Agencia Estatal Boletín Oficial del Estado
Suscrito el Convenio entre la Tesorería General de la Seguridad Social y la Asociación Española de Entidades de Pago en materia de intercambio de información, y en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado Convenio, que figura como anexo de esta resolución.
Madrid, 22 de marzo de 2018.–El Secretario General Técnico del Ministerio de Empleo y Seguridad Social, Pablo Hernández-Lahoz Ortiz.
En Madrid, a 15 de marzo de 2018.
REUNIDOS
De una parte, don Francisco Gómez Ferreiro interviene en nombre y representación de la Tesorería General de la Seguridad Social (en adelante TGSS), con CIF Q2827003-A en su condición de Director General de la Tesorería General de la Seguridad Social, cargo para el que fue nombrado en virtud de Real Decreto 292/2012, de 27 de enero (BOE del 28).
De otra, don Francisco Moreno Delgado, Presidente de la Asociación Española de Entidades de pago (en adelante ANAED), quien actúa en nombre y representación de la misma.
Ambas partes se reconocen mutuamente la capacidad jurídica necesaria para suscribir el presente Convenio y en su virtud,
EXPONEN
El sector de los servicios de pago en España establece, en las relaciones con sus clientes que constituyen el objeto de su actividad y para sí mismo, medidas que garanticen la fiabilidad de la información que se precisa en el ámbito de las operaciones de pago.
Por otra parte, la necesidad de prevenir el blanqueo de capitales en el sector de pagos ha llevado a los Estados a dotarse de normativas y medidas de coordinación que establezcan las actuaciones necesarias en esta materia.
De este modo, el artículo 5 de la Ley 10/2010 de 28 de abril de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo así como su Reglamento de desarrollo, el Real Decreto 304/2014 de 5 de mayo, establece que «los sujetos obligados [entre los que se encuentran las entidades de pago de conformidad con el artículo 2.1.h)] obtendrán información sobre el propósito e índole prevista de la relación de negocios. En particular, los sujetos obligados recabarán de sus clientes información a fin de conocer la naturaleza de su actividad profesional o empresarial y adoptarán medidas dirigidas a comprobar razonablemente la veracidad de dicha información. Tales medidas consistirán en el establecimiento y aplicación de procedimientos de verificación de las actividades declaradas por los clientes. Dichos procedimientos tendrán en cuenta el diferente nivel de riesgo y se basarán en la obtención de los clientes de documentos que guarden relación con la actividad declarada o en la obtención de información sobre ella ajena al propio cliente».
Por su parte el artículo 6 se refiere al seguimiento continuo de la relación de negocios en los siguientes términos:
Los sujetos obligados aplicarán medidas de seguimiento continuo a la relación de negocios, incluido el escrutinio de las operaciones efectuadas a lo largo de dicha relación a fin de garantizar que coincidan con el conocimiento que tenga el sujeto obligado del cliente y de su perfil empresarial y de riesgo, incluido el origen de los fondos y garantizar que los documentos, datos e información de que se disponga estén actualizados.
Las anteriores previsiones legales obligan a las entidades y les facultan para lo siguiente:
• Adoptar medidas dirigidas a comprobar razonablemente la veracidad de la actividad declarada por los clientes, pudiendo obtener información de fuentes ajenas al cliente.
• Garantizar que los documentos, datos e información de que se disponga estén actualizados.
• Establecer «procedimientos de verificación de las actividades declaradas por los clientes.
Así tanto la mencionada Ley como su Reglamento de Desarrollo, fijan los criterios que seguirán las entidades de pago con respecto a la identificación de los clientes, la obtención de información sobre el propósito de la relación de negocio, el seguimiento continuo de dicha relación, así como sobre la vigilancia de las operaciones que por su naturaleza, cuantía, ámbito territorial, características del interesado, ocupación, presenten un especial riesgo.
En este mismo sentido, y con mayor concreción sobre el objeto del presente Convenio, los artículos 4 al 13 del Real Decreto 304/2014 de 5 de mayo por el que se aprueba el Reglamento de Desarrollo de la citada Ley regulan esta materia.
Por otro lado, el artículo 37 del Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, regula las «Medidas de control interno de aplicación a los agentes», disponiendo que:
«1. Los sujetos obligados, sin perjuicio de su responsabilidad directa, se asegurarán del efectivo cumplimiento por parte de sus agentes de las obligaciones de prevención del blanqueo de capitales y de la financiación del terrorismo.
A estos efectos, los sujetos obligados incluirán a los agentes en el ámbito de aplicación de sus procedimientos de control interno. Dichos procedimientos preverán, en particular, mecanismos específicos de seguimiento y control de las actividades de los agentes que se adaptarán al nivel de riesgo existente en función de las características concretas de la relación de agencia.
