Agencia Estatal Boletín Oficial del Estado
Habiéndose suscrito el 16 de mayo de 2023 el Convenio entre la Secretaría de Estado de Seguridad (Dirección General de la Policía) y la Asociación Nacional de Establecimientos Financieros de Crédito, para la verificación de soportes del Documento Nacional de Identidad y de la Tarjeta de Identidad de Extranjero, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio, que figura como anexo a esta resolución.
Madrid, 23 de mayo de 2023.–El Secretario General Técnico, Juan Antonio Puigserver Martínez.
En Madrid, a 16 de mayo de 2023.
REUNIDOS
De una parte, en representación de la Secretaría de Estado de Seguridad, don Francisco Pardo Piqueras, Director General de la Policía, nombrado por Real Decreto 728/2018, de 29 de junio, actuando por delegación de firma del Secretario de Estado de Seguridad, de acuerdo con lo previsto en la Resolución de 28 de abril de 2023, en relación con el artículo 62.2.g) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Y de otra, en representación de la Asociación Nacional de Establecimientos Financieros de Crédito, don Fernando Casero Alonso, en su condición de Presidente de la misma, cargo para el que fue nombrado por acuerdo de la Junta de Gobierno celebrada el 26 de mayo de 2016, en ejercicio de las funciones que le confiere el artículo 27.a) de los Estatutos de la Asociación.
Ambas partes comparecen en nombre y representación de las instituciones de las que respectivamente son titulares y se reconocen, de modo recíproco, capacidad para formalizar el presente convenio a cuyo efecto,
EXPONEN
El artículo 2 del Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, establece que corresponde a la Secretaría de Estado de Seguridad el ejercicio de las funciones a las que se refiere el artículo 62 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y en particular, la dirección, coordinación y supervisión de los órganos directivos dependientes de la Secretaría de Estado, bajo la inmediata autoridad del Ministro del Interior.
Según el artículo 3 del mismo Real Decreto, corresponde a la persona titular de la Dirección General de la Policía (en adelante, DGP), bajo la dependencia de la persona titular de la Secretaría de Estado de Seguridad, el mando directo de la Policía Nacional, ejerciendo, entre otras, las funciones de organización y gestión de los servicios de documentación de españoles y extranjeros, entre los que se encuentra el documento nacional de identidad (DNI) y la tarjeta de identidad de extranjero (TIE).
La Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana, en su artículo 8.1, establece que el DNI es un documento público y oficial y tendrá la protección que a estos otorgan las leyes, siendo el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular. Asimismo, en su artículo 13 indica que los extranjeros que se encuentren en territorio español tienen el derecho y la obligación de conservar y portar consigo la documentación que acredite su identidad expedida por las autoridades competentes del país de origen o de procedencia, así como la que acredite su situación regular en España.
A su vez, el artículo 10 de la citada ley orgánica atribuye al Ministerio del Interior la competencia exclusiva para la dirección, organización y gestión de todos los aspectos referentes a la confección y expedición del documento nacional de identidad (DNI), conforme a lo dispuesto en esta ley y en la legislación sobre firma electrónica, especificándose que la competencia será ejercida por la DGP, a la que corresponderá también la custodia y responsabilidad de los archivos y ficheros relacionados con el DNI.
De igual modo, la Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social, en su artículo 4.2, establece que los extranjeros a quienes se haya expedido un visado o una autorización para permanecer en España por un período superior a seis meses obtendrán la tarjeta de identidad de extranjero.
Con relación con lo anterior, el Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, en su artículo 3.1.g), atribuye a la DGP dirigir, organizar y controlar el cumplimiento de lo dispuesto en materia de DNI y TIE. Y el Real Decreto 557/2011, de 20 de abril, por el que se aprueba el Reglamento de la Ley Orgánica 4/2000, sobre derechos y libertades de los extranjeros en España y su integración social, tras su reforma por Ley Orgánica 2/2009, determina en su artículo 210.11 que corresponde a la DGP la organización y gestión de los servicios de expedición de la TIE.
La Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) es una organización empresarial, constituida el 9 de mayo de 1957, que agrupa a entidades cuya actividad principal consiste en ejercer las actividades típicas de los establecimientos financieros de crédito, y tiene entre otras finalidades la representación y defensa de los intereses de las «entidades asociadas», colaborando con los poderes públicos en la evolución y perfeccionamiento del crédito en nuestro país. Asimismo, ASNEF cuenta con un amplio número de «entidades adheridas no asociadas» para poder utilizar el fichero de solvencia patrimonial ASNEF-Equifax.
En el ámbito europeo, la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, en su artículo 13.1.a), establece que las medidas de diligencia debida, con respecto al cliente, comprenderá la identificación y comprobación de su identidad sobre la base de documentos, datos o informaciones obtenidas de fuentes fiables e independientes.
En el ordenamiento jurídico español, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, fija los criterios que deben seguir las entidades financieras y de crédito con respecto a la identificación de los clientes, señalando en su artículo 3 que los sujetos obligados identificarán a cuantas personas físicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, así como que, con carácter previo al establecimiento de la relación de negocios o a la ejecución de cualesquiera operaciones, comprobarán la identidad de los intervinientes mediante documentos fehacientes, haciendo referencia el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, en su artículo 6.1.a), que se considerarán documentos fehacientes, a efectos de identificación formal, para las personas físicas de nacionalidad española, el documento nacional de identidad, y para las personas físicas de nacionalidad extranjera, la Tarjeta de Identidad de Extranjero.
El Real Decreto 309/2020, de 11 de febrero, sobre el régimen jurídico de los establecimientos financieros de crédito y por el que se modifica el Reglamento del Registro Mercantil, aprobado por el Real Decreto 1784/1996, de 19 de julio, y el Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito, en su artículo 10.i) establece que serán requisitos necesarios para obtener y conservar la autorización de un establecimiento financiero de crédito, contar con procedimientos y órganos adecuados de control interno y de comunicación para prevenir e impedir la realización de operaciones relacionadas con el blanqueo de capitales, en las condiciones establecidas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010.
La Policía Nacional, como cuerpo de seguridad del Estado que desempeña sus funciones en todo el territorio nacional, vela por el cumplimiento de las leyes y disposiciones generales, ejecutando las órdenes que reciban de las autoridades, en el ámbito de sus respectivas competencias como, específicamente, investigar los delitos para descubrir y detener a los presuntos culpables, asegurar los instrumentos, efectos y pruebas del delito, poniéndolos a disposición del Juez o Tribunal competente y elaborar los informes técnicos y periciales procedentes y captar, recibir y analizar cuantos datos tengan interés para el orden y la seguridad pública, y estudiar, planificar y ejecutar los métodos y técnicas de prevención de la delincuencia; en virtud de lo cual, tiene interés directo en recabar información de las entidades asociadas y entidades adheridas no asociadas a la ASNEF, en adelante, Entidades, respecto de aquellas infracciones, incluidas las penales, detectadas por estas entidades que tengan alguna relación con la actividad fraudulenta de los datos de identidad para una finalidad delictiva o perjuicio para el ciudadano víctima de la misma.
Teniendo en cuenta la necesidad de fortalecer el grado de colaboración, es deseo de las partes que suscriben el presente convenio articular mecanismos concretos que contribuyan a facilitar el ejercicio de las respectivas obligaciones, funciones y competencias, dentro del marco jurídico vigente.
Para ello, la DGP desarrollará un procedimiento informático que permita a las entidades, establecer un proceso de validación del documento nacional de identidad o de la tarjeta de identificación de extranjero, mediante el envío del número del documento y el de su soporte, al objeto de comprobar la relación existente entre ambos números y la vigencia del documento presentado.
