CAPÍTULO IV · Del control interno
Artículo 26. Políticas y procedimientos
1. Los sujetos obligados aprobarán por escrito y aplicarán políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones pertinentes y comunicación, con objeto de prevenir e impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo. 2. Los sujetos obligados aprobarán por escrito y aplicarán una política expresa de admisión de clientes. Dicha política incluirá una descripción de aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio. La política de admisión de clientes será gradual, adoptándose precauciones reforzadas respecto de aquellos clientes que presenten un riesgo superior al promedio. Cuando exista un órgano centralizado de prevención de las profesiones colegiadas sujetas a la presente ley, corresponderá al mismo la aprobación por escrito de la política expresa de admisión de clientes. 3. Las políticas y procedimientos serán de aplicación a las sucursales y filiales del grupo situadas en terceros países, sin perjuicio de las adaptaciones necesarias para el cumplimiento de las normas específicas del país de acogida, con las especificaciones que se determinen reglamentariamente. En el caso de sucursales y filiales del grupo en otros Estados miembros de la Unión Europea, los sujetos obligados darán cumplimiento a las obligaciones contenidas en el país de acogida. A efectos de la definición de grupo se estará a lo dispuesto en el artículo 42 del Código de Comercio. 4. Sin perjuicio de la aplicación de lo dispuesto en esta ley, las entidades españolas que operen en un país de la Unión Europea mediante agentes u otras formas de establecimiento permanente distintas a una sucursal, deberán cumplir con lo dispuesto en la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo del país en el que operan. 5. Los sujetos obligados deberán aprobar un manual adecuado de prevención del blanqueo de capitales y de la financiación del terrorismo, que se mantendrá actualizado, con información completa sobre las medidas de control interno a que se refieren los apartados anteriores. Para el ejercicio de su función de supervisión e inspección, el manual estará a disposición del Servicio Ejecutivo de la Comisión y, en caso de convenio, de los órganos supervisores de las entidades financieras. 6. El Servicio Ejecutivo de la Comisión y, en caso de convenio, los órganos supervisores de las entidades financieras, podrán proponer al Comité Permanente de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias la formulación de requerimientos instando a los sujetos obligados a adoptar las medidas correctoras oportunas respecto de sus manuales y procedimientos internos. 7. Reglamentariamente podrán determinarse los sujetos obligados exceptuados del cumplimiento de las obligaciones relacionadas en los apartados 1, 2 y 5 de este artículo.
Artículo 26 bis. Procedimientos internos de comunicación de potenciales incumplimientos
1. Los sujetos obligados establecerán procedimientos internos para que sus empleados, directivos o agentes puedan comunicar, incluso anónimamente, información relevante sobre posibles incumplimientos de esta ley, su normativa de desarrollo o las políticas y procedimientos implantados para darles cumplimiento, cometidos en el seno del sujeto obligado. Estos procedimientos podrán integrarse en los sistemas que hubiera podido establecer el sujeto obligado para la comunicación de informaciones relativas a la comisión de actos o conductas que pudieran resultar contrarios a la restante normativa general o sectorial que les fuere aplicable. 2. Será de aplicación a estos sistemas y procedimientos lo dispuesto en la normativa de protección de datos de carácter personal para los sistemas de información de denuncias internas. A estos efectos, se considerarán como órganos de control interno y cumplimiento exclusivamente los regulados en el artículo 26 ter. 3. Los sujetos obligados adoptarán medidas para garantizar que los empleados, directivos o agentes que informen de las infracciones cometidas en la entidad sean protegidos frente a represalias, discriminaciones y cualquier otro tipo de trato injusto. 4. La obligación de establecimiento del procedimiento de comunicación descrito en los apartados anteriores, no sustituye la necesaria existencia de mecanismos específicos e independientes de comunicación interna de operaciones sospechosas de estar vinculadas con el blanqueo de capitales o la financiación del terrorismo por parte de empleados a las que se refiere el artículo 18. 5. Reglamentariamente podrán determinarse los sujetos obligados exceptuados del cumplimiento de la obligación prevista en este artículo.