En aquellos supuestos en los que el sujeto obligado determine que un agente ha incumplido grave o sistemáticamente los procedimientos de control interno, deberá poner fin al contrato de agencia, procediendo a examinar la operativa del agente de conformidad con lo dispuesto en el artículo 17 de la Ley 10/ 2010, de 28 de abril (RCL 2010, 1175)
(…)
3. Los sujetos obligados mantendrán a disposición de la Comisión, de sus órganos de apoyo o de cualquier otra autoridad pública legalmente habilitada una relación completa y actualizada de sus agentes, que incluirá todos los datos necesarios para su adecuada identificación y localización.»
En la actualidad, la documentación que se precisa para la identificación de los clientes es aportada por el propio cliente, a requerimiento de la entidad de pago, recogiéndose la información en soporte papel.
Este procedimiento carece de la adecuada seguridad para una correcta identificación, ya que la documentación aportada puede no ser auténtica, lo que no siempre resulta fácil de verificar y hace muy conveniente establecer un sistema de verificación de la fuente de ingresos.
Asimismo, de conformidad con lo previsto en el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, las entidades de pago deberán comprobar las actividades declaradas por sus clientes en los siguientes supuestos:
1.º Operaciones de envío de dinero cuyo importe, bien singular, bien acumulado por trimestre natural, supere los 3.000 euros (Arts. 19 y 20 Reglamento PBC).
2.º Operaciones de cambio de moneda extranjera cuyo importe, bien singular, bien acumulado por trimestre natural, supere los 6.000 euros (Arts. 19 y 20 Reglamento PBC).
3.º Operaciones con clientes nacionales de los siguientes países o territorios (jurisdicciones de riesgo), o que supongan transferencia de fondos de o hacia tales países o territorios (Arts. 19, 20 y 22 Reglamento PBC y en el RD 1080/1991). Estos países o territorios se fijan en el anexo VI, siendo un listado no limitativo, pudiendo ampliarse en cada momento de conformidad la lista e jurisdicciones no cooperadoras de la Secretaría de la Comisión de PBCIM.
4.º Clientes u operaciones que presenten riesgos superiores al promedio de las detalladas en el Catálogo de Operaciones de Riesgo para el sector de entidades de pago, cambio de moneda o actividades de giro o transferencia, emitido por la Comisión de PBCIM.
Por otra parte, y como se ha expuesto en el exponen precedente, de conformidad con lo dispuesto en el artículo 37 del Real Decreto 304/2014, de 5 de mayo, es necesaria la verificación de la realización de una actividad económica por parte del agente con objeto de evitar que el agente genere envíos de dinero ficticios, ya sea imputando operaciones a clientes reales sin su conocimiento, o bien generando identidades falsas a las que imputa la emisión de órdenes de envío de dinero, e incluso detectar supuestos en los que el agente realmente no desarrolla una actividad económica pero generan órdenes de envío de dinero falsas.
En base a las anteriores consideraciones se ha entendido necesario establecer este convenio que:
a) Facilitará a las entidades de pago el cumplimiento de la normativa vigente y su colaboración en la prevención del blanqueo de capitales, al permitir verificar la veracidad de la información aportada por el cliente, por medios ajenos al propio cliente, así como la verificación de la realización de una actividad económica por parte del agente.
b) Hará posible la supresión del soporte papel en las certificaciones actuales que emite la Tesorería General de la Seguridad Social, mediante su sustitución por un procedimiento de transmisión de ficheros siempre que conste la autorización de interesado, lo que supondrá una mejor eficiencia en tiempos, archivos, atención al público, reducción de costes, que redundará en una mayor atención al ciudadano.
En el caso de que el interesado no facilite su autorización, deberá solicitar las certificaciones directamente por los medios que establezca la Tesorería General de la Seguridad Social puesto que no debe obviarse que respecto a los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones, conforme a los dispuesto en el artículo 77 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, se declara su carácter reservado, lo que hace, en todo caso, necesaria la autorización del interesado para que se pueda realizar el suministro de sus datos regulado en el Convenio. Respecto a dicha autorización, debe destacarse que el derecho de acceso de los interesados a sus datos de carácter personal obrantes en los ficheros de la Seguridad Social tiene carácter limitado, por lo que igualmente lo tendrá su consentimiento como elemento suficiente para la cesión a terceros de los referidos datos. Así, la solicitud de información, efectuada por un tercero con consentimiento del interesado, determinará la cesión o comunicación de tales datos siempre que comprenda información que el interesado tendría derecho a obtener directamente de la Administración.
La TGSS, en su acción de prevención y lucha contra el fraude a la Seguridad Social, conforme sus competencias reconocidas en el Real Decreto 448/2012, de 5 de marzo, por el que se modifica el Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social, tiene interés directo en recabar información de las entidades asociadas a ANAED, respecto de aquellos fraudes detectados por estas entidades que tengan alguna relación con la Seguridad Social y en especial con inscripción de empresas fraudulentas y afiliación, altas y bajas de los trabajadores fraudulentos en la Seguridad Social.
La Tesorería General de la Seguridad Social es un órgano Directivo del Ministerio de Empleo y Seguridad Social, adscrito a la Secretaría de Estado de la Seguridad Social. Es un Servicio Común de la Seguridad Social dotado de personalidad jurídica propia, al que le compete la gestión de los recursos económicos y administración financiera del sistema, en aplicación de los principios de solidaridad financiera y caja única.