La firma de este convenio supone un avance importante en la prevención del fraude, blanqueo de capitales y financiación del terrorismo, por un lado, aumentando la garantía de la diligencia debida mediante la validación efectiva de la vigencia de los documentos de identidad presentados ante las entidades y por otro, la puesta en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (en adelante, FCSE) y del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (en adelante, SEPBLAC) de aquellas actividades ilícitas que pudieran ser detectadas mediante dicha validación.
En consecuencia, entendiéndose útil para las partes firmantes el establecimiento de un sistema estable de cooperación electrónica e intercambio de información, las partes acuerdan suscribir el presente convenio que se regirá por las siguientes
CLÁUSULAS
1. El presente convenio tiene por objeto establecer los términos y condiciones en los que la DGP y ASNEF instrumentarán su colaboración para el buen funcionamiento del servicio de verificación, así como definir sus respectivas responsabilidades.
2. El alcance de este convenio comprende el servicio de verificación en los respectivos ficheros de la DGP relativos al documento nacional de identidad y a la tarjeta de identidad de extranjero. La actividad de tratamiento de los datos se limitará al número de soporte del documento y al número de identidad de la persona interesada.
3. La verificación del DNI o de la TIE en los ficheros de la DGP tiene por finalidad exclusiva facilitar a las Entidades su obligación legal de recabar la identidad de los clientes a través del proceso referido en el expositivo quinto.
4. El presente convenio obliga a la ASNEF como represente de sus entidades adheridas y asociadas, en el ámbito de su actividad, a prestar la máxima colaboración con la DGP en la prevención de fraudes que pudieran ponerse de manifiesto con ocasión de las verificaciones realizadas que son objeto del presente, sin perjuicio del cumplimiento que se derive de lo establecido en la legislación vigente.
5. Los servicios técnicos de la DGP, la ASNEF y las Entidades realizarán conjuntamente los procedimientos necesarios para adecuar sus sistemas informáticos y permitir las conexiones necesarias, ejecutándolas cada uno en su ámbito competencial (anexos I y II).
La DGP se compromete a:
1. Facilitar a la ASNEF como represente de sus entidades adheridas y asociadas el servicio objeto del presente convenio.
2. Prestar el servicio a través del procedimiento establecido.
3. Disponer de entornos de prueba de la integración de los servicios con objeto de garantizar la correcta operación de éstos con carácter previo a su puesta a disposición de los usuarios finales.
4. Disponer de los elementos para auditar las operaciones realizadas que permitan certificar el no repudio de las transacciones.
5. Adoptar las medidas de seguridad necesarias para proteger debidamente la información y los servicios ofrecidos.
6. Garantizar la disponibilidad de la prestación del servicio, en el caso de que se vaya a realizar una parada programada que afecte a su utilización, informando a la ASNEF sobre la duración estimada.
1. Informar a las entidades de las condiciones de utilización del servicio objeto del presente convenio y de las consecuencias del uso indebido de dicho servicio.
2. Solicitar a las personas interesadas en establecer relaciones de negocio con las entidades su autorización para que aquéllas soliciten a la DGP el servicio de verificación objeto del presente convenio. Las autorizaciones firmadas por el interesado deberán ser custodiadas por las entidades y entregadas a la DGP o la Agencia de Protección de Datos, cuando lo requieran, en un plazo de diez días a contar desde su solicitud. El plazo de conservación de las autorizaciones será de seis años, como establece el artículo 30.1 del Real Decreto, de 22 de agosto de 1885, por el que se publica el Código de Comercio, respecto a la documentación y justificantes concernientes a su negocio.
3. Observar el cumplimiento de lo establecido en la legislación vigente para la prevención del fraude.
4. Tener a disposición de las autoridades competentes de la DGP la relación actualizada de las entidades adheridas y asociadas a las que representa a fin de poder acreditar la utilización del servicio objeto del presente convenio por parte de la entidad.
