Volver a Noticias
Contenidos educativos

Compartir datos de clientes y KYC: qué está permitido y qué no

Compartir datos de clientes y KYC: qué está permitido y qué no

El intercambio de información KYC no equivale al reparto de responsabilidades en materia de prevención de blanqueo de capitales: una distinción jurídica relevante para toda transacción inmobiliaria

En las transacciones inmobiliarias con múltiples partes —en las que agentes, promotores, abogados y notarios tienen cada uno sus propias obligaciones independientes en materia de lucha contra el blanqueo de capitales— surge una cuestión de creciente urgencia práctica relativa a la admisibilidad de compartir información de KYC entre las entidades obligadas. La posición jurídica en virtud del Reglamento (UE) 2024/1624 (AMLR) se malinterpreta con frecuencia en la práctica, y las consecuencias de ese malentendido tienen un doble efecto: algunos profesionales se niegan a compartir datos que el reglamento permite —e incluso fomenta— que se compartan; otros dan por sentado que recibir datos de KYC de un tercero les exime de sus propias obligaciones de cumplimiento, lo cual no es así.

La posición jurídica correcta es clara y trascendental. Este artículo la expone.

El marco jurídico: lo que realmente dice el AMLR

La AMLR establece tres principios fundamentales relevantes para el intercambio de datos KYC en el sector inmobiliario:

1. Cada entidad obligada asume una responsabilidad independiente en materia de CDD. Independientemente de lo que haya hecho cualquier otra parte de una transacción, cada entidad obligada —el agente, el promotor, el notario y el abogado— sigue siendo responsable de forma independiente de su propia diligencia debida con respecto al cliente. La responsabilidad no es transferible.

2. Se permite la confianza en otra entidad obligada, bajo ciertas condiciones. Las disposiciones de la AMLR sobre la confianza en terceros permiten que una entidad obligada se base en la CDD realizada por otra, pero la entidad que confía en ella conserva la plena responsabilidad legal ante su propio supervisor. La confianza es una facilitación procedimental, no una exención.

3. Se permite el intercambio de información dentro de marcos jurídicos definidos. El considerando 147 de las AMLR establece explícitamente: «Las entidades obligadas y las autoridades competentes deben poder intercambiar información en el marco de una asociación para el intercambio de información». El mismo considerando deja igualmente claro que las entidades obligadas «no deben basarse únicamente en la información recibida a través del intercambio de información para extraer conclusiones sobre el riesgo de blanqueo de capitales y financiación del terrorismo del cliente».

Estos tres principios definen con precisión el límite legal: se pueden compartir documentos y datos fácticos verificados; no se pueden compartir evaluaciones de riesgo, determinaciones de EDD, decisiones de notificación y obligaciones de seguimiento continuo.

Dónde surge el malentendido en la práctica

En una operación inmobiliaria típica en la que intervienen un agente, un promotor, un abogado y un notario, cada parte puede intercambiar legalmente datos de identificación del cliente, información sobre el titular real (UBO), documentación sobre la propiedad de la sociedad, pruebas del origen de los fondos y resultados de la verificación, con sujeción a las salvaguardias aplicables del RGPD, la confidencialidad y la lucha contra el blanqueo de capitales.

Lo que ninguna de estas partes puede hacer es considerar la recepción de esa información como un sustituto de sus propias obligaciones independientes. Un notario que acepte el expediente KYC de un agente inmobiliario sin realizar su propia evaluación de riesgos no ha cumplido con la AMLR: se ha basado, sin verificación independiente, en el criterio de otra parte. Un promotor que se remita a las comprobaciones previas del cliente realizadas por un abogado sin aplicar su propia clasificación de riesgos ha incumplido su propia obligación de supervisión.

Tal y como confirma el análisis de DLA Piper sobre las disposiciones de intercambio de información de la AMLR: «Como miembros de asociaciones para el intercambio de información, las entidades obligadas pueden compartir información con el fin de llevar a cabo la diligencia debida sobre el cliente y notificar sospechas a las UIF». El nuevo paquete de medidas contra el blanqueo de capitales avanza hacia una mayor cooperación entre las entidades obligadas, no hacia un único punto de responsabilidad en materia de cumplimiento.

La ley no prohíbe el intercambio. Prohíbe la transferencia de responsabilidad.