El Real Decreto 1314/84, de 20 de junio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores, materia regulada posteriormente por el artículo 3 del Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/96, de 26 de enero. A tales efectos, en virtud de lo establecido en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores con la correspondiente identificación por cada Régimen del Sistema de la Seguridad Social, así como los beneficiarios y demás personas sujetas a la obligación de cotizar. Dicho registro está integrado en el Fichero General de Afiliación cuya titularidad ostenta asimismo este Servicio Común
La ANAED es una asociación sin ánimo de lucro y de ámbito nacional, legalmente inscrita en el Registro Nacional de Asociaciones del Ministerio del Interior con el número Grupo 1 Sección 1 Numero Nacional 171275 y NIF G83991000, siendo una entidad con personalidad jurídica y patrimonios propios e independientes de sus miembros. Forman parte de ANAED Entidades de pago de nacionalidad española autorizadas por el Banco de España, para la prestación de alguno de los servicios de pago previstos en la normativa vigente. Asimismo, también pueden ser miembros de ANAED las entidades de pago comunitarias, autorizadas como tales en otro estado miembro de la Unión Europea, que presten en España alguno de los servicios de pago previstos en la normativa vigente.
Las funciones de ANAED se concretan en la defensa y representación de los intereses colectivos de sus miembros en los distintos ámbitos que afectan a su actividad.
Conscientes, por ello, de la necesidad de fortalecer el grado de colaboración, es deseo de las partes que suscriben el presente Convenio articular mecanismos concretos que contribuyan a facilitar el ejercicio de las respectivas obligaciones, funciones y competencias, dentro del marco jurídico vigente.
La TGSS y ANAED utilizarán un procedimiento informático mecanizado que permite establecer un proceso diario de solicitud de datos por parte de las Entidades de pago y de transmisión de información por la TGSS, denominado «servicio VEDACON» a través del sistema IFI (Intercambio de Ficheros Institucionales) que es una herramienta cliente/servidor desarrollada por la Gerencia de Informática de la Seguridad Social (GISS) que permite trabajar con redes de bajo coste como la red pública Internet y a su vez garantizar la autenticación (de manera que ambos interlocutores deben tener certeza sobre sus identidades mutuas), la confidencialidad (de modo que el mensaje sólo puede ser leído por el destinatario previsto), la integridad (que asegura que el contenido del mensaje no es modificable durante la transmisión) la autoría (por la que la firma prueba que el firmante fue quien redactó el documento), y la adhesión y no repudio (de manera que la firma garantiza que el firmante está de acuerdo con el contenido del documento y que no se retractará en el futuro).
Así, la herramienta IFI permite alcanzar el objetivo fundamental de poder comprobar la veracidad de la información que las entidades de pago recaban de sus clientes, a fin de conocer la naturaleza de su actividad profesional o empresarial, y que los clientes aportan con ocasión del establecimiento de relaciones de negocio, para lo que se utilizarán medios telemáticos, así como la verificación de la realización de una actividad económica por parte del agente.
De esta forma, se da un paso importante en el uso de nuevas tecnologías, suprimiendo la emisión y manipulación de un número muy elevado de informes en papel, lo que permitirá reducir considerablemente para todas las partes costes y esfuerzos improductivos.
Por su parte, las entidades asociadas a ANAED, que se adhieran al presente acuerdo, facilitarán a la TGSS determinada información, que se indica en la cláusula cuarta del Convenio, respecto de los fraudes e intentos de fraude detectados que tengan relación con la inscripción de empresas fraudulentas y la afiliación, las altas y bajas de trabajadores fraudulentos, en la Seguridad Social.
Que las Partes han definido unos diseños de registro y protocolo de comunicaciones semejantes a los de otros procedimientos lo que permite una puesta en funcionamiento de baja complejidad.
Que en virtud de las consideraciones anteriormente señaladas las Partes acuerdan suscribir el presente Convenio que se regirá por las siguientes
CLÁUSULAS
El presente Convenio tiene por objeto establecer los términos y condiciones en los que la TGSS y ANAED instrumentarán su colaboración para el buen funcionamiento del Sistema IFI, así como definir sus respectivas responsabilidades.
La cesión de la información procedente de las bases de datos de la T.G.S.S. a las Entidades miembros de ANAED tiene como finalidad exclusiva comprobar la veracidad de la información que las Entidades de pago recaban de sus clientes, a fin de conocer la naturaleza de su actividad profesional o empresarial y que los clientes aportan con ocasión de efectuar operaciones de envío de dinero u operaciones de cambio de moneda extranjera cuyos importes bien singular, bien acumulado por trimestre natural, supere los 3.000 o 6.000 euros respectivamente, o bien operaciones con clientes nacionales de los países del anexo VI o que supongan transferencia de fondos de o hacia tales países o de clientes u operaciones que presenten riesgos superiores al promedio de las detalladas en el Catálogo de Operaciones de Riesgo para el sector de entidades de pago, cambio de moneda o actividades de giro o transferencia, emitido por la Comisión de PBCIM (el último de noviembre de 2013, sin perjuicio de las modificaciones que al mismo puedan introducirse).
