Por qué no existe en España un fichero común para el intercambio de información por indicios (art. 33.2 Ley 10/2010)

Por qué no existe en España un fichero común para el intercambio de información por indicios (art. 33.2 Ley 10/2010)

Una reflexión técnica y operativa diez años después

Cuando en 2010 se aprobó la Ley 10/2010, el artículo 33.2 introdujo una posibilidad inédita: permitir que los sujetos obligados intercambiasen información sobre operaciones rechazadas y comunicadas por indicios al SEPBLAC, con el fin de evitar que una operativa sospechosa se reprodujera en otra entidad.

Era, en esencia, un mecanismo de inteligencia compartida. Un puente horizontal entre OCIs. Una herramienta para anticipar riesgos.

Sin embargo, más de una década después, no existe en España ningún fichero común autorizado para este fin. La norma lo permite, el Reglamento lo desarrolla, la CPBCIM puede autorizarlo y la AEPD puede validarlo.

Pero no existe. ¿Por qué?

Lo que sigue es una explicación técnica, pero también cultural y operativa, de los factores que han bloqueado su creación.

1. El peso del artículo 24: la prohibición de revelación como barrera psicológica y jurídica

El artículo 24 de la Ley 10/2010 establece una prohibición de revelación especialmente estricta. Aunque el artículo 33.2 abre una excepción, la percepción generalizada en los OCIs es:

“Si me equivoco, la responsabilidad es mía.”

Ese temor —más emocional que jurídico— ha generado una cultura de prudencia extrema. La consecuencia es clara: nadie quiere ser el primero en mover ficha.

2. Falta de liderazgo institucional

Para que un fichero común exista, deben alinearse tres actores:

• CPBCIM, que debe autorizarlo
• AEPD, que debe emitir dictamen conforme
• SEPBLAC, que debe avalar la operativa

Ninguno de ellos ha impulsado activamente su creación. Y sin liderazgo institucional, el sector privado no se atreve a asumir el riesgo de promoverlo.

3. Complejidad tecnológica y exigencia de seguridad

Un fichero común de estas características exige:

• trazabilidad absoluta
• cifrado extremo
• control de accesos por credenciales verificadas
• auditoría continua
• separación total de otros sistemas antifraude
• registro de consultas y cesiones

Es un nivel de seguridad que solo unos pocos actores podrían sostener. Y aun así, con un coste elevado y una responsabilidad significativa.

4. Asimetría entre sujetos obligados

Los grandes bancos podrían participar sin dificultad. Los pequeños, no.

Esto genera preguntas sin respuesta:

• ¿Quién lo gestiona?
• ¿Quién paga?
• ¿Quién accede?
• ¿Quién decide?

Sin un modelo de gobernanza claro, el proyecto queda bloqueado antes de nacer.

5. El tabú histórico del intercambio informal

Durante años, el intercambio de información entre entidades se realizó de forma:

• personal
• informal
• no documentada

El artículo 33.2 pretendía formalizarlo. Pero formalizar lo informal implica asumir responsabilidades que antes no existían.

Muchos prefieren no abrir ese melón.

6. Temor a la AEPD y al principio de minimización

Aunque el artículo 33.2 permite el intercambio, la AEPD es estricta en:

• minimización
• finalidad
• proporcionalidad
• trazabilidad

El sector teme que un fichero común pueda ser cuestionado en el futuro, incluso si hoy se autoriza.

7. Falta de cultura de inteligencia compartida

España ha avanzado mucho en PBC/FT, pero aún no existe una cultura madura de:

• análisis conjunto
• retorno de información
• cooperación horizontal
• inteligencia sectorial

Sin esa cultura, un fichero común parece “demasiado avanzado” para el ecosistema actual.

Conclusión: una herramienta posible, pero no probable

El marco legal permite el fichero. La necesidad operativa existe. Los sujetos obligados lo conocen.

Pero la combinación de:

• miedo jurídico
• ausencia de liderazgo institucional
• complejidad tecnológica
• asimetría sectorial
• tabú histórico
• temor a la AEPD

ha creado un bloqueo práctico que explica por qué, a día de hoy, no existe ningún fichero común autorizado en España.

