Sección 1.ª Disposiciones comunes
Artículo 31. Procedimientos de control interno
1. Los sujetos obligados aprobarán por escrito y aplicarán políticas y procedimientos adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo. Los corredores de seguros y los sujetos obligados comprendidos en los apartados i) a u), ambos inclusive, del artículo 2.1 de la Ley 10/2010, de 28 de abril, que, con inclusión de los agentes, ocupen a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 2 millones de euros, quedan exceptuados de las obligaciones referidas en este artículo y en los artículos 32, 33, 35, 38 y 39. Estas excepciones no serán aplicables a los sujetos obligados integrados en un grupo empresarial que supere dichas cifras. 2. Las políticas y procedimientos de prevención del blanqueo de capitales y de la financiación del terrorismo serán aprobados por el órgano de administración del sujeto obligado que, en los supuestos del artículo 2.1 n) de la Ley 10/2010, de 28 de abril, serán las organizaciones colegiales. En el supuesto de sujetos obligados cuyo volumen de negocios anual supere 50 millones de euros o cuyo balance general anual supere 43 millones de euros, los procedimientos a través de los cuales se implementen las políticas de prevención del blanqueo de capitales y la financiación del terrorismo podrán ser aprobados por el órgano de control interno al que se refiere el artículo 35.2. 3. Los umbrales fijados para la determinación de las medidas de control interno aplicables conforme a esta sección y las exigencias en materia de conservación de documentos a que hace referencia el artículo 28 serán interpretados de conformidad con los criterios establecidos en la Recomendación 2003/361 de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Artículo 32. Análisis de riesgo
1. Los procedimientos de control interno se fundamentarán en un previo análisis de riesgo que será documentado por el sujeto obligado. El análisis identificará y evaluará los riesgos del sujeto obligado por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones y canales de distribución, tomando en consideración variables tales como el propósito de la relación de negocios, el nivel de activos del cliente, el volumen de las operaciones y la regularidad o duración de la relación de negocios. 2. El análisis de riesgo será revisado periódicamente y, en todo caso, cuando se verifique un cambio significativo que pudiera influir en el perfil de riesgo del sujeto obligado. Asimismo, será preceptiva la realización y documentación de un análisis de riesgo específico con carácter previo al lanzamiento de un nuevo producto, la prestación de un nuevo servicio, el empleo de un nuevo canal de distribución o el uso de una nueva tecnología por parte del sujeto obligado, debiendo aplicarse medidas adecuadas para gestionar y mitigar los riesgos identificados en el análisis.
Artículo 33. Manual de prevención
1. Los procedimientos de control interno que establezcan los sujetos obligados serán documentados en un manual de prevención del blanqueo de capitales y de la financiación del terrorismo que comprenderá, como mínimo, los siguientes aspectos: b) Un procedimiento estructurado de diligencia debida que incluirá la periódica actualización de la documentación e información exigibles. La actualización será, en todo caso, preceptiva cuando se verifique un cambio relevante en la actividad del cliente que pudiera influir en su perfil de riesgo. c) Un procedimiento estructurado de aplicación de las medidas de diligencia debida a los clientes existentes en función del riesgo que tendrá en cuenta, en su caso, las medidas aplicadas previamente y la adecuación de los datos obtenidos. d) Una relación de hechos u operaciones que, por su naturaleza, puedan estar relacionados con el blanqueo de capitales o la financiación del terrorismo, estableciendo su periódica revisión y difusión entre los directivos, empleados y agentes del sujeto obligado. e) Una descripción detallada de los flujos internos de información, con instrucciones precisas a los directivos, empleados y agentes del sujeto obligado sobre cómo proceder en relación con los hechos u operaciones que, por su naturaleza, puedan estar relacionados con el blanqueo de capitales o la financiación del terrorismo. f) Un procedimiento para la detección de hechos u operaciones sujetos a examen especial, con descripción de las herramientas o aplicaciones informáticas implantadas y de las alertas establecidas. g) Un procedimiento estructurado de examen especial que concretará de forma precisa las fases del proceso de análisis y las fuentes de información a emplear, formalizando por escrito el resultado del examen y las decisiones adoptadas. h) Una descripción detallada del funcionamiento de los órganos de