Asimismo de conformidad con lo dispuesto en el artículo 37 del Real Decreto 304/2014, de 5 de mayo, verificar la realización de una actividad económica por parte de los agentes.
Por otra parte, las entidades asociadas a ANAED, en el ámbito de su actividad, colaborarán lealmente con la administración, fuerzas de seguridad del Estado y concretamente en este caso con la TGSS en la prevención de fraudes que pudieran ponerse de manifiesto con ocasión de las verificaciones realizadas que son objeto del presente contrato. Conforme a ello, dichas entidades facilitarán a la TGSS la información expresada en el expositivo quinto del presente acuerdo.
La información se facilitará mensualmente mediante expedientes en papel hasta tanto se habiliten por las partes una transmisión segura y adecuada de esta información por medios telemáticos. A estos efectos deberá acordarse el diseño de un fichero único con independencia de la Entidad de pago con los registros acordados para la remisión mensual.
El presente Convenio obliga a las partes firmantes y a las Entidades de pago que se adhieran al mismo a prestarse la máxima colaboración para conseguir el mejor logro de los fines perseguidos.
La TGSS se compromete a:
a) Facilitar la adhesión de las Entidades de pago que lo soliciten.
b) Procesar con periodicidad diaria todos los ficheros de solicitud recibidos y contestar a los mismos en tiempo y forma.
c) Para cada NIF localizado de los enviados por las Entidades de pago adheridas miembros de ANAED, la TGSS informará, a la fecha de la solicitud, sobre:
1. Tratándose de clientes: Su situación de alta laboral con indicación del código de CNAE si la actividad es por cuenta propia, y de los datos de código cuenta de cotización, razón social y código de CNAE, así como el grupo de cotización del trabajador si éste lo es por cuenta ajena.
2. Tratándose de agentes personas físicas (autónomos): La situación de alta laboral con indicación del código de CNAE si la actividad es por cuenta propia.
3. Tratándose de administradores y socios de agentes personas jurídicas: La situación de alta laboral con indicación del código de CNAE si la actividad es por cuenta propia y de los datos de código cuenta de cotización, razón social y código de CNAE, así como el grupo de cotización del trabajador si éste lo es por cuenta ajena
ANAED se compromete respecto a las Entidades de pago asociadas a la misma:
a) Recomendar la adhesión a este procedimiento, de interés para ellas mismas así como para la TGSS que, en la medida de lo posible, permitirá reducir la emisión de certificaciones en papel, con destino a las Entidades de Pago Colaboradoras.
b) Informarles que la utilización de los datos obtenidos es exclusivamente para los fines previstos en este Convenio.
c) Informarles que las peticiones que realicen a la TGSS que, en todo caso necesitarán siempre la autorización firmada del interesado, se referirán, exclusivamente, a personas físicas que inician relaciones de negocio con la Entidad de Pago Colaboradora o a personas, respecto de las cuales, transcurrido un tiempo razonable, resulta necesario actualizar su información, de conformidad con lo establecido en la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo. Al efecto de determinar cuál es el límite de dicho tiempo la TGSS no considerará válida una autorización utilizada después de dos años a contar desde su firma. Asimismo podrán referirse a los agentes personas físicas, administradores y socios de agentes personas jurídicas.
Las autorizaciones firmadas por el interesado deberán ser custodiadas por las Entidades de pago Colaboradoras y entregadas a la TGSS o la Agencia de Protección de Datos, cuando lo requieran, en un plazo de diez días a contar desde su solicitud.
d) Se les comunicará las obligaciones que adquieren al disponer de la información cedida por la TGSS y que se detallan en la cláusula Novena de este Convenio.
e) Se les informará de las medidas que, en caso de uso indebido de la información facilitada por la TGSS, ésta adoptará y que se recogen en la cláusula Décima.
f) Se les comunicará que el intercambio de información deberá contemplar unas medidas de seguridad, que son las que figuran en el Anexo I.
g) Se les comunicará la obligación de facilitar a la TGSS la información de fraude o intentos de fraude detectados que tengan relación con la inscripción de empresas fraudulentas y la afiliación, altas y bajas de trabajadores fraudulentos en la Seguridad Social, tal y como se menciona en el expositivo quinto del presente acuerdo. Este deber de información se concreta en:
• Identidad del cliente o agente, con indicación de su nombre y apellidos, razón social y NIF.
• Documentación detectada fraudulenta: Falsificación nómina, vida social, DNI, escrituras de constitución de sociedades.