Artículo 26 ter. Órgano de control interno y representante ante el Servicio Ejecutivo
1. Los sujetos obligados designarán como representante ante el Servicio Ejecutivo de la Comisión a una persona residente en España que ejerza cargo de administración o dirección de la sociedad. En los grupos que integren varios sujetos obligados, el representante será único y deberá ejercer cargo de administración o dirección de la sociedad dominante del grupo. En el caso de empresarios o profesionales individuales será representante ante el Servicio Ejecutivo de la Comisión el titular de la actividad. 2. Con las excepciones que se determinen reglamentariamente, la propuesta de nombramiento del representante, acompañada de una descripción detallada de su trayectoria profesional, será comunicada al Servicio Ejecutivo de la Comisión que, de forma razonada, podrá formular reparos u observaciones. El representante ante el Servicio Ejecutivo de la Comisión será responsable del cumplimiento de las obligaciones de información establecidas en la presente ley, para lo que tendrá acceso sin limitación alguna a cualquier información obrante en el sujeto obligado así como en cualquiera de las entidades del grupo, en su caso. 3. Los sujetos obligados cuya administración central se encuentre en otro Estado miembro de la Unión Europea y que operen en España mediante agentes u otras formas de establecimiento permanente distintas de la sucursal deberán nombrar un representante residente en España, que tendrá la consideración de punto central de contacto. Los sujetos obligados que operen en España en régimen de libre prestación de servicios deberán asimismo designar un representante ante el Servicio Ejecutivo de la Comisión, sin que sea exigible su residencia en España. 4. Los sujetos obligados establecerán un órgano adecuado de control interno responsable de la aplicación de las políticas y procedimientos a que se refiere el artículo 26. El órgano de control interno, que contará, en su caso, con representación de las distintas áreas de negocio del sujeto obligado, se reunirá, levantando acta expresa de los acuerdos adoptados, con la periodicidad que se determine en el procedimiento de control interno. 5. Para el ejercicio de sus funciones el representante ante el Servicio Ejecutivo de la Comisión y el órgano de control interno deberán contar con los recursos materiales, humanos y técnicos necesarios. 6. Los órganos de prevención del blanqueo de capitales y la financiación del terrorismo operarán, en todo caso, con separación funcional del departamento o unidad de auditoría interna del sujeto obligado. 7. Reglamentariamente se determinarán las categorías de sujetos obligados que puedan exceptuarse de la obligación de constitución de un órgano de control interno, siendo las funciones de éste ejercidas en tales supuestos por el representante ante el Servicio Ejecutivo de la Comisión. La norma reglamentaria determinará también las categorías de sujetos obligados para los que sea exigible la constitución de unidades técnicas para el tratamiento y análisis de la información.
Artículo 27. Órganos centralizados de prevención
1. Mediante orden del Ministro Economía y Empresa podrá acordarse la constitución de órganos centralizados de prevención de las profesiones colegiadas sujetas a la presente Ley. Los órganos centralizados de prevención tendrán por función la intensificación y canalización de la colaboración de las profesiones colegiadas con las autoridades judiciales, policiales y administrativas responsables de la prevención y represión del blanqueo de capitales y de la financiación del terrorismo, sin perjuicio de la responsabilidad directa de los profesionales incorporados como sujetos obligados. El representante del órgano centralizado de prevención tendrá la condición de representante de los profesionales incorporados a efectos de lo dispuesto en el artículo 26 ter. 2. Los órganos centralizados de prevención examinarán, por propia iniciativa o a petición de los profesionales incorporados, las operaciones a que se refiere el artículo 17, comunicándolas al Servicio Ejecutivo de la Comisión cuando concurran las circunstancias establecidas en el artículo 18. Los profesionales incorporados deberán facilitar al órgano centralizado de prevención toda la información que éste les requiera para el ejercicio de sus funciones. Asimismo, de conformidad con lo dispuesto en el artículo 21, los profesionales incorporados facilitarán toda la documentación e información que la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o sus órganos de apoyo les requieran, directamente o por intermedio del órgano centralizado de prevención, para el ejercicio de sus competencias. 3. Con excepción de los funcionarios a que se refiere el artículo 2.1.n), la incorporación de los sujetos obligados a los órganos centralizados de prevención será voluntaria.
Artículo 28. Examen externo
1. Las medidas y órganos de control interno a que se refieren los artículos 26, 26 bis y 26 ter serán objeto de examen anual por un experto externo. Los resultados del examen serán consignados en un informe escrito que describirá detalladamente las medidas de control interno existentes, valorará su eficacia operativa y propondrá, en su caso, eventuales rectificaciones o mejoras. No obstante, en los dos años sucesivos a la emisión del informe podrá éste ser sustituido por un informe de seguimiento emitido por el experto externo, referido exclusivamente a la adecuación de las medidas adoptadas por el sujeto obligado para solventar las deficiencias identificadas. Mediante orden del Ministro de Economía y Empresa podrán aprobarse los modelos a que habrán de ajustarse los informes emitidos. El informe se elevará en el plazo máximo de tres meses desde la fecha de emisión al Consejo de Administración o, en su caso, al órgano de administración o al principal órgano directivo del sujeto obligado, que adoptará las medidas necesarias para solventar las deficiencias identificadas. 2. Los sujetos obligados deberán encomendar la práctica del examen externo a personas que reúnan condiciones académicas y de experiencia profesional que las hagan idóneas para el desempeño de la función. Quienes pretendan actuar como expertos externos deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Los sujetos obligados no podrán encomendar la práctica del examen externo a aquellas personas físicas que les hayan prestado o presten cualquier otra clase de servicios retribuidos durante los tres años anteriores o posteriores a la emisión del informe. 3. El informe estará en todo caso a disposición de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o de sus órganos de apoyo durante los cinco años siguientes a la fecha de emisión. 4. La obligación establecida en este artículo no será exigible a los empresarios o profesionales individuales.