control interno, que incluirá su composición, competencias y periodicidad de sus reuniones. i) Las medidas para asegurar el conocimiento de los procedimientos de control interno por parte de los directivos, empleados y agentes del sujeto obligado, incluida su periódica difusión y la realización de acciones formativas de conformidad con un plan anual. j) Las medidas a adoptar para verificar el cumplimiento de los procedimientos de control interno por parte de los directivos, empleados y agentes del sujeto obligado. k) Los requisitos y criterios de contratación de agentes, que deberán obedecer a lo dispuesto en el artículo 37.2. l) Las medidas a adoptar para asegurarse de que los corresponsales del sujeto obligado aplican procedimientos adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo. m) Un procedimiento de verificación periódica de la adecuación y eficacia de las medidas de control interno. En los sujetos obligados que dispongan de departamento de auditoría interna corresponderá a éste dicha función de verificación. n) La periódica actualización de las medidas de control interno, a la luz de los desarrollos observados en el sector y del análisis del perfil de negocio y operativa del sujeto obligado. ñ) Un procedimiento de conservación de documentos que garantice su adecuada gestión e inmediata disponibilidad.
Artículo 34. Adecuación de los procedimientos de control interno
Los procedimientos de control interno deberán permitir al sujeto obligado: b) Verificar la efectiva aplicación de los controles previstos y reforzarlos en caso necesario. c) Adoptar y aplicar medidas reforzadas para gestionar y mitigar los riesgos más elevados. d) Agregar las operaciones realizadas a fin de detectar potenciales fraccionamientos y operaciones conectadas. e) Determinar, con carácter previo, si procede el conocimiento y verificación de la actividad profesional o empresarial del cliente. f) Detectar cambios en el comportamiento operativo de los clientes o inconsistencias con su perfil de riesgo. g) Impedir la ejecución de operaciones cuando no consten completos los datos obligatorios del cliente o de la operación. h) Impedir la ejecución de operaciones por parte de personas o entidades sujetas a prohibición de operar. i) Seleccionar para su análisis operaciones en función de alertas predeterminadas y adecuadas a su actividad. j) Mantener una comunicación directa del órgano de control interno con la red comercial. k) Atender de forma rápida, segura y eficaz los requerimientos de documentación e información de la Comisión, de sus órganos de apoyo o de cualquier otra autoridad pública legalmente habilitada. l) Cumplimentar la comunicación sistemática de operaciones al Servicio Ejecutivo de la Comisión o, en su caso, la comunicación semestral negativa.
Artículo 35. Órganos de control interno
1. Los sujetos obligados designarán un representante ante el Servicio Ejecutivo de la Comisión, que será responsable del cumplimiento de las obligaciones de información establecidas en la Ley 10/2010, de 28 de abril. El representante podrá designar, asimismo, hasta dos personas autorizadas que actuarán bajo la dirección y responsabilidad del representante ante el Servicio Ejecutivo de la Comisión. La propuesta de nombramiento del representante y, en su caso, de los autorizados, acompañada de una descripción detallada de su trayectoria profesional, será comunicada al Servicio Ejecutivo de la Comisión que, de forma razonada, podrá formular reparos u observaciones. Asimismo, se comunicará al Servicio Ejecutivo de la Comisión el cese o sustitución del representante o personas autorizadas cuando tenga carácter disciplinario. 2. Los sujetos obligados establecerán un órgano de control interno responsable de la aplicación de los procedimientos de prevención del blanqueo de capitales y de la financiación del terrorismo. La constitución de un órgano de control interno no será preceptiva en los sujetos obligados comprendidos en el apartado i) y siguientes del artículo 2.1 de la Ley 10/2010, de 28 de abril, y en los corredores de seguros cuando, con inclusión de los agentes, ocupen a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 10 millones de euros, desempeñando en tales casos sus funciones el representante ante el Servicio Ejecutivo de la Comisión. Esta excepción no será aplicable a los sujetos obligados integrados en un grupo empresarial que supere dichas cifras. 3. Los sujetos obligados, cuyo volumen de negocios anual exceda de 50 millones de euros o cuyo balance general anual exceda de 43 millones de euros, contarán con una unidad técnica para el tratamiento y análisis de la información. La unidad técnica deberá contar con personal especializado, en dedicación exclusiva y con formación adecuada en materia de análisis.