• Breve descripción del fraude detectado
• Detalle de las transacciones económicas a nivel de usuario siempre cumpliendo con la normativa en materia de protección de datos y siempre con el objetivo de identificar economía sumergida, comparando los movimientos de dinero registrados por las entidades de pago; con actividades laborales, prestaciones y los conceptos retributivos percibidos por los trabajadores
El procedimiento del servicio de intercambio (servicio VEDACON) consiste en un proceso de periodicidad diaria por el que la Entidad de Pago Colaboradora previamente adherida al Convenio remite vía IFI un fichero con la identificación de las personas físicas, clientes con los que establecen una relación de negocio con la entidad, para las que solicita información sobre la naturaleza de la actividad profesional o empresarial que se derive de su afiliación a la Seguridad Social, o también clientes de los que resulta necesario actualizar su información transcurrido un tiempo razonable, en los términos de la cláusula anterior o de los agentes personas físicas, administradores y socios de agentes personas jurídicas.
La TGSS procesa estos ficheros con periodicidad diaria cumplimentando en el mismo fichero la información requerida.
En el anexo II remite el detalle de los diseños y los datos de intercambio a la decisión adoptada en cada momento por la Comisión Mixta de Coordinación y Seguimiento sin perjuicio de que para la ejecución del presente Convenio es indispensable un diseño de fichero inicial que se aportará antes de la firma. Las variaciones que puedan experimentar los mismos serán valoradas y acordadas por la Comisión Mixta de Coordinación y Seguimiento prevista en la Cláusula Décima de este Convenio, sin que sea necesaria la firma de una adenda al mismo.
Las entidades de pago colaboradoras adheridas al presente Convenio deberán adoptar las medidas técnicas y organizativas necesarias para asegurar la confidencialidad e integridad de los datos obtenidos por el sistema de intercambio y para garantizar su correcto funcionamiento.
Las entidades de pago colaboradoras adheridas al presente Convenio únicamente serán responsables de los intercambios telemáticos en los que participen y respecto de las tareas que realicen conforme al procedimiento descrito en el anexo II y cuyo desarrollo corresponde a la Comisión Mixta.
Asimismo, cada Entidad de Pago Colaboradora se obliga a garantizar, respecto a cada solicitud que realice:
a) Que las peticiones se refieren a personas físicas que inician relaciones de negocio con la Entidad de Pago o a personas respecto de las que, transcurrido un tiempo razonable, resulta necesario actualizar su información, o de los agentes personas físicas, administradores y socios de agentes personas jurídicas, todo ello de conformidad con lo establecido en la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo. Al efecto de determinar cuál es el límite de dicho tiempo la TGSS no considerará válida una autorización utilizada después de dos años a contar desde su firma.
Que previamente a la solicitud de información por parte de la Entidad de Pago Colaboradora ésta dispone de la correspondiente autorización expresa, firmada por el interesado y acordada entre las partes (ver anexo III). No obstante, y dada la posibilidad prevista en la normativa en materia de Prevención de Blanqueo de Capitales de realizar transacciones no presenciales, se permite posibilidad de que la firma del interesado fuese electrónica, mediante la introducción por parte del mismo de un PIN aleatorio previamente remitido a este fin por la entidad para la cumplimentación del documento de autorización). Para el caso de los agentes personas físicas, dado que es obligatorio para las entidades de pago suscribir un contrato de agencia preferentemente se incluirá en el mismo una autorización expresa del agente autorizando la consulta de los datos. Asimismo, en el caso de administradores y socios del agente persona jurídica, preferentemente se recabará su autorización en el momento de la firma del contrato de agencia.
b) Que se compromete a custodiar las autorizaciones, y a estos efectos y teniendo, en todo caso, lo previsto en el apartado c) siguiente, dada la posibilidad prevista en la normativa en materia de Prevención de Blanqueo de Capitales de realizar transacciones no presenciales, se permite que las autorizaciones se conserven en formato digital que garantice en todo caso su autenticidad. Con motivo de acciones de control o auditoria llevadas a cabo por la TGSS como titular de datos cedidos, las Entidades de pago están obligadas a facilitarles la documentación que obra en su poder en un plazo que no podrá superar los diez días naturales desde su solicitud. Este mismo plazo también se aplicará a las peticiones que, en su caso, pudiera realizar la Agencia de Protección de Datos.
c) Que si existe vínculo electrónico de la entidad de pago con su cliente a través de algún sistema de verificación de la identidad o firma electrónica, aquélla se compromete a certificar que la autorización obrante en formato digital, es de su cliente y ha sido firmada por éste en una fecha determinada y se corresponde en su literalidad con el anexo III de este Convenio.
d) Que cumple con todas las características señaladas en el documento de seguridad (anexo I).
En cuanto al proceso de colaboración con la Tesorería General de la Seguridad Social en su acción de prevención y lucha contra el fraude, las partes articularan en cuanto sea posible los mecanismos de comunicación telemática de la información relativa a operaciones con fraude objeto del acuerdo. Hasta ese momento la comunicación será en soporte papel tratada por ambas partes de forma confidencial.
Las entidades de pago que estén interesadas podrán participar en el sistema de intercambio previsto en el presente Convenio, asumiendo los derechos y obligaciones que les corresponden en los términos y condiciones recogidos en el mismo, mediante la suscripción del protocolo de adhesión incluido en el anexo IV del presente Convenio.