Artículo 29. Formación de empleados
Los sujetos obligados adoptarán las medidas oportunas para que sus empleados tengan conocimiento de las exigencias derivadas de esta Ley. Estas medidas incluirán la participación debidamente acreditada de los empleados en cursos específicos de formación permanente orientados a detectar las operaciones que puedan estar relacionadas con el blanqueo de capitales o la financiación del terrorismo e instruirles sobre la forma de proceder en tales casos. Las acciones formativas serán objeto de un plan anual que, diseñado en función de los riesgos del sector de negocio del sujeto obligado, será aprobado por el órgano de control interno.
Artículo 30. Protección e idoneidad de empleados, directivos y agentes
1. Los sujetos obligados adoptarán las medidas adecuadas para mantener la confidencialidad sobre la identidad de los empleados, directivos o agentes que hayan realizado una comunicación de operativa que presente indicios o certeza de estar relacionado con el blanqueo de capitales o la financiación del terrorismo a los órganos de control interno. El representante a que se refiere el artículo 26 ter será la persona que comparecerá en toda clase de procedimientos administrativos o judiciales en relación con los datos recogidos en las comunicaciones al Servicio Ejecutivo de la Comisión o cualquier otra información complementaria que pueda referirse a aquéllas cuando se estime imprescindible obtener la aclaración, complemento o confirmación del propio sujeto obligado. 2. Los sujetos obligados establecerán por escrito y aplicarán políticas y procedimientos adecuados para asegurar altos estándares éticos en la contratación de empleados, directivos y agentes. 3. Toda autoridad o funcionario tomará las medidas apropiadas a fin de proteger frente a cualquier amenaza o acción hostil a los empleados, directivos o agentes de los sujetos obligados que lleven a cabo estas comunicaciones, siendo aplicables las medidas de protección establecidas en el artículo 65.1.
Artículo 31. Sucursales y filiales en terceros países
1. Los sujetos obligados aplicarán en sus sucursales y filiales con participación mayoritaria situadas en terceros países medidas de prevención del blanqueo de capitales y de la financiación del terrorismo al menos equivalentes a las establecidas por el derecho comunitario. El Servicio Ejecutivo de la Comisión podrá supervisar la idoneidad de tales medidas. 2. Cuando el derecho del tercer país no permita la aplicación de medidas equivalentes a las establecidas por el derecho de la Unión Europea, los sujetos obligados adoptarán respecto de sus sucursales y filiales con participación mayoritaria medidas adicionales para hacer frente eficazmente al riesgo de blanqueo de capitales o de financiación del terrorismo. Las entidades financieras deberán aplicar medidas de conformidad con lo dispuesto en el Reglamento Delegado (UE) 2019/758, de la Comisión, de 31 de enero de 2019, por el que se completa la Directiva (UE) 2015/849 en lo que respecta a las normas técnicas de regulación sobre las medidas mínimas y el tipo de medidas adicionales que han de adoptar las entidades de crédito y financieras para atenuar el riesgo de blanqueo de capitales y de financiación del terrorismo en determinados terceros países. Asimismo, los sujetos obligados informarán al Servicio Ejecutivo de la Comisión de esta circunstancia en el plazo máximo de siete días después de identificar al tercer país, que podrá proponer al Comité Permanente de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias la formulación de requerimientos para la adopción de medidas de obligado cumplimiento. 3. En todo caso, el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias informará a la Autoridad Bancaria Europea de aquellos casos en que el derecho del tercer país no permita la aplicación de medidas equivalentes y en los que se pueda actuar en el marco de un procedimiento acordado para hallar una solución.