No es un problema de norma. Es un problema de cultura, de gobernanza y de riesgo percibido.

Modelo de gobernanza para el fichero común de intercambio por indicios

1. Finalidad del fichero

Permitir a los sujetos obligados compartir información sobre operaciones rechazadas y comunicadas por indicios al SEPBLAC, con el fin de prevenir operativas similares en otras entidades, reforzar la calidad de los exámenes especiales y generar inteligencia sectorial.

2. Principios rectores

• Legalidad: conforme al art. 33.2 de la Ley 10/2010 y art. 61.2 del Reglamento.
• Seguridad jurídica: dictamen conforme de la AEPD.
• Proporcionalidad: acceso limitado a sujetos obligados con riesgo operativo.
• Trazabilidad: registro completo de accesos, consultas y cesiones.
• Finalidad exclusiva: uso restringido a prevención BC/FT.

3. Estructura de gobernanza

La gobernanza del fichero común debe articularse en varios niveles claramente diferenciados, cada uno con funciones específicas que garanticen seguridad jurídica, coherencia operativa y supervisión efectiva. En el nivel estratégico, la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (CPBCIM) actuaría como órgano rector. Su papel consistiría en autorizar la creación del fichero, definir los criterios de acceso, establecer los requisitos mínimos de seguridad y supervisar periódicamente su funcionamiento. La CPBCIM sería, en esencia, la garante institucional de que el fichero cumple la finalidad prevista en el artículo 33.2 de la Ley 10/2010.

En el plano jurídico, la Agencia Española de Protección de Datos (AEPD) tendría un papel imprescindible. Su función sería evaluar la proporcionalidad, necesidad y adecuación del fichero a la normativa de protección de datos, emitiendo un dictamen conforme previo a su puesta en marcha. Además, velaría por que el tratamiento de la información se limite estrictamente a la finalidad de prevención del blanqueo y financiación del terrorismo, evitando cualquier uso indebido o desvío funcional.

En el nivel técnico-operativo, el SEPBLAC asumiría la supervisión de la operativa del fichero. Esto incluiría validar los criterios de inclusión de información, garantizar la trazabilidad de accesos y consultas, y verificar que los sujetos obligados cumplen los requisitos de seguridad y confidencialidad. El SEPBLAC actuaría como garante de la calidad de la información y de la coherencia del sistema con el marco de prevención.

Finalmente, en el nivel operativo cotidiano, se constituiría un Comité de Coordinación Sectorial, integrado por representantes de los sujetos obligados participantes. Este comité tendría funciones consultivas y de mejora continua: proponer ajustes técnicos, revisar tipologías emergentes, analizar patrones detectados en el fichero y promover buenas prácticas. Sería el espacio donde el sector comparte inteligencia, identifica riesgos comunes y contribuye a la evolución del sistema.

4. Módulos del fichero

• Repositorio seguro: cifrado, control de accesos, trazabilidad.
• Módulo de consulta: permite verificar si una operación similar ha sido comunicada por otro sujeto obligado.
• Módulo de alerta cruzada: notifica coincidencias relevantes entre entidades.
• Módulo de inteligencia compartida: extrae patrones y tipologías para formación y prevención activa.

5. Acceso y participación

• Solo sujetos obligados con riesgo de reiteración operativa.
• Acceso limitado a OCI y unidades técnicas.
• Participación voluntaria, pero sujeta a compromisos de confidencialidad y trazabilidad.
• Inclusión del fichero en el Manual de Prevención de cada entidad participante.

6. Garantías jurídicas

• Autorización expresa de la CPBCIM.
• Dictamen conforme de la AEPD.
• Exención de responsabilidad por revelación si se cumplen todos los requisitos.
• Auditoría anual de seguridad, legalidad y eficacia.

7. Beneficios esperados

• Mejora de los exámenes especiales.
• Reducción de devoluciones del SEPBLAC.
• Refuerzo de la cooperación sectorial.
• Generación de inteligencia financiera compartida.
• Profesionalización del intercambio, superando el modelo informal.