La suscripción del protocolo de adhesión supondrá la aceptación expresa por parte de las entidades de pago de las condiciones y términos del presente Convenio.
La entidad de pago remitirá el protocolo de adhesión y los datos de la persona responsable del sistema de intercambio en la Entidad de Pago a la T.G.S.S. en el plazo de cinco días a contar desde la fecha de adhesión y se comprometerá a mantener dichos datos debidamente actualizados. La TGSS se pondrá en contacto con la entidad de pago a fin de determinar un plan de pruebas y puesta en producción.
El régimen de protección de datos de carácter personal en las actuaciones que se desarrollen en ejecución del presente Convenio será el previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en su normativa de desarrollo, así como en la normativa específica aplicable a los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social, (artículo 40 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social).
En concreto:
A. El personal que preste servicios en las entidades de pago adheridas a este Convenio deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en el título VII de la Ley Orgánica 15/1999 de 13 de diciembre, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, con finalidad distinta a la propia gestión asignada al cesionario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento de la TGSS, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
B. Las entidades de pago adheridas a este Convenio como entidades cesionarias aceptan y asumen por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en el mismo, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente Convenio que facultará a la TGSS para exigir las responsabilidades oportunas.
Las entidades de pago adheridas a este Convenio serán responsables frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La Tesorería podrá repetir contra las entidades cesionarias por cualquier indemnización que deba satisfacer derivada de dicho incumplimiento.
C. Las entidades de pago adheridas al Convenio deberán realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros en que aquéllos figuren incluidos.
La entidad cesionaria se compromete a que cada petición cursada a la TGSS quede justificada con la causa o expediente que lo hubiera motivado.
D. Si como consecuencia de las actuaciones de control o auditoria o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidad con traslado, si procede, a la autoridad judicial correspondiente.
E. La TGSS por su parte, en cuanto a la información recabada de las entidades financieras adheridas, podrá utilizar los datos recibidos únicamente para la prevención del fraude ante dicho organismo, debiendo cumplir con todas las obligaciones establecidas al efecto por la diversa normativa que fuera de aplicación, con mención expresa a la Ley de Protección de Datos de Carácter Personal.
La TGSS, se reserva la facultad de:
A. Controlar, supervisar y/o auditar la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto controles accesorios o complementarios por la Unidad Nacional de Auditorias de la TGSS.
B. Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la TGSS sobre, la custodia o la utilización de la información cedida.
C. Revisar en cualquier momento posterior a la firma del presente Convenio, las formas de acceso a los datos protegidos, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por otras razones que pudieran suponer alteración de las condiciones pactadas en este Convenio.
D. Acordar la suspensión unilateral del Convenio cuando advierta incumplimientos de la obligación de sigilo por parte del personal de las entidades cesionarias. (Esta suspensión del Convenio sólo afectará a la entidad adherida que hubiera incumplido sus obligaciones, si fuera la única que hubiera incurrido en tal incumplimiento).
E. Las entidades cesionarias aceptan someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unidad Nacional de Auditorias de la TGSS, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación. En el anexo V se recogen los requisitos que deberán cumplir los canales y medios utilizados para la captura y custodia de la autorización de sus clientes.
Con el fin de coordinar las actividades necesarias para la ejecución del presente Convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión Mixta de Coordinación y Seguimiento compuesta por dos representantes de ANAED y otros dos nombrados por el Director General de la Tesorería General de la Seguridad Social. Corresponderá a la Comisión Mixta la concreta delimitación del diseño del fichero enviado por las Entidades de Pago como del de respuesta de la TGSS, así como los cambios que pudieran introducirse a posteriori en el mismo.
Será competencia de la Comisión Mixta de Coordinación y Seguimiento establecer los procedimientos más eficaces que posibiliten el intercambio de información. A tal fin, promoverá la supresión de los impedimentos técnicos que impidan su inmediato intercambio y colaboración. También tendrá capacidad para decidir cualquier cambio que convenga introducir en el Convenio, la interpretación del mismo y la resolución de posibles controversias, así como los cambios o modificaciones en el diseño de los ficheros de intercambio de datos
En calidad de asesores podrán incorporarse cualesquiera otros funcionarios que se considere necesario, con derecho a voz.
La Comisión se reunirá a instancia de cualquiera de las partes, para examinar los resultados e incidencias de la colaboración realizada.
La Comisión Mixta de Coordinación y Seguimiento se regirá en cuanto a su funcionamiento y régimen jurídico, respecto a lo no establecido expresamente en la presente cláusula, por lo dispuesto en la sección Tercera del capítulo II del título Preliminar de la Ley 40/2015, de 1 de noviembre, de Régimen Jurídico del Sector Público.
Sus acuerdos requerirán el voto favorable de todos los representantes.