A tal efecto, una vez que adquiera eficacia este convenio, y previo a la prestación del servicio, ASNEF deberá comunicar a la DGP la relación de las entidades que vayan a utilizar el citado servicio. Esta obligación deberá cumplirse cada vez que una nueva Entidad vaya a hacer uso del servicio o algunas de las que ya estaba incluida deje de estarlo.
Sin perjuicio de lo establecido en la cláusula decimotercera, el incumplimiento de las obligaciones y compromisos asumidos en el presente convenio no generará indemnización entre las partes.
Las partes se comprometen a tratar los datos personales a los que puedan tener acceso con la finalidad indicada en el presente convenio y sus anexos a no utilizarlos para fines distintos de los previstos y no difundirlos ni cederlos a terceros, en cumplimiento con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su normativa de desarrollo así como en la normativa específica reguladora del DNI y de la TIE. En concreto:
a) En cumplimiento del artículo 28.3.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el personal que preste servicios en las Entidades representadas por ASNEF deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en la normativa de protección de datos vigente en cada momento, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, con finalidad distinta a la propia gestión asignada al cesionario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento de la DGP, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes. Para ello, cada Entidad asume la responsabilidad de contar con el compromiso de confidencialidad con respecto de cada uno de sus trabajadores en la utilización del servicio de verificación y su posterior tratamiento de los datos personales. Este compromiso estará vigente durante la relación laboral y una vez terminada esta.
b) Las entidades representadas por ASNEF como Entidades cesionarias aceptan y asumen que el tratamiento de los datos generados por la prestación del servicio objeto del mencionado convenio se produce a los fines exclusivos que se especifican en el mismo, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente convenio que facultará a la DGP para exigir las responsabilidades oportunas.
Las entidades representadas por ASNEF serán responsables frente a la DGP y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de tales datos, eximiendo a la DGP de cualquier responsabilidad a este respecto. La DGP podrá repetir contra las Entidades cesionarias por cualquier indemnización que deba satisfacer derivada de dicho incumplimiento.
c) Las entidades representadas por ASNEF deberán realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros en que aquéllos figuren incluidos.
La entidad cesionaria se compromete a que cada petición cursada a Ia DGP quede justificada con el expediente que lo hubiera motivado.
d) Si, como consecuencia de las actuaciones de control o auditoría o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidad con traslado, si procede, a la autoridad judicial correspondiente.
e) La DGP y el SEPBLAC, en cuanto a la información recabada de las Entidades, podrán utilizar los datos recibidos únicamente para la prevención del fraude, del blanqueo de capitales o la financiación del terrorismo, debiendo cumplir con todas las obligaciones establecidas al efecto por Ia diversa normativa que fuera de aplicación, con mención expresa a la normativa de protección de datos vigente en cada momento.
Con el fin de coordinar las actividades necesarias para la ejecución del presente convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión Mixta de Coordinación y Seguimiento compuesta por dos representantes de la DGP y otros dos nombrados por la ASNEF. Corresponderá a la Comisión Mixta la concreta delimitación del diseño del servicio de verificación que accedan las entidades como del de respuesta de la DGP, así como los cambios que pudieran introducirse posteriormente en el mismo.
Será competencia de la Comisión Mixta de Coordinación y Seguimiento establecer los procedimientos más eficaces que posibiliten el servicio de verificación. También tendrá capacidad para proponer cualquier cambio que convenga introducir en el convenio, la interpretación del mismo y la resolución de posibles controversias, así como los cambios o modificaciones en el servicio de verificación.
En calidad de asesores de la DGP podrán incorporarse cualesquiera otros funcionarios que se considere necesario, con derecho a voz.
La Comisión se reunirá, a instancia de cualquiera de las partes, para examinar los resultados e incidencias de la colaboración realizada.
La Comisión Mixta de Coordinación y Seguimiento se regirá en cuanto a su funcionamiento y régimen jurídico, respecto a lo no establecido expresamente en la presente cláusula, por lo dispuesto en la sección 3.ª del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Sus acuerdos requerirán el voto favorable de todos los representantes.
