Técnica o departamento que se dedique a la
realización de exámenes especiales ha de crear para cada uno de ellos el
correspondiente EXPEDIENTE DE INVESTIGACIÓN en formato físico o electrónico, con
la necesidad también de tener una base de datos o registro de control, que a
partir de ahora nosotros llamaremos siguiendo
al SEPBLAC: Base de Datos de operaciones
objeto de examen especial.
Realmente, el SEPBLAC con este
requerimiento no exige nada nuevo a lo que ya tienen establecido la mayoría de sujeto obligado de
“motu proprio”, con la única peculiaridad de que ahora el Servicio Ejecutivo establece
para la información contenida en el Registro un determinado formato y
herramienta tecnológica, pero deberemos entender que esta exigencia formal sólo
se daría en el caso de que esta
información registral fuera requerida en algún momento por este Servicio,
puesto que desde ahora ha de estar a disposición del mismo.
Justifico la afirmación anterior
en el hecho de que la tecnología permite crear sistemas sofisticados de registro, perfectamente
adaptables a las necesidades de información de cada empresa, por lo que estimo
que el SEPBLAC no pretende imponer internamente a los sujetos obligados un
sistema de registro que podría ser regresivo en relación con el estado actual
de la técnica. Cada empresa es libre de usar las herramientas tecnológicas que
considere más apropiadas.
Lo que parece indicar el Director
del Servicio Ejecutivo cuando dice en su carta que “la base de datos de operaciones de examen especial se materializará en
un fichero Access” sin duda tiene como objetivo la homogeneización del
sistema de fichero que quiere recibir el SEPBLAC, para lo que ha optando por
una aplicación informática fácilmente accesible a todos los sujetos obligados,
como puede ser el Access. Lo importante es que, cualquier sistema que la
empresa utilice, pueda convertir el registro de operaciones de examen especial
en un Fichero Access con todos los campos definidos por el SEPBLAC, lo que actualmente
resulta fácil desde el punto de vista tecnológico.
Al margen de este detalle formal,
lo que resulta importante desde el punto de vista operativo, es que el SEPBLAC
haya efectuado el esfuerzo de sistematizar para todos los sujetos obligados un
modelo de registro de operaciones de examen especial, con el objetivo de que
este fichero se convierta para cada uno
de ellos, en una útil herramienta de gestión y de información.
Al definir el contenido y el
formato de los campos de registro, el SEPBLAC ha utilizado una gran parte de
los campos que aparecen en los mapas de riesgos de blanqueo definidos en las
instrucciones del Servicio Ejecutivo, lo que va a obligar a los analistas que realizan
los exámenes especiales, a tratar de buscar en los hechos u operaciones sobre
los que trabajan, la información contenida en cada campo, que no siempre
existirá, con el fin de cumplimentar el registro. De esta manera reseñarán riesgos
importantes, que de otra forma quizás no habrían sido analizados con la misma
intensidad.
El registro así sistematizado, permitirá
elaborar informes periódicos para la Alta Dirección, lo que sin duda ayudará a
su sensibilización mediante datos objetivos, facilitando que se tomen las
medidas necesarias para mitigar los riesgos detectados.
Pero bajo mi criterio, la
información obtenida de este Fichero Registro será especialmente útil para el
OCIC y para aquellos departamentos que tienen que vigilar las debilidades del
sistema de prevención AML o el de
reacción.
CUMPLIMENTACIÓN DEL REQUERIMIENTO DEL SEPBLAC
Habrá un número importante de sujetos
obligados, especialmente los pertenecientes al sector financiero, que no
tendrán ningún problema para adaptar su Registro equivalente, a los
requerimientos del SEPBLAC para la BASE DE DATOS DE OPERACIONES DE EXAMEN
ESPECIAL, aunque habrá otros para los que la cumplimentación del requerimiento
les resultará más complicada.
Para estos últimos, desde la
Asociación se ofrecen algunas soluciones para su valoración si resultaran de
utilidad.
PRIMERA:
La empresa Soluciones Confirma (www.solucionesconfirma.com)
, que ha sido creada por la Asociación para dotar a nuestras entidades y a aquellos
sujetos obligados que lo necesiten de herramientas tecnológicas de uso
compartido para el cumplimiento de las obligaciones impuestas por la Ley
10/2010, colaborará con aquellas entidades que lo necesiten en la creación de
la BASE DE DATOS DE OPERACIONES DE EXAMEN ESPECIAL, con el contenido y formato
establecido por el SEPBLAC.
SEGUNDA:
Teniendo en cuenta que mediante
este fichero se tratarán datos de carácter personal, y que según el Artículo 32
de la Ley 10/2010, para todos los ficheros, automatizados o no, creados para el
cumplimiento de esta Ley le son de aplicación las medidas de seguridad de nivel alto previstas en la normativa de
protección de datos de carácter personal, se ha desarrollado dentro de las
herramientas de Soluciones Confirma un módulo que permite la gestión y custodia
de los Expedientes, Informes, Bases de datos y Actas de cada sujeto obligado que
tengan que ver con la prevención del blanqueo de capitales y de la financiación
del terrorismo.
Esta solución permitirá que toda
la información AML de cada usuario sujeto obligado, esté revestida del nivel
alto de protección exigido por la Ley 10/2010, lo que evitará que la empresa tenga que dotarse de esta seguridad
específica, si sólo ha de hacerlo para la documentación relacionada con esta
materia, lo que permitirá optimizar costes.
Este Módulo denominado de Gestión y Custodia de Expedientes
permite la subida de archivos en diferentes formatos, el acceso fácil a los
mismos, y la garantía de una custodia segura dotada de medidas de protección de
nivel alto, por lo que los responsables de la prevención del blanqueo de
capitales y los responsables del OCIC, sin necesidad de desarrollos internos,
tendrán a su disposición las herramientas de archivo necesarias con las medidas
de seguridad a las que le obliga la Ley.
El sistema de Soluciones Confirma
protege los archivos de accesos no deseados, respetando la confidencialidad de
la información de cada sujeto obligado. También guarda los LOG de acceso y las
modificaciones que hagan los usuarios a cada fichero.
Soluciona también el problema de seguridad futuro que
supondrá la remisión al SEPBLAC de la copia de la BASE DE DATOS DE OPERACIONES
DE EXAMEN ESPECIAL, puesto que los sujetos obligados que fueren requeridos
podrán efectuar la trasmisión de esta información desde el propio sistema, de
forma segura y mediante el cifrado de dichos datos, lo que resulta fundamental
para preservar la confidencialidad de los mismos.
Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos
Obligados (SISO)