Artículo 32. Protección de datos de carácter personal
1. El tratamiento de datos personales para el cumplimiento de las obligaciones establecidas en el capítulo III de esta ley se encuentra amparado por lo dispuesto en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el artículo 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no precisando del consentimiento del interesado. Tampoco será necesario el consentimiento para las comunicaciones de datos previstas en el citado capítulo y, en particular, para las previstas en el artículo 24.2, quedando igualmente amparadas por el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre. 2. En virtud de lo dispuesto en el artículo 24.1, y de conformidad con el artículo 14.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 14 del mencionado Reglamento en relación con los tratamientos a los que se refiere el apartado anterior. Asimismo, de conformidad con el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no procederá la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento en relación con los citados tratamientos. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo. Lo dispuesto en el presente apartado será igualmente aplicable a los tratamientos llevados a cabo por el Servicio Ejecutivo de la Comisión para el cumplimiento de las funciones que le otorga esta ley. 3. Los órganos centralizados de prevención a los que se refiere el artículo 27 tendrán la condición de encargados del tratamiento a los efectos previstos en la normativa de protección de datos personales. Se exceptúan de lo señalado en el párrafo anterior los tratamientos que llevasen a cabo los órganos centralizados de prevención de incorporación obligatoria en el ámbito de las funciones que se les atribuyan reglamentariamente. La norma reglamentaria especificará los supuestos en que estos órganos tengan la condición de responsables del tratamiento. 4. Los sujetos obligados deberán realizar una evaluación de impacto en la protección de datos de los tratamientos a los que se refiere este artículo a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos. En todo caso, el tratamiento deberá llevarse únicamente a cabo por los órganos a los que se refiere el artículo 26 ter de esta ley. 5. Serán de aplicación a los ficheros creados en aplicación de lo dispuesto en el capítulo III las medidas de seguridad y control reforzadas.
Artículo 32 bis. Protección de datos en el cumplimiento de las obligaciones de diligencia debida
1. El tratamiento de datos personales que resulte necesario para el cumplimiento de las obligaciones establecidas en el Capítulo II de esta ley se encuentra amparado por lo dispuesto en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 6.1 c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no precisando del consentimiento del interesado. 2. Los datos recogidos por los sujetos obligados para el cumplimiento de las obligaciones de diligencia debida no podrán ser utilizados para fines distintos de los relacionados con la prevención del blanqueo de capitales y la financiación del terrorismo sin el consentimiento del interesado, salvo que el tratamiento de dichos datos sea necesario para la gestión ordinaria de la relación de negocios. 3. Con carácter previo al establecimiento de la relación de negocios o la realización de una transacción ocasional, los sujetos obligados deberán facilitar a los nuevos clientes la información requerida en los artículos 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre. Dicha información contendrá, en particular, un aviso general sobre las obligaciones legales de los sujetos obligados con respecto al tratamiento de datos personales a efectos de prevención del blanqueo de capitales y la financiación del terrorismo. 4. Los sujetos obligados deberán realizar una evaluación de impacto en la protección de datos de los tratamientos a los que se refiere este artículo a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos.
Artículo 32 ter
1. Los sujetos obligados pertenecientes a una misma categoría de las establecidas en el artículo 2 de esta ley podrán crear sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada para el cumplimiento de las obligaciones de diligencia debida establecidas en el capítulo II, con excepción de la relacionada con el seguimiento continuo de la relación de negocios, regulada en el artículo 6. Los sujetos adheridos al sistema tendrán la condición de corresponsables del tratamiento a los efectos previstos en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en el artículo 29 de la Ley Orgánica 3/2018, de 5 de diciembre. El mantenimiento de estos sistemas podrá encomendarse a un tercero, aun cuando no tenga la condición de sujeto obligado. Los sujetos obligados corresponsables deberán comunicar a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias la intención de constituir estos sistemas al menos sesenta días antes de su puesta en funcionamiento. Esta comunicación no exime a las entidades financieras del cumplimiento de las obligaciones de notificación a que estén sujetas. 2. La comunicación de datos a los sistemas, así como el acceso a los datos incorporados a los mismos se encuentran amparados en lo dispuesto en el artículo 6.1.c) del Reglamento (UE) 2016/679, de 27 de abril de 2016, y en el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre. Los sujetos obligados solo podrán acceder a la información facilitada por otro sujeto obligado en los supuestos en que la persona a la que se refieran los datos sea su cliente o el acceso a la información sea necesario para el cumplimiento de las obligaciones de identificación previas al establecimiento de la relación de negocios previstas en el artículo 3. En este supuesto, solo se accederá a los datos necesarios a tal efecto. 