La formalización de este convenio no genera obligaciones económicas para la DGP.
Los gastos e inversiones que origine el cumplimiento del convenio serán por cuenta de la Asociación Nacional de Establecimientos Financieros de Crédito, en los términos especificados en el presente convenio (anexo I), que contemplará una contribución anual destinada a la financiación de los gastos derivados del desarrollo tecnológico necesario para la correcta prestación del servicio.
El presente convenio se perfecciona por la prestación del consentimiento de las partes y resultará eficaz una vez sea inscrito en el plazo de cinco días hábiles desde su formalización, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Asimismo, será publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado».
La vigencia del convenio será de cuatro años, pudiendo ser expresamente prorrogado por acuerdo de las partes antes de la finalización de dicho plazo hasta un máximo de cuatro años adicionales.
El presente convenio podrá modificarse por acuerdo entre todas las partes firmantes del mismo cuando resulte necesario para la mejor realización de su objeto.
Dichas modificaciones o prórrogas deberán realizarse mediante adendas, que, una vez firmadas, se inscribirán el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal (REOICO) y se publicarán en el BOE.
El presente convenio no generará ningún tipo de vínculo contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
Las dudas o controversias que surjan entre las partes sobre los efectos, interpretación, modificación o resolución del convenio que no puedan resolverse por conciliación en la Comisión Mixta de Coordinación y Seguimiento, serán sometidas a los tribunales competentes de la jurisdicción contencioso-administrativa.
Las partes prestan expresamente su consentimiento para que se dé al presente convenio la publicidad exigida, de acuerdo con lo dispuesto en el artículo 8.1.b) de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.
Son causas de extinción del convenio, además de las previstas en el artículo 51 de la Ley 40/2015, de 1 de octubre, las siguientes:
a) Por denuncia de alguna de las partes con antelación mínima de tres meses.
b) La desaparición del objeto del mismo.
Si cuando concurra cualquiera de las causas de extinción del convenio existen actuaciones en curso de ejecución, las partes, a propuesta de la Comisión Mixta de Coordinación y Seguimiento del convenio, podrán acordar la continuación y finalización de las actuaciones en curso que consideren oportunas, estableciendo un plazo improrrogable para su finalización. Corresponde a la Comisión Mixta de Coordinación y Seguimiento adoptar las medidas necesarias para garantizar la finalización de las actuaciones que se encontraran en desarrollo.
Este convenio queda sometido al régimen jurídico de los convenios, previsto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, teniendo naturaleza administrativa.
Y, en prueba de conformidad de cuanto antecede, firman el presente convenio en dos ejemplares originales, igualmente válidos, en lugar y fecha arriba indicada.–El Secretario de Estado de Seguridad, P. D. (Resolución de 28 de abril de 2023), el Director General de la Policía, Francisco Pardo Piqueras.–El Presidente de la Asociación Nacional de Establecimientos Financieros de Crédito, Fernando Casero Alonso.
1. Procedimiento informático «Servicio VerID». La DGP desarrollará un procedimiento informático, denominado «Servicio VerID», que permita, a las entidades «asociadas» y «adheridas no asociadas» de ASNEF, en adelante, Entidades, establecer un proceso de validación del documento nacional de identidad y de la tarjeta de identificación de extranjero, contemplando establecer los procedimientos más eficaces que posibiliten el servicio de verificación.
2. Descripción del «Servicio VerID».
a) El servicio de verificación «Servicio VerID» es un procedimiento informático que permita a las Entidades establecer un proceso de validación del documento nacional de identidad o de la tarjeta de identificación de extranjero, mediante el envío del número del documento y el de su soporte, al objeto de comprobar la relación existente entre ambos números y la vigencia del documento presentado, en el preciso momento de la consulta, y así cumplir con los requisitos exigidos por la normativa vigente en materia de prevención del blanqueo de capitales respecto a la diligencia debida.
b) La DGP ofrecerá a la consulta realizada a través de este servicio, para cada documento, una de las siguientes respuestas:
«Sin incidencia».
