Manual de PBC

En el ámbito de la Prevención de Blanqueo de Capitales (PBC) es fundamental aplicar los principios de protección de datos (licitud, lealtad, transparencia, minimización) y, para cada tratamiento, identificar la base legal que lo legitima: cumplimiento normativo, ejecución contractual o interés legítimo debidamente ponderado.

Las bases jurídicas más habituales en un Manual PBC son:

• Cumplimiento de una obligación legal (obligaciones PBC/FT, cooperación con autoridades y conservación documental).
• Ejecución de contrato (prestación de servicios financieros, comerciales o de intermediación que requieren tratamiento de datos).
• Interés legítimo (gestión de fraude, seguridad y defensa frente a riesgos, cuando se documente la ponderación de derechos).

Es recomendable documentar la base legal aplicable a cada actividad (onboarding, monitoreo transaccional, reporting y retención) en el Registro de Actividades y en el propio Manual PBC.

Mapear tratamientos y justificar la base legal reduce riesgos regulatorios y facilita la respuesta ante supervisores.

Las personas (clientes, empleados, proveedores) conservan derechos sobre sus datos: acceso, rectificación, supresión, limitación, oposición y portabilidad, salvo las limitaciones previstas por la normativa PBC/FT.

En contextos PBC, algunos derechos pueden verse restringidos temporalmente por obligaciones de conservación o por la necesidad de preservar investigaciones y procedimientos internos.

Todas las solicitudes de derechos deben tramitarse dentro de los plazos legales y previa verificación segura de la identidad del solicitante.

Buenas prácticas:

• Centralizar las solicitudes en un responsable de datos con un canal oficial (correo seguro o formulario).
• Verificar identidad con procedimientos reforzados antes de facilitar información sensible.
• Registrar cada solicitud, la decisión adoptada y la justificación legal en caso de denegación o limitación.
• Formar a equipos operativos para detectar solicitudes que puedan afectar investigaciones PBC.

Una gestión diligente de los derechos protege a la entidad y mantiene la confianza de clientes y autoridades.

Bancos, entidades de pago, proveedores de servicios financieros, y determinados profesionales y sectores (inmobiliarias, abogados, auditores, casinos, comerciantes de bienes de alto valor, etc.) deben cumplir obligaciones PBC/FT: identificación de clientes y beneficiarios reales, evaluación de riesgos, aplicación de KYC/KYB y conservación de documentación.

Estas obligaciones abarcan procesos de incorporación, operaciones de alto valor, servicios OTC, corresponsalía y relaciones con contrapartes en jurisdicciones distintas.

Debe existir un procedimiento documentado que regule KYC/KYB, verificación de origen de fondos, controles transaccionales y mecanismos de reporte a autoridades cuando proceda.

La diligencia debe ampliarse a contrapartes críticas: corresponsales bancarios, proveedores de custodia y socios comerciales de alto impacto.

Es imprescindible designar un Compliance Officer con acceso a la dirección y, cuando proceda, un Órgano de Control Interno (OCI) encargado de supervisar el programa PBC.

El Compliance Officer debe disponer de independencia funcional, capacidad para suspender o escalar operaciones sospechosas y autoridad para coordinar reportes y respuestas regulatorias.

El OCI valida metodologías RBA, aprueba auditorías y coordina equipos legales, de cumplimiento y operativos.

La ausencia de responsables formales o canales claros incrementa el riesgo de sanciones y daños reputacionales.

Aplicar KYC/KYB proporcional al perfil del cliente: identificar personas físicas y jurídicas, verificar beneficiarios reales y recabar evidencia sobre origen de fondos en operaciones de riesgo o alto valor.

Se deben contemplar diferentes tipos de cliente (minorista, institucional, market makers, grandes patrimonios) y adaptar los requisitos documentales y las vías de verificación.

Elementos prácticos:

• Checklists KYC por tipo de cliente y por producto.
• Verificación documental y digital mediante proveedores certificados y controles antifraude.
• Detección y desagregación de beneficiarios reales en estructuras societarias complejas.
• Solicitar evidencia del origen de fondos en operaciones atípicas o transaccionalmente intensas.

Un KYC/KYB sólido facilita la relación con bancos corresponsales, autoridades y socios comerciales.