Artículo 36. Medidas de control interno a nivel de grupo
1. Los sujetos obligados que conformen un grupo empresarial que integre filiales o sucursales mayoritariamente participadas domiciliadas en terceros países, aprobarán políticas de prevención del blanqueo de capitales y de la financiación del terrorismo aplicables a todo el grupo, orientadas al cumplimiento de lo establecido en el artículo 31.1 de la Ley 10/2010, de 28 de abril. En estas políticas se incluirán, en todo caso, los procedimientos para la transmisión de información entre los miembros del grupo, estableciendo las cautelas adecuadas en relación con el uso de la información transmitida. Cuando el intercambio de información se haga con países que no ofrezcan un nivel de protección adecuado de conformidad con lo dispuesto en la normativa de protección de datos, será precisa la autorización de la transferencia internacional de datos por parte de la Agencia Española de Protección de Datos, en los términos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo. 2. Los procedimientos de control interno, se establecerán a nivel de grupo, siendo aplicables a todas las sucursales y filiales domiciliadas en España con participación mayoritaria del sujeto obligado. Los procedimientos de control interno a nivel de grupo deberán tener en cuenta los diferentes sectores de actividad, modelos de negocio y perfiles de riesgo y preverán los intercambios de información necesarios para una gestión integrada del riesgo. En particular, los órganos de control interno del grupo deberán tener acceso, sin restricción alguna, a cualquier información obrante en las filiales o sucursales que sea precisa para el desempeño de sus funciones de prevención del blanqueo de capitales y de la financiación del terrorismo. 3. A efectos del reglamento, resulta de aplicación la definición de grupo recogida en el artículo 42 del Código de Comercio. Para la aplicación al grupo empresarial de los umbrales previstos en las excepciones de los artículos 31 y siguientes, se tendrán en consideración únicamente aquellas filiales o sucursales del grupo que tengan la consideración de sujetos obligados conforme al artículo 2.1 de la Ley 10/2010, de 28 de abril.
Artículo 37. Medidas de control interno de aplicación a los agentes
1. Los sujetos obligados, sin perjuicio de su responsabilidad directa, se asegurarán del efectivo cumplimiento por parte de sus agentes de las obligaciones de prevención del blanqueo de capitales y de la financiación del terrorismo. A estos efectos, los sujetos obligados incluirán a los agentes en el ámbito de aplicación de sus procedimientos de control interno. Dichos procedimientos preverán, en particular, mecanismos específicos de seguimiento y control de las actividades de los agentes que se adaptarán al nivel de riesgo existente en función de las características concretas de la relación de agencia. En aquellos supuestos en los que el sujeto obligado determine que un agente ha incumplido grave o sistemáticamente los procedimientos de control interno, deberá poner fin al contrato de agencia, procediendo a examinar la operativa del agente de conformidad con lo dispuesto en el artículo 17 de la Ley 10/2010, de 28 de abril. 2. Los procedimientos de control interno establecerán mecanismos específicos que garanticen la aplicación de altos estándares éticos en la contratación de agentes. La operativa de los nuevos agentes será objeto de seguimiento reforzado por parte del sujeto obligado. 3. Los sujetos obligados mantendrán a disposición de la Comisión, de sus órganos de apoyo o de cualquier otra autoridad pública legalmente habilitada una relación completa y actualizada de sus agentes, que incluirá todos los datos necesarios para su adecuada identificación y localización. 4. Lo dispuesto en el presente artículo será igualmente aplicable a las personas o entidades no residentes que desarrollen en España, a través de agentes, actividades sujetas a obligaciones de prevención del blanqueo de capitales y de la financiación del terrorismo.