«Con incidencia».
«Documento inexistente».
En el caso de que la respuesta sea «Con incidencia», dada la diferente casuística, se informará a la persona interesada de la conveniencia de acudir a las Unidades de Documentación de la Policía Nacional (oficinas de expedición de DNI).
c) El servicio de verificación se prestará en tiempo real, aunque de forma asíncrona, y las consultas se realizarán mediante una interconexión entre la DGP y una plataforma gestionada por ASNEF. Todas las peticiones de las Entidades se efectuarán desde esta plataforma y la interconexión se dotará de las medidas de seguridad que establezca la DGP.
d) Los servicios técnicos de la DGP y de ASNEF realizarán conjuntamente los procedimientos necesarios para permitir las conexiones necesarias, ejecutándolas cada uno en su ámbito competencial.
e) La DGP procesará todas las solicitudes válidas recibidas, siempre que técnicamente sea posible, respondiendo sobre su situación en los términos expresados en el apartado 2.b). En caso de incidencias en las comunicaciones o procesado de la solicitud, la respuesta será un error informativo.
f) En el caso de que se vayan a producir paradas programadas que afecten a la utilización del servicio, una vez se planifique, se informará a ASNEF sobre la duración estimada.
g) La DGP pondrá a disposición de ASNEF un servicio 24 x 7 de atención de incidencias que únicamente podrá ser invocado por los servicios técnicos de la plataforma.
h) La plataforma gestionada por ASNEF estará dotada de las medidas de seguridad que el Esquema Nacional de Seguridad establece para los sistemas de nivel alto. ASNEF será la encargada de gestionar la autorización y control de los accesos por parte de las Entidades autorizadas.
i) ASNEF velará por el buen uso del sistema entre sus usuarios y verificará que las Entidades cumplen los requisitos técnicos establecidos antes de autorizar su acceso al servicio de verificación, para lo que previamente validará el sistema de consultas de la Entidad.
j) Todas las solicitudes tendrán un identificador único que permita su trazabilidad e identificar a la Entidad que realiza la consulta y a la persona solicitante de forma indubitada.
k) ASNEF y las Entidades pondrán a disposición de la DGP los datos de auditoría cuando sean requeridos, con el fin de controlar, supervisar y/o auditar la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto controles aleatorios.
l) ASNEF mantendrá actualizados los datos de todos los usuarios que acceden al servicio de verificación.
m) ASNEF estará informada y la Entidad garantizará la identidad del usuario que en todo momento esté realizando consultas al servicio de verificación.
n) ASNEF dispondrá de la lista actualizada de usuarios habilitados para hacer uso del servicio, notificando cualquier cambio en sus datos, y dándoles de baja en aquel desde el momento en que dejen de necesitar hacer uso del mismo.
o) La DGP podrá solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente sobre la custodia o utilización de la información facilitada.
p) La DGP podrá revisar en cualquier momento posterior al inicio de la eficacia del convenio, la forma de acceso, la modificación de los contenidos de los ficheros a raíz de mejoras introducidas, u otras cuestiones que pudieran suponer alteración de las condiciones pactadas en la misma.
q) La DGP podrá acordar la suspensión unilateral de la prestación del servicio de verificación cuando advierta incumplimientos de la obligación de sigilo por parte del personal de las Entidades. Si pudiera determinarse, afectará únicamente a la Entidad que hubiera incumplido sus obligaciones. Una vez solucionada la incidencia, la DGP valorará la admisión, en su caso, de la Entidad.