De conformidad con lo establecido en el artículo 49.h) de la Ley 40/2015, el presente Convenio se perfecciona desde el momento de su firma por todas las partes teniendo una vigencia de 4 años a partir de dicha fecha y una vez inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal, y publicado en el «Boletín Oficial del Estado», pudiendo ser prorrogado antes del término del mismo por acuerdo unánime de los firmantes y por un periodo de hasta cuatro años adicionales.
Son causas de extinción del convenio además de las previstas en el artículo 51 de la Ley 40/2015, de 1 de octubre, las siguientes:
a) Por denuncia de alguna de las partes con antelación mínima de 1 mes.
b) La desaparición del objeto del mismo.
El presente Convenio podrá modificarse por acuerdo entre las partes firmantes del presente Convenio cuando resulte necesario para la mejor realización de su objeto, mediante Acuerdo de modificación del mismo.
En este supuesto, las entidades de pago colaboradoras deberán remitir su adhesión al Acuerdo de modificación a la TGSS, en el plazo máximo de tres meses desde la firma del Acuerdo de modificación. La no remisión del acuerdo de adhesión en el plazo señalado implicará la resolución unilateral del Convenio por parte de la Entidad de Pago correspondiente.
Será causa de resolución del Convenio el incumplimiento de las estipulaciones fijadas por acuerdo de las Partes.
El Convenio tiene naturaleza administrativa y carácter no contractual encontrándose excluido de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, en virtud de su artículo 6, e incardinado en el supuesto del artículo 47.2.c) de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.
En todo caso se regirá por lo establecido en los artículos 47 a 53 de la Ley 40/2015, de 1 de octubre
Y en prueba de conformidad, ambas partes suscriben el presente Convenio, en dos ejemplares y a un solo efecto, en la fecha y lugar antes indicados.–El Director General de la Tesorería General de la Seguridad Social, Francisco Gómez Ferreiro.–El Presidente de la Asociación Española de Entidades de Pago, Francisco Moreno Delgado.
1. Gestión de usuarios.
Las entidades de pago colaboradoras deben garantizar:
• Que tienen implantados los procedimientos que permitan gestionar el ciclo de vida de sus usuarios o componentes autorizados a acceder a los servicios de cesiones de datos de la TGSS (altas, bajas, modificaciones de autorizaciones de usuarios).
• Que podrán facilitar una lista actualizada de los usuarios o componentes autorizados para realizar peticiones de datos en caso de ser solicitada por la TGSS (esto permitirá comprobar que dicha lista coincide con los datos que se encuentran en los sistemas de control de acceso de la TGSS).
• Que comunicarán cualquier variación relacionada con las personas que ha autorizado a realizar peticiones de datos. De esta forma si un empleado cambia de puesto de trabajo, en el cual no necesita dicha autorización, o causa baja como trabajador de una Entidad de Pago Colaboradora, será dado de baja como usuario de los servicios de cesión de datos de la TGSS.
2. Control de acceso.
Las entidades de pago colaboradoras deben garantizar que utilizan mecanismos de control de acceso adecuados en aquellos equipos de trabajo desde los que se van a realizar peticiones de datos. De esta forma, se podrá evitar que una persona no autorizada pueda acceder al equipo de trabajo de una persona que sí ha sido autorizada.
3. Auditorías de peticiones de datos.
Las entidades de pago colaboradoras deben garantizar que disponen de un procedimiento interno que le permita recabar toda la información necesaria para justificar la adecuación de las peticiones de datos.
4. Almacenamiento de información.
Las entidades de pago colaboradoras garantizan que almacenan y gestionan adecuadamente la información solicitada, así como las autorizaciones de los interesados que hacen posible el suministro de la información procedente de la Seguridad Social, independientemente del soporte en el que se encuentre dicha información.
5. Pruebas con datos reales
En el caso de desarrollar aplicaciones que realicen algún tipo de tratamiento de los datos solicitados, las Entidades de Pago Colaboradoras deben garantizar que durante las pruebas de dichas aplicaciones no utilizarán datos reales, que puedan comprometer la confidencialidad de los mismos.
6. Información a los usuarios autorizados
Las entidades de pago colaboradoras deben garantizar que informarán adecuadamente a todas las personas para las que solicita la autorización de acceso a los servicios de cesión de datos de la TGSS. Como mínimo debe informar de:
1. Las responsabilidades que asumen.
2. La finalidad concreta de la autorización.
3. Que la TGSS almacena rastros de cada una de las peticiones realizadas.
4. Que en cualquier momento se podrá solicitar la justificación de peticiones de datos realizadas, de acuerdo a los requisitos legales y a la finalidad para la que se autorizó la cesión de datos.
5. Las medidas que deberá tener en cuenta para garantizar la seguridad de la información.
Descripción:
Intercambio de información entre la TGSS y las entidades financieras/entidades pago colaboradoras (ANAED), para comprobar si la persona para la que se dispone de la debida autorización se encuentra en situación de alta laboral.
Por cada registro enviado por las Entidades de pago adheridas miembros de ANAED, la TGSS informará, a la fecha de la solicitud, sobre su situación de alta laboral. Pudiendo devolver uno o varios registros en función del número de situaciones de alta laboral del trabajador, bien como trabajador por cuenta propia o como trabajador por cuenta ajena en cuentas de cotización reales.