Artículo 38. Examen externo
1. Los informes de experto externo describirán y valorarán las medidas de control interno de los sujetos obligados a una fecha de referencia, de conformidad con lo dispuesto en el artículo 28 de la Ley 10/2010, de 28 de abril. Los informes deberán emitirse, en todo caso, dentro de los dos meses siguientes a la fecha de referencia. 2. Los órganos de administración del sujeto obligado adoptarán sin dilación las medidas necesarias para solventar las deficiencias identificadas en los informes de experto externo. En el caso de deficiencias que no sean susceptibles de resolución inmediata, los órganos de administración del sujeto obligado adoptarán, expresamente, un plan de remedio, que establecerá un calendario preciso para la implantación de las medidas correctoras. Dicho calendario no podrá exceder, con carácter general, de un año natural. 3. El examen externo incluirá todas las sucursales y filiales con participación mayoritaria del sujeto obligado. En relación con las sucursales y filiales situadas en países terceros, el experto verificará específicamente el efectivo cumplimiento de lo dispuesto en el artículo 31 de la Ley 10/2010, de 28 de abril. 4. En el caso de los órganos centralizados de prevención a los que se refiere el artículo 27 de la Ley 10/2010, de 28 de abril, el experto externo describirá y valorará su funcionamiento y la adecuación de sus medios humanos, materiales y técnicos. Asimismo, el experto externo comprobará, mediante muestreo estadístico, la efectiva implantación de las medidas de prevención del blanqueo de capitales y de la financiación del terrorismo por parte de los profesionales incorporados al órgano centralizado de prevención.
Artículo 39. Formación
1. Los sujetos obligados aprobarán un plan anual de formación en materia de prevención del blanqueo de capitales y de la financiación del terrorismo. 2. El plan de formación se fundamentará en los riesgos identificados, de conformidad con el artículo 32, y preverá acciones formativas específicas para los directivos, empleados y agentes del sujeto obligado. Tales acciones formativas, que deberán ser apropiadamente acreditadas, serán congruentes con el grado de responsabilidad de los receptores y el nivel de riesgo de las actividades que desarrollen. 3. Anualmente, los sujetos obligados documentarán el grado de cumplimiento del plan de formación. El examen externo a que se refiere el artículo 38 valorará la adecuación de las acciones formativas realizadas por el sujeto obligado. 4. Los sujetos obligados para los que no resulte preceptiva la aprobación de un plan anual de formación, deberán acreditar que el representante ante el Servicio Ejecutivo de la Comisión ha recibido formación externa adecuada para el ejercicio de sus funciones.
Artículo 40. Altos estándares éticos en la contratación de empleados, directivos y agentes
1. Los procedimientos de los sujetos obligados deberán garantizar altos estándares éticos en la contratación de directivos, empleados o agentes conforme a lo dispuesto en el artículo 30.2 de la Ley 10/2010 de 28 de abril. A estos efectos, se aplicarán a estos colectivos los criterios de idoneidad fijados por la normativa sectorial que les resulte de aplicación. 2. En defecto de normativa específica, para la determinación de la concurrencia de altos estándares éticos en directivos, empleados o agentes del sujeto obligado, se tomará en consideración su trayectoria profesional, valorándose la observancia y respeto a las leyes mercantiles u otras que regulen la actividad económica y la vida de los negocios, así como a las buenas prácticas del sector de actividad de que se trate. 3. No se considerará que concurren altos estándares éticos cuando el empleado, directivo o agente: b) Haya sido sancionado mediante resolución administrativa firme con la suspensión o separación del cargo por infracción de la Ley 10/2010, de 28 de abril. Esta circunstancia se apreciará durante el tiempo que se prolongue la sanción.