3. Ámbito de colaboración de las Entidades con FCSE y SEPBLAC. Las Entidades, cuando detecten actividades ilícitas, con ocasión de las verificaciones realizadas en el desarrollo de sus funciones, lo pondrán en conocimiento de la DGP, sin perjuicio de la colaboración establecida entre los cuerpos policiales, a tenor de lo establecido en la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, y del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), en la esfera de sus respectivas competencias, asumiendo las siguientes actuaciones:
a) Poner de manifiesto a la DGP aquellas actividades ilícitas detectadas, facilitándoles la documentación que haya sido aportada por el cliente, respetando siempre lo establecido en la normativa de protección de datos aplicable en cada momento.
Para ello, ambas partes articularán, a través de la Comisión Mixta de Coordinación y Seguimiento del Convenio, un canal de comunicación entre las Entidades y las FCSE.
b) Comunicar al SEPBLAC, como sujetos obligados, cualquier operación o hecho, incluso la mera tentativa, respecto de los que exista indicio o certeza de estar relacionados con blanqueo de capitales o financiación del terrorismo, de acuerdo con el procedimiento establecido en la normativa vigente y en las instrucciones del Servicio Ejecutivo.
4. Actuaciones de la Dirección General de la Policía. La DGP se encargará de:
a) Procesar todas las solicitudes válidas recibidas, debiendo informar sobre su situación: «Sin incidencia», «Con incidencia», «Documento inexistente», siempre que técnicamente sea posible.
b) Por otra parte, en el caso de que se vayan a producir paradas programadas que afecten a la utilización del servicio de verificación, informará a ASNEF sobre su duración, quien lo trasladará a las Entidades.
5. Actuaciones de la Asociación Nacional de Establecimientos Financieros de Crédito. ASNEF informará a las Entidades que el servicio:
a) La utilización del dato obtenido es única y exclusivamente para los fines previstos en este convenio.
b) Deben cumplir con todas las características de seguridad establecidas por el Esquema Nacional de Seguridad para los sistemas de nivel alto.
c) En relación con las actividades ilícitas detectadas, deberán remitir la documentación en su poder, conforme a lo dispuesto en el apartado 3.a.
d) Las operaciones o hechos respecto de los que exista indicio o certeza de estar relacionados con blanqueo de capitales o financiación del terrorismo serán comunicados de acuerdo con lo dispuesto en el apartado 3.b).
El presente procedimiento del servicio obliga a las partes firmantes a prestarse la máxima colaboración con la finalidad de lograr una adecuada prevención y eficacia en la investigación de actividades ilícitas en las materias objeto del convenio, y así conseguir el logro de los fines perseguidos.
6. Facultades de la Dirección General de Policía sobre las Entidades. La DGP se reserva la facultad de:
a) Controlar, supervisar y/o auditar la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto controles aleatorios por la Unidad Auditora de la División de Documentación de la DGP.
b) Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la DGP sobre, la custodia de la información cedida o utilización del servicio.
c) Revisar en cualquier momento posterior al inicio de la eficacia del convenio, la forma de acceso, la modificación de los contenidos de los ficheros a raíz de mejoras introducidas, u otras cuestiones que pudieran suponer alteración de las condiciones pactadas en el mismo.
d) Acordar la suspensión unilateral de la prestación del «Servicio VerID» cuando advierta incumplimientos de la obligación de sigilo por parte del personal de las Entidades. Si pudiera determinarse, afectará solamente a la entidad que hubiera incumplido sus obligaciones.
7. Comisión de Mixta de Coordinación y Seguimiento. En caso de ser necesario resolver problemas de interpretación en la aplicación del anexo o cualquier tipo de controversia que pudiera surgir, se convocará la Comisión Mixta de Coordinación y Seguimiento del convenio.
Los equipos técnicos y responsables del Servicio «VerID» estarán en estrecho contacto, comunicándose o reuniéndose siempre que lo consideren conveniente para la buena coordinación de las acciones y el óptimo desarrollo del mismo.
8. Régimen económico. El presente anexo no comporta modificación del régimen económico establecido en la cláusula séptima del convenio del que trae causa.