El enfoque basado en riesgo (RBA) clasifica clientes, productos y operaciones según factores como jurisdicción, naturaleza de la actividad, historial transaccional y complejidad estructural.

Factores a valorar:

• Tipo de actividad y producto (servicios financieros, transacciones internacionales, bienes de alto valor).
• Origen geográfico y exposición a jurisdicciones de riesgo.
• Estructura jurídica y uso de intermediarios que dificulten la identificación del beneficiario real.
• Patrones transaccionales y señales de comportamiento inusual.

La RBA determina si procede diligencia estándar o diligencia reforzada (EDD), la frecuencia de revisiones y los triggers para bloquear o escalar operaciones. La metodología y los indicadores deben quedar documentados.

Documentar la RBA facilita justificar decisiones frente a auditores y supervisores y priorizar recursos de cumplimiento.

El Manual PBC debe integrar políticas de KYC/KYB, metodología RBA, procedimientos de monitoreo transaccional, gestión de incidentes y reporting interno y externo.

El documento incluirá política de conservación documental, criterios de retención, propietarios de procesos y gestión de proveedores críticos (corresponsales, custodios, proveedores tecnológicos).

Debe establecer protocolos de escalado, bloqueo temporal de operaciones, revisiones periódicas y procedimientos para atender requerimientos de autoridades.

Un manual actualizado y sometido a pruebas demuestra diligencia y reduce la exposición ante supervisores y bancos corresponsales.

Debe establecerse un canal interno seguro para la gestión de alertas, con criterios claros para escalar y un procedimiento para comunicar a la unidad de inteligencia financiera cuando proceda, preservando la confidencialidad.

Señales de alerta frecuentes:

• Operaciones sin justificación económica clara o con documentación insuficiente sobre el origen de fondos.
• Fraccionamiento sistemático de transacciones para evitar umbrales de control.
• Relaciones con clientes o contrapartes en jurisdicciones sancionadas o de alto riesgo.
• Uso de estructuras societarias complejas que oculten beneficiarios reales.

El Compliance Officer evalúa la información y, si procede, remite la comunicación oficial sin alertar a los implicados para no perjudicar investigaciones.

Un proceso documentado y ágil reduce riesgos penales y mejora la cooperación con autoridades y socios.

Implementar controles proporcionales: cifrado de datos sensibles, autenticación multifactor, control de accesos por roles, logging de auditoría y separación entre entornos de producción y pruebas.

Es esencial mantener conciliaciones contables, controles sobre canales de pago y procedimientos seguros de firma y autorización.

Buenas prácticas:

• Repositorios y carpetas con accesos restringidos y registros de auditoría.
• Entornos separados para desarrollo, pruebas y producción con procesos de despliegue seguros.
• Integración de screening automático de sanciones y PEPs en los workflows operativos.

Estos controles permiten operar con confianza frente a supervisores, bancos y proveedores, y reducen la superficie de riesgo operativo.

Realizar due diligence continua a proveedores y contrapartes críticos (corresponsales, custodios, proveedores tecnológicos y de verificación) y exigir evidencias de cumplimiento y controles adecuados.

Los contratos deben incluir cláusulas AML, medidas de seguridad, obligaciones de notificación de incidentes y derechos de auditoría; solicitar políticas, certificaciones y resultados de auditorías relevantes.

Una debida diligencia sólida reduce la responsabilidad compartida y mejora la resiliencia operativa y de cumplimiento.

Capacitar periódicamente a equipos comerciales, técnicos y de cumplimiento en riesgos, señales de alerta, procedimientos KYC y tratamiento de datos sensibles.

Realizar auditorías internas y externas, ejercicios de revisión de alertas y pruebas de estrés para identificar fallos operativos o debilidades en controles.

La formación continua y las pruebas de efectividad muestran cultura de cumplimiento y reducen la probabilidad de sanciones.

El incumplimiento de obligaciones PBC/FT puede conllevar sanciones administrativas o penales, restricciones operativas y pérdida reputacional.

Las relaciones internacionales exigen cumplimiento de listas de sanciones (UE, ONU, OFAC u otras aplicables) y protocolos de cooperación con supervisores y fuerzas de seguridad.

Mantener cumplimiento internacional y medidas de cooperación protege la reputación y la capacidad operativa de la entidad.