Modifican las Normas para la Prevención de Lavado de Activos y Financiamiento del Terrorismo (NPLAFT) aplicable a los sujetos obligados bajo el ámbito de supervisión de la Superintendencia del Mercado de Valores (SMV)
El viernes 28 de febrero de 2025 se publicó la Resolución SMV N°006-2025-SMV/01, que modifica la Resolución CONASEV N°033-2011- EF/94.01.1, que aprueba las NPLAFT. La SMV ha emitido esta norma con la finalidad de cumplir con los criterios del Grupo de Acción Financiera Internacional (GAFI) bajo el enfoque basado en riesgos asociados al lavado de activos y al financiamiento del terrorismo.
¿Cuáles son estos cambios?
Se precisa lo siguiente:
1) La obligación de los sujetos obligados de efectuar la debida diligencia de manera continua de sus clientes existentes, debiéndose entender por tales, a todos sus clientes.
2) Los sujetos obligados deben revisar la lista de países o jurisdicciones identificados como no cooperantes por el GAFI, que se encuentra publicada o difundida en la Página Institucional de la SMV en la Plataforma Digital Única del Estado Peruano (www.gob.pe/smv) y/o en la página web del GAFI
(www.fatf-gafi.org), como parte de la debida diligencia intensificada que se realiza a los clientes que reciben transferencias desde países o jurisdicciones identificados por el GAFI como no cooperantes por su riesgo relacionado al lavado de activos y del financiamiento del terrorismo, con escasa supervisión bancaria, o de países comprendidos en la lista OFAC.
3) Elimina la posibilidad que antes existía que, excepcionalmente, en caso el sujeto obligado tuviera indicios razonables de actividades de LA/FT por parte de algún cliente, y consideraba que el efectuar acciones de debida diligencia alertaría a éste, debía emitir un reporte de operación sospechosa (ROS) a la UIF-Perú sin efectuar dichas acciones (debida diligencia). Estos casos debían encontrarse
debidamente fundamentados y documentados.
4) Los sujetos obligados deben aplicar a las transacciones que eventualmente realicen con países o jurisdicciones, las contramedidas que se establezcan por norma con rango de ley, cuando el GAFI haga un llamado en ese sentido.
5) Los sujetos obligados deben conservar las políticas, procedimientos y toda información que sea referida al cumplimiento de las obligaciones establecidas en el Reglamento de la Ley que crea la Unidad de Inteligencia Financiera del Perú durante diez (10) años.
6) El Oficial de cumplimiento debe verificar, al inicio y durante la relación comercial con el cliente, la lista de países o jurisdicciones no cooperantes identificados por el GAFI, que se encuentra publicada o difundida en la Página Institucional de la SMV en la Plataforma Digital Única del Estado Peruano (www.gob.pe/smv) y/o en la página web del GAFI (www.fatf-gafi.org), así como la lista OFAC, las cuales pueden servirle como una herramienta de consulta para medir la exposición de riesgo del cliente.
7) Los sujetos obligados que gestionen y/o administren fideicomisos o patrimonios autónomos deben conservar la información de proveedores de servicios al fideicomiso o patrimonio autónomo, incluyendo a asesores o gerentes de inversión, contadores y asesores fiscales, durante diez (10) años desde que cesa la actividad de gestión y/o administración del fideicomiso o patrimonio autónomo por parte del sujeto obligado.
La norma entró en vigencia el 01 de marzo de 2025.
¿Cuáles son estos cambios?
Ten en cuenta que de acuerdo a lo establecido en el artículo 5, numeral 5.7 de las NPLAFT, se debe capacitar, de acuerdo a sus funciones, a los directores, gerentes y trabajadores, como mínimo en los siguientes temas:
a) Definición de los delitos de lavado de activos y financiamiento del terrorismo.
b) Políticas de los sujetos obligados sobre el modelo de prevención y gestión de los riesgos de LA/FT.
c) Riesgos de LA/FT a los que se encuentra expuesto el sujeto obligado.
d) Normativa externa vigente.
e) Tipologías de LA/FT, así como las detectadas en el sujeto obligado o en otras empresas o en otros sujetos obligados.
f) Normas internas del sujeto obligado.
g) Señales de alertas para detectar operaciones inusuales y sospechosas.
h) Procedimiento de comunicación de operaciones inusuales.
i) Responsabilidad de cada director, gerente y trabajador, según corresponda, respecto de esta materia.
La SMV puede establecer otros aspectos que la capacitación debe cumplir de acuerdo con las funciones de las personas que reciben la capacitación.
Puedes incluir los temas relacionados a los cambios detallados como parte de esta capacitación cuyo contenido mínimo detalla la norma.
Recuerda:
La adecuación oportuna de las normas internas a los cambios normativos es un excelente indicador de cumplimiento normativo.
El Estudio Carrión combina experiencia penal y corporativa, ambas disciplinas directamente relacionadas y complementarias para una adecuada aplicación de las normas PLAFT. Eleva tu estándar de cumplimiento normativo apoyándote en expertos en la materia para la implementación, adecuación y cumplimiento de las normas.
Contáctanos para más información y asesoramiento personalizado.
Nuevo Reglamento de Protección de Datos Personales entra en vigor en marzo del 2025
El 31 de marzo de 2025 entra en vigencia el Decreto Supremo N.º 016-2024-JUS que aprobó el nuevo Reglamento de la Ley de Protección de datos personales, Ley N.º 29733.
A continuación, te presentamos los aspectos más relevantes de la norma:
1) Definición y Ámbito de Aplicación
Definición ampliada de datos personales: Ahora se incluyen datos de localización e identificación en línea, así como información física, económica, cultural o social de las personas naturales.
Nuevos datos sensibles: Se incorpora la información neuronal a la lista de datos sensibles, ampliando la protección de datos altamente sensibles.
Ámbito de aplicación extendido: El reglamento cubre también a responsables fuera del país que procesen datos de personas en Perú, alineándose con estándares internacionales.
2) Principios y Derechos del Titular
Principios clave: Se incorporan los principios de transparencia y responsabilidad proactiva, que obligan a las empresas a demostrar las medidas de seguridad implementadas.
Derecho a la portabilidad de datos: Los titulares ahora pueden trasladar sus datos personales a otros responsables, lo que les otorga un mayor control sobre su propia información.
Publicidad y prospección comercial: Solo se permite el tratamiento de datos con fines publicitarios si el titular ha dado su consentimiento expreso.
3) Seguridad de los Datos Personales
Notificación obligatoria de incidentes de seguridad: Las empresas deberán notificar cualquier incidente de seguridad dentro de las 48 horas de su detección.
Medidas de seguridad más estrictas: Se obliga a documentar políticas de seguridad y mantener controles rigurosos sobre el acceso a áreas y equipos sensibles.
Protección de menores de edad: Se establecen reglas estrictas sobre el tratamiento de datos de niños y adolescentes.
4) Gestión Administrativa y Simplificación
Simplificación administrativa: Se elimina el costo de la inscripción y modificación de bancos de datos personales, lo que facilita la gestión administrativa para las empresas.
Flujo transfronterizo de datos: Las transferencias internacionales de datos solo se permitirán cuando existan garantías adecuadas de protección.