El cerco de la Administración Obama y las multas al sector financiero llevan a JP Morgan, Bank of America Merrill Lynch y Citi a solicitar a España autorización para enviar datos personales a sus centros neurálgicos y asegurarse de que cumplen con el Gobierno de EEUU.

En julio de 2013, el HSBC accedía a pagar 1.900 millones de dólares a EEUU a cambio de que se echase el cierre a la investigación que le acusaba de no haber controlado el blanqueo de dinero procedente de cárteles de la droga de América Latina. En enero de 2014, diferentes sociedades del grupo JP Morgan acordaban pagos por más de 2.000 millones de dólares tras reconocer que no habían efectuado los controles oportunos para evitar el blanqueo de capitales invertidos en fondos de Bernard L. Madoff. También el año pasado, Credit Suisse accedía a declararse culpable de conspiración ante la autoridad fiscal de EEUU (la ISR) por ayudar sistemáticamente a contribuyentes estadounidenses a falsear su información fiscal. Pagó por ello 2.600 millones de dólares. Y fue en 2014, por primera vez en la historia, cuando un banco israelí, el Bank Leumi Group, reconocía también ante la ISR haber ayudado a clientes estadounidenses a hacer trampas para reducir su factura ante el Tío Sam. Le costó la multa y acabar con su lucrativo negocio de asesoría fiscal a ciudadanos con pasaporte de EEUU.

¿Alguien cree que esto no va en serio? El cerco se estrecha desde que comenzó la Gran Depresión y la gran banca mundial, pero especialmente la de EEUU, lo sabe. Por eso JP Morgan, Bank of America Merrill Lynch y Citibank están absorbiendo hacia sus cuarteles generales los datos personales de clientes y empleados de sus filiales en países como España, como demuestran los expedientes de transferencias internacionales de información personal en poder de la Agencia Española de Protección de Datos (AGPD).

Desde los atentados terroristas de septiembre de 2001, la solución estadounidense para todos los males parece acabar provocando grandes trasiegos de datos. El nivel de información que manejan o la atención que le prestan está a niveles muy alejados de la realidad de otros países como España. También su mal uso, como demostró la información desvelada por el exagente colaborador de la NSA Edward Snowden. Fue FinCen, la agencia del Departamento del Tesoro de EEUU que lucha contra los delitos financieros, quien denunció y quien investiga a la Banca Privada de Andorra (BPA) por supuesto blanqueo de capitales. Un batir de alas que, unido al como poco errático proceder de las autoridades españolas, ha desembocado en la liquidación de la filial de BPA en España Banco de Madrid. En este país, mientras tanto, parecían llevar tiempo pensando por qué aquello olía a leche y sabía a leche. Ya podían aparecer ligados a Banco de Madrid el mafioso ruso Andrei Petrov o el chino Gao Ping, que nadie caía en que aquello era blanqueo y en botella.

Los datos personales son conservados por las entidades hasta 15 años

Los expertos defienden que la lucha contra el fraude y la planificación fiscal, así como contra el blanqueo de capitales y la financiación de actividades terroristas, pasa por el cruce sistemático de datos entre países. La opacidad y el secreto bancario son la bestia negra de dos de los objetivos que se ha marcado la Administración Obama: reducir al mínimo la evasión fiscal en un mundo que ha rascado el fondo de las arcas públicas para salvar de sus vicios a la banca; y luchar contra el blanqueo de capitales y la financiación del terrorismo. Ese cruce de datos es la filosofía tras la Ley de Cumplimiento Tributario de Cuentas Extranjeras (o Fatca, Foreign Account Tax Compliance Act), aprobada por EEUU y que ha acabado derivando, tras una lista de acuerdos bilaterales del país americano con otros Estados, entre ellos España, en un acuerdo multilateral firmado en octubre de 2014 que incluye a más de 50 jurisdicciones fiscales que cruzarán de forma automática entre sí datos financieros.

El objetivo de la banca de EEUU en estos casos es siempre el mismo: cruzar datos de un modo u otro. Citibank explica en uno de los expedientes que la aplicación informática que cruza los datos personales de los clientes de filiales del grupo en cualquier parte del mundo con otras bases de datos capaces de detectar posibles operativas de blanqueo está en servidores de Estados Unidos, en concreto en Citigroup Technology. “Ha sido creada” expresamente “para cumplir con los estándares nacionales e internacionales relacionados con la prevención del blanqueo de capitales y la financiación internacional del terrorismo”. Y es su ubicación la que hace que el nombre, el DNI o la información sobre transacciones de bienes y servicios de clientes en España tengan que bucear a través del Atlántico para que se compruebe allí la legitimidad del origen del dinero que mueven. “El equipo de gestión de soporte de tecnología en los EEUU”, explica el citado expediente, “accederá a los datos en la aplicación realizando las actividades de procesamiento necesarias para facilitar el desarrollo, el apoyo a la producción y el análisis de los datos”. Una vez filtrados, “las respuestas de las búsquedas son enviadas de vuelta”, en este caso a España.