Periodicidad: Diaria-Intercambio telemático de ficheros-Subtipo IFI.
Tanto la vía o vías de remisión como el diseño del fichero enviado por las Entidades de Pago, así como el de respuesta enviado por la TGSS se determinará en cada momento por la Comisión Mixta Coordinación y Seguimiento regulada en la cláusula décima del presente Convenio
Don ......................................., con DNI ....................... y domicilio .......................................
Ha sido informado por la entidad de pago .......................................... sucursal ....................... que la legislación vigente sobre prevención de blanqueo de capitales obliga a las entidades bancarias a obtener de sus clientes la información de su actividad económica y a realizar una comprobación de la misma tanto en el momento del establecimiento de relaciones de negocio como periódicamente para su debida actualización.
Con este exclusivo fin de verificación de la información facilitada, presto mi consentimiento expreso a ..................................... (entidad de pago) para que en mi nombre pueda solicitar ante la Tesorería General de la Seguridad Social dicha información.
Igualmente he sido informado que en el supuesto de que los datos por mi suministrados no se correspondan con los obrantes en la Tesorería General de la Seguridad Social, la entidad de pago trasladará a la Tesorería General de la Seguridad Social la información necesaria que esta le requiera para realizar las verificaciones y comprobaciones necesarias en orden a la protección de la seguridad de la información de la Seguridad Social y prevención del fraude.
Los datos obtenidos de la Tesorería General de la Seguridad Social serán utilizados exclusivamente para la gestión señalada anteriormente. En el caso de incumplimiento de esta obligación por parte de la entidad de crédito y/o del personal que en ella presta servicios, se ejecutarán todas las actuaciones previstas en la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal y normativa que la desarrolla
En ..............................., a ........... de ..................... de ..................
Firma del autorizante
La entidad de pago ................................, domiciliada en ......................................, y CIF ......................................, representada por don ................................................, mayor de edad, con domicilio a estos efectos en ......................................................., con DNI número ................................ en su calidad de .................................., de la misma según resulta de la escritura autorizada por el Notario de ................................... Don ........................................................, en fecha ..................................con el número .............. de su protocolo, acuerda la adhesión al Convenio entre la Tesorería General de la Seguridad Social y la Asociación Nacional de Entidades de Pago para la implantación del Servicio de Verificación de Datos con Consentimiento.
Por el presente protocolo de adhesión, la entidad de pago ........................................ acepta todas las condiciones y términos del Convenio entre la Tesorería General de la Seguridad Social y la Asociación Nacional de Entidades de Pago para la implantación del sistema de Intercambio de información (Servicio de Verificación de la Fuente de Ingresos).
En ..............................., a ........... de ..................... de ..................
Fdo. Nombre y apellidos
Nombre y apellidos de la persona de contacto:
Dirección a efectos de envío de notificaciones:
Teléfono:
E-mail:
Las autorizaciones pueden ser obtenidas en soporte papel, permitiendo su conservación digitalizada, o bien obtenerse directamente de forma telemática mediante firma electrónica.
Serán válidos como soportes digitales y telemáticos aquellos que son válidos según la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, y la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, o cualquiera otra que pudiera sustituirlas en el futuro, siempre que los procesos para su conservación certifiquen su validez, con las adecuadas garantías de autenticidad, trazabilidad y no repudio, y con medidas de sello de tiempo.
Para la incorporación como válido al presente Convenio de un soporte digital o telemático será necesario el visto bueno previo, expreso y unánime por parte de la Comisión Mixta de Coordinación y Seguimiento.
El texto/fichero de la autorización podrá ser recogido en un documento aparte o dentro de un clausulado de contrato por el que el cliente inicia o solicita una relación de negocio con la entidad de pago y deberá coincidir con el literal del anexo III del presente Convenio.
Las entidades deberán informar y poner a disposición de la TGSS los mecanismos necesarios que le permitan validar la autorización de sus clientes
– Afganistán.
– Anguilla.
– Antigua y Barbuda.
– Bahréin.
– Bermuda.
– Bosnia-Herzegovina.
– Brunei.
– Corea del Norte.
– Dominica.
– Etiopía.
– Fidji.
– Granada.
– Gibraltar.
– Irán.
– Iraq.
– Islas Caimanes.
– Islas Cook.
– Islas de Guernesey y de Jersey (Islas del Canal).
– Islas Malvinas.
– Islas Marianas.
– Islas Salomón.
– Islas Turks y Caicos.
– Islas Vírgenes Británicas.
– Islas Vírgenes de Estados Unidos de América.
– Jordania.
– Laos.
– Líbano.
– Liberia.
– Liechtenstein.
– Macao.
– Mauricio.
– Mónaco.
– Montserrat.
– Nauru.
– San Vicente y las Granadinas.
– Santa Lucía.
– Seychelles.
– Siria.
– Uganda.
– Vanuatu.
– Yemen.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