3. Los datos serán facilitados al sistema por los órganos de control interno previstos en el artículo 26 ter. Estos órganos canalizarán asimismo las solicitudes de acceso a los datos contenidos en el sistema. En todo caso, los interesados deberán ser informados acerca de la comunicación de los datos al sistema, así como del acceso que pretendiese llevarse a cabo con carácter previo a que el mismo se produzca. 4. Los datos obtenidos como consecuencia del acceso al sistema únicamente podrán ser empleados para el cumplimiento por los sujetos obligados de lo dispuesto en el capítulo II de esta ley. 5. Corresponderá al sujeto obligado que hubiera proporcionado los datos al sistema responder de su exactitud y actualización, debiendo cumplir en su caso lo establecido en los artículos 17.2 y 19 del Reglamento (UE) 2016/679, de 27 de abril de 2016. Conforme al artículo 26.3 del Reglamento (UE) 2016/679, los interesados podrán ejercer los derechos que les reconoce el citado Reglamento frente a, y en contra de, cada uno de los responsables. Cuando el sujeto obligado compruebe, a la vista de la información que él mismo hubiese recabado en cumplimiento de sus deberes de diligencia debida, que los datos a los que hubiese accedido son incorrectos o no están actualizados, lo comunicará al sistema a fin de que los datos sean objeto de actualización o rectificación en su caso. Del mismo modo deberá proceder cuando aprecie que un documento incorporado al sistema deba ser sustituido por otro más reciente. 6. Sin perjuicio de las restantes medidas que deban adoptarse en cumplimiento de lo dispuesto en el capítulo V del Reglamento (UE) 2016/679, de 27 de abril de 2016, y el título VI de la Ley Orgánica 3/2018, de 5 de diciembre, el sistema de información incorporará medidas que garanticen la trazabilidad de los accesos al mismo. 7. La Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias podrá autorizar el establecimiento de sistemas comunes en que participen varias categorías de sujetos obligados, delimitando dichas categorías y la información que podrá ser compartida.
Artículo 33. Intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude
1. Sin perjuicio de lo establecido en el artículo 24.2, cuando concurran riesgos extraordinarios identificados mediante los análisis de riesgos en materia de blanqueo de capitales y financiación del terrorismo llevados a cabo por los sujetos obligados, o a través de la actividad de análisis e inteligencia financieros del Servicio Ejecutivo de la Comisión, o del análisis de riesgo nacional en materia de blanqueo de capitales y de la financiación del terrorismo, la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, previo dictamen conforme de la Agencia Española de Protección de Datos, podrá acordar el intercambio de información referida a determinado tipo de operaciones distintas de las previstas en los artículos 18 y 19 o a clientes sujetos a determinadas circunstancias siempre que el mismo se produzca entre sujetos obligados que se encuentren en una o varias de las categorías previstas en el artículo 2. El Acuerdo determinará en todo caso el tipo de operación o la categoría de cliente respecto de la que se autoriza el intercambio de información, así como las categorías de sujetos obligados que podrán intercambiar la información. 2. Asimismo, los sujetos obligados podrán intercambiar información relativa a las operaciones a las que se refiere el artículo 18 con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla. Quedarán excluidas aquellas operaciones que hayan sido objeto de devolución por el Servicio Ejecutivo de la Comisión, conforme al artículo 18.2. 3. El tratamiento de los datos personales al que se refieren los dos apartados anteriores, cuando proceda, se encontrará amparado en lo dispuesto en el artículo 8.2 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 6.1 e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no siendo preciso contar con el consentimiento del interesado. 4. De acuerdo con el artículo 24.1, y de conformidad con el artículo 14.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, no será de aplicación al tratamiento de datos la obligación de información prevista en el artículo 14 del Reglamento en relación con los tratamientos a los que se refieren los apartados 1 y 2. Asimismo, de conformidad con el artículo 23 del Reglamento (UE) 2016/679, no procederá la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento en relación con los citados tratamientos. En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo. 5. Los sujetos obligados o quienes desarrollen los sistemas que sirvan de soporte al intercambio de información al que se refieren los apartados 1 y 2 deberán realizar una evaluación de impacto en la protección de datos de los citados tratamientos a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Dichas medidas deberán en todo caso garantizar la trazabilidad de los accesos y comunicaciones de los datos. El acceso a los datos quedará limitado a los órganos de control interno previstos en el artículo 26 ter, con inclusión de las unidades técnicas que constituyan los sujetos obligados. 6. Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes en materia de prevención o represión del blanqueo de capitales o de la financiación del terrorismo podrán consultar la información contenida en los sistemas que fueren creados, de acuerdo con lo previsto en la normativa vigente en materia de protección de datos personales, siempre que el acceso a dicha información fuere necesario para las finalidades descritas en los apartados anteriores.