En cualquier caso, la contribución de la ASNEF a la financiación de los gastos derivados del desarrollo tecnológico necesarios para la correcta prestación del servicio contemplará los siguientes extremos:
a) 1.000.000 de euros anuales, sin impuestos; cantidad que se hará efectiva dentro de los tres meses siguientes a la firma del convenio; y, en los años sucesivos, dentro del primer trimestre.
b) El ingreso de las cantidades mencionadas se efectuará en el Tesoro Público, a favor de la Dirección General de la Policía.
Efectuado el ingreso, la ASNEF aportará a la DGP los resguardos correspondientes.
c) La aplicación presupuestaria de la DGP que se verá afectada para la futura generación de crédito como consecuencia de la aplicación del convenio es el artículo 63, destinado a recoger las consignaciones que amparan las inversiones de reposición asociadas al funcionamiento operativo de los servicios, en el Programa 132A Seguridad Ciudadana, y a los siguientes Superproyecto y Proyecto de inversión:
A) Superproyecto 204.16.03.8002, Informática.
i. Proyecto 2004.16.03.3087, Programas y aplicaciones informáticas.
1. Protección de datos. Las partes se comprometen en la actividad del tratamiento de los datos personales a los que puedan tener acceso a lo dispuesto en la cláusula quinta del presente convenio.
2. Gestión de usuarios. ASNEF realizará la gestión de accesos por parte de las Entidades, garantizando:
a) Que estará informada de todos los accesos al «Servicio VerID», debiendo la Entidad identificar al usuario responsable de la consulta, datos que serán almacenados en los sistemas de auditoría de la DGP y, además, que las Entidades tienen implantados los procedimientos que permitan gestionar las altas, bajas y modificaciones de los usuarios autorizados a acceder al «Servicio VerID».
b) Que cumple los requisitos establecidos por el Esquema Nacional de Seguridad para los Sistemas de Nivel Alto [ver anexo I, apartado 2.h)].
c) Que tienen a disposición de la DGP los datos de auditoría de todas las consultas realizadas [ver anexo I, apartado 2.k)].
d) Que pueden facilitar una lista actualizada de los usuarios autorizados, en caso de ser solicitada por la DGP, al objeto de comprobar que coincide con los datos que se encuentran en los sistemas de control de acceso de la DGP [ver anexo I, apartado 2.n)].
e) Que comunicarán cualquier variación relacionada con las personas autorizadas a acceder al «Servicio VerID», de tal forma que, si un empleado cambia de puesto de trabajo, en el cual no necesita dicha autorización, o causa baja en la Entidad, será dado de baja como usuario del Servicio [ver anexo I, apartado 2.n)].
3. Control de acceso. Las Entidades deben garantizar:
a) Que todos los accesos al «Servicio VerID» identificarán al usuario responsable de la consulta, datos que serán almacenados en los sistemas de auditoría de la DGP.
b) Que utilizan mecanismos de control de acceso adecuados en aquellos equipos de trabajo desde los que se van a realizar solicitudes, al objeto de evitar que una persona no autorizada pueda acceder al equipo de trabajo de otra que si lo está.
4. Gestión de las solicitudes. Las Entidades deben garantizar que disponen de un procedimiento interno que le permita recabar toda la información necesaria para justificar la adecuación de las solicitudes, así como que almacenan y gestionan adecuadamente la información solicitada, independientemente del soporte en el que se encuentre dicha información.
5. Información a los usuarios autorizados. Las Entidades deben garantizar que informarán adecuadamente a todas las personas para las que solicita la autorización de acceso al «Servicio VerID», como mínimo de:
a) Las responsabilidades que asumen.
b) La finalidad concreta de la autorización.
c) Las medidas que deberá adoptar para garantizar la seguridad de la información.
d) Que la DGP almacena rastros de cada una de las solicitudes realizadas.
e) Que en cualquier momento se podrá requerir la justificación de solicitudes realizadas, de acuerdo a la finalidad para la que se autorizó.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