Otra cosa es cuánto tiempo permanecen los datos en los servidores de los bancos y el riesgo que ello implica. Hasta 15 años. Ese es el plazo que se da por ejemplo Bank of America para bloquear en sus servidores el acceso a la información personal que recibe de su sucursal en España MBNA Europe Bank Limited. La información, incluida dentro del fichero ‘Prevención del blanqueo de capitales’, incluye entre las categorías de datos, además de los básicos como el DNI, nombre, dirección y teléfono, la firma y la huella; datos académicos y profesionales; datos financieros, económicos y de seguros; transacciones de bienes y servicios; así como circunstancias sociales y características personales. Una información a la que, hasta que se produzca el bloqueo de la misma, podrán acceder desde la oficina del consejo general de la entidad, el departamento legal, el grupo de gestión de riesgo, el grupo de cumplimiento, el grupo de prevención de blanqueo, el grupo de auditoría, el grupo de seguridad corporativa y el departamento de recursos humanos, como se explica en el correspondiente expediente. En el caso de JP Morgan, los datos se conservan durante diez años.

Un largo recorrido 

Las empresas están obligadas a solicitar autorización a la AGPD cuando van a enviar datos personales a países que no cumplan con los niveles de protección de la privacidad que rigen en España y Europa. Hasta el año 2001 no se produjo la primera petición. La realizó Telefónica, que pedía el visto bueno para enviar los datos de sus clientes a la sede en Marruecos de su filial Atento para que se hiciese desde allí la atención telefónica. Luego vendrían Chile, Perú y Colombia como principales destinos para finalidades similares de deslocalización de call centers por parte de Telefónica y otras compañías, con India ahora como una de las grandes protagonistas.

Si al principio eran las firmas españolas las únicas solicitantes de autorización para transferir datos al extranjero, no tardaron mucho en ser las filiales de grupos estadounidenses las que empezaron a transferir a sus matrices datos de sus empleados y clientes, aduciendo que lo hacían para centralizar y mejorar con ello la gestión de los mismos. 

Citigroup fue de las más madrugadoras dentro del sector financiero en solicitar transferencias internacionales de información personal. Ya en 2007 pedía enviar a EEUU los ficheros de Recursos Humanos y de su departamento de clientes. Le seguiría Morgan Stanley, con similar finalidad. De nuevo Citibank fue precursora en solicitar la transferencia de datos para prevenir el blanqueo. Fue en enero de 2011, bien entrada ya la crisis y con el Gobierno de Obama en plena cruzada contra el lavado de dinero y la evasión fiscal. Un año más tarde lo haría Bank of America Merrill Lynch. Otras entidades del sector financiero como Western Union han solicitado también la transferencia a EEUU de sus ficheros de clientes, empleados, proveedores y el destinado a la prevención del blanqueo de capitales. 

El caso de JP Morgan es algo diferente. Su petición respecto a la información para prevenir el blanqueo se hace en el marco de las llamadas BCR, o normas corporativas vinculantes. JP Morgan cuenta con el visto bueno de la autoridad de protección de datos británica a su sistema de intercambio de datos personales entre empresas del grupo y es en base a esa aprobación que puede solicitar de otras autoridades como la española la inclusión de nuevos ficheros dentro del sistema. Así lo hizo con su información sobre blanqueo de capitales de la sucursal en España el pasado mes de noviembre.  

Las multas impuestas a la banca, tras la enorme crisis generada por sus excesos, pueden parecer cosquillas. Sirva como ejemplo que la sanción de EEUU a Credit Suisse por blanqueo, una de las más sonadas, equivale al dinero que la entidad suiza gana en poco más de dos trimestres. Pero el trago de tener que reconocer a los accionistas que había vuelto a tener pérdidas cuantiosas en un trimestre, aquel en que tuvo que afrontar la sanción por blanqueo, tiene mucho que ver con la sustitución al frente de la entidad el próximo mes de junio de Brady Dougan, el consejero delegado que se creía que ya superaba la Gran Recesión al timón. El también suizo UBS se tuvo que rendir y entregar datos de sus clientes al Gobierno de EEUU. El trabajo realizado por ICIJ (Consorcio Internacional de Periodistas de Investigación) tanto con los acuerdos secretos de Luxemburgo con multinacionales para minimizar su factura fiscal como con la información obtenida por Le Monde con los nombres recogidos en la llamada lista Falciani (publicados en España por El Confidencial y La Sexta), han provocado la apertura de diversas investigaciones al HSBC. Algo está cambiando.

 Imagen | Flickr