Unidad Reguladora y de Control de Datos Personales

VISTO: La consulta relativa a la comunicación de datos personales en el ámbito de la lucha contra el lavado de activos y el financiamiento del terrorismo

RESULTANDO: 1. Que, en el marco de la promulgación del decreto N° 95/025, de 28 de abril de 2025 -por el que se crea el Sistema Integral de Lucha contra el Crimen Organizado y el Narcotráfico- se consulta con respecto a la comunicación de datos de distintas entidades públicas con la Secretaría Nacional para la Lucha contra el Lavado de Activos y el Financiamiento del Terrorismo (SENACLAFT);

2. Que de conformidad con el artículo 4° de la Ley N° 19.574, de 20 de diciembre de 2017, la SENACLAFT tiene por objetivo diseñar líneas generales de acción para la lucha contra el lavado de activos y el financiamiento del terrorismo, con cometidos asociados al control del cumplimiento de las normas en materia de prevención de lavado y financiamiento de terrorismo por los sujetos obligados, con amplias facultades de investigación y fiscalización, la formalización de convenios con otras instituciones, y la imposición eventual de sanciones por incumplimientos.

CONSIDERANDO: 1. Que esta Unidad ya se ha pronunciado en anteriores oportunidades con respecto a la comunicación de datos personales con los fines indicados en los Resultandos, en particular a través de los los dictámenes N° 11/019, de 24 de setiembre de 2019 y N° 16/019, de 5 de noviembre de 2019, asociados a la publicación de información de sanciones a sus sujetos obligados en general, y a la entrega de copia de resoluciones que imponen sanciones a sujetos obligados no financieros al Tribunal de lo Contencioso Administrativo; 

2. Que, adicionalmente y en informe N° 249 de 25 de junio de 2018, en el expediente 2018-2-10-000292, aprobado por este Consejo Ejecutivo, se informó que las comunicaciones de la Caja de Jubilaciones y Pensiones de Profesionales Universitarios y la Caja Notarial de Seguridad Social a la SENACLAFT se encontraba amparada por las normas en protección de datos, por existir un interés público y porque se requería “en el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal” (art. 9° literal B por remisión del artículo 17 literal B de la Ley N° 18.331, de 11 de agosto de 2008);

3. Que, en relación al tratamiento de información vinculada al ámbito analizado, corresponde señalar que, como se afirmó en dictamen N° 5/021, de 13 de abril de 2021, la aplicación de eventuales excepciones como la prevista en el literal C del artículo 3° de la Ley N° 18.331, es de aplicación exclusivamente a los órganos de contralor y no a sujetos obligados por la Ley N° 19.574 y su reglamentación;

4. Que, esta Unidad ha participado activamente en la redacción de recomendaciones internacionales en el marco del Consejo de Europa que compatibilizan las normas en materia de protección de datos personales con las recomendaciones en prevención del lavado de activos y financiamiento del terrorismo elaboradas por el Grupo de Acción Financiera Internacional (GAFI), aprobándose las “Guidelines on data protection for the processing of personal data for anti-money laundering/countering the financing of terrorism purposes”, disponible en la página web del citado organismo internacional; 

5. Que, corresponde recordar que con la sanción de la Ley N° 19.670, de 15 de octubre de 2018 (arts. 37 a 40), y la posterior reglamentación dada por el decreto N° 64/020, de 17 de febrero de 2020, se han incorporado obligaciones adicionales para los responsables y encargados de tratamiento, los que deben considerar aspectos de privacidad por defecto y por diseño, comunicar un delegado de protección de datos y realizer evaluaciones de impacto en la protección de datos cuando corresponda;

6. Que, debe contemplarse además la aplicación de las normas en materia de transferencia internacional previstas en particular en el artículo 23 de la Ley N° 18.331, por la relevancia de la cooperación internacional en la materia.

ATENTO a lo expuesto e informado,  

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

DICTAMINA:

1. Indicar que la aplicación de las excepciones previstas en los artículos 3° literal C, 9°, 17° y 23 de la Ley N° 18.331, en el ámbito de la lucha contra el lavado de activos y el financiamiento del terrorismo, deben ser analizadas en el marco de casos concretos, siendo su consideración responsabilidad del “responsable” (art. 4 literal K de la Ley N° 18.331) y, eventualmente, del encargado de tratamiento (art. 4 literal H de la Ley N° 18.331).
2. Reiterar la consideración de las recomendaciones que resultan de los antecedentes de la Unidad referidos en el presente dictamen, y en particular, las que emergen del documento del Consejo de Europa “Guidelines on data protection for the processing of personal data for anti-money laundering/countering the financing of terrorism purposes”.
3. Recordar que las entidades públicas y las privadas que traten grandes volúmenes de datos o datos sensibles como negocio principal deben comunicar la designación de un delegado de protección de datos, contemplar medidas especiales de privacidad por diseño y por defecto, y en los casos previstos en el decreto N° 64/020, de 17 de febrero de 2020, realizar una evaluación de impacto en la protección de datos personales.
4. NOTIFÍQUESE Y PUBLÍQUESE 

Firmado por: Dr. Felipe Rotondo

Consejo Ejecutivo

URCDP