La distinción estructural: una arquitectura de dos niveles

La posición jurídica descrita anteriormente se corresponde de forma natural con una arquitectura de dos niveles para cualquier modelo de intercambio de KYC que cumpla con la normativa:

Nivel básico permitido — compartible entre las entidades obligadas:

  • Verificación de la identidad y la dirección

  • Identificación y verificación del titular real último (UBO)

  • Estructuras de propiedad de las empresas

  • Documentación sobre el origen de los fondos

  • Historial de transacciones inmobiliarias

  • Resultados de la verificación de sanciones, PEP y noticias negativas en los medios

Nivel específico de la entidad — no compartible, determinado de forma independiente por cada entidad obligada:

  • Calificación y clasificación de riesgos

  • Requisitos y resultados de la diligencia debida reforzada

  • Evaluación de sospechas y decisiones sobre la presentación de SAR/STR

  • Parámetros y resultados de la supervisión continua

  • Notificación a la Unidad de Inteligencia Financiera nacional

Esta es la arquitectura hacia la que se encamina la AMLR: recopilar los datos de los clientes una sola vez y evaluar el riesgo en múltiples ocasiones —de forma independiente, por cada entidad obligada, en función de las obligaciones reglamentarias propias de cada entidad—.

El requisito tecnológico: por qué las plataformas KYC estándar no pueden cumplirlo

La distinción jurídica anterior crea un requisito tecnológico preciso que la mayoría de las plataformas KYC del mercado son estructuralmente incapaces de cumplir. Las soluciones estándar de verificación de identidad y KYC están diseñadas para recopilar y compartir datos. No están diseñadas para hacer cumplir la separación jurídica entre los datos fácticos compartidos de los clientes y las obligaciones independientes de evaluación de riesgos, que no se pueden compartir, que cada entidad obligada debe cumplir por sí misma.

Una plataforma KYC genérica que recopila documentos y los comparte entre las partes solo gestiona el primer nivel. No proporciona ningún mecanismo estructurado para que cada parte lleve a cabo y registre de forma independiente su propia clasificación de riesgos, determinación de EDD o evaluación de sospechas dentro del mismo entorno. Los datos y la obligación de cumplimiento están desvinculados, y no existe el registro reglamentario necesario para demostrar el cumplimiento independiente por parte de cada entidad obligada.

No se trata de una deficiencia operativa menor. En virtud de la AMLR, la incapacidad de demostrar una evaluación de riesgos independiente por parte de cada entidad obligada constituye un incumplimiento normativo para todas las partes que hayan recibido datos compartidos sin elaborar su propia evaluación documentada.

Immosurance: la única plataforma que ofrece ambas capas en un único entorno conforme al RGPD

Immosurance es la única plataforma de cumplimiento PBC en Europa diseñada específicamente para el sector inmobiliario que ofrece ambas capas de la arquitectura de intercambio de KYC conforme a la normativa en un único entorno integrado y conforme al RGPD.

La capa central —verificación de identidad, mapeo de UBO, documentación de propiedad corporativa, pruebas del origen de los fondos y cribado continuo de sanciones, PEP y noticias negativas en los medios— puede recopilarse una sola vez y ponerse a disposición de múltiples entidades obligadas dentro del marco legal y de protección de datos permitido. Esto elimina la duplicación que ha caracterizado el cumplimiento normativo inmobiliario entre múltiples partes y reduce la carga para los clientes, a quienes históricamente se les ha pedido repetir el mismo proceso de verificación con cada parte de su transacción.

La capa específica de la entidad se aplica como una unidad estructuralmente separada dentro de la plataforma. Cada entidad obligada que utiliza Immosurance mantiene su propio expediente de cumplimiento independiente, su propia evaluación de riesgos documentada, su propio flujo de trabajo de EDD y su propio registro de informes, ninguno de los cuales es accesible para otras partes ni se comparte con ellas. La arquitectura de acceso basada en roles garantiza que lo que cada entidad obligada debe determinar de forma independiente por ley se determine, por diseño, de forma independiente.

Ningún proveedor genérico de KYC, servicio de verificación de identidad o plataforma de intercambio de documentos del mercado ofrece esta combinación. La separación de los datos de clientes compartibles de la obligación de evaluación de riesgos no compartible —ambas aplicadas dentro de la misma plataforma, ambas conformes con el RGPD y ambas preparadas para auditorías— es exclusiva de Immosurance.

No se trata de una capacidad futura. Immosurance ya está operativo, a disposición de agentes inmobiliarios, promotores, abogados y notarios de toda Europa, en 14 idiomas, con una arquitectura de intercambio de KYC legalmente alineada con la orientación confirmada por la AMLR.

La distinción jurídica es clara. Los requisitos tecnológicos que plantea son exigentes. Immosurance es la respuesta.

Todos los artículos
Oferta por reserva anticipada

CONDICIONES PARA MADRUGADORES

Existen condiciones excepcionales para los madrugadores que pronto dejarán de estar disponibles. Asegúrese hoy mismo su precio preferente.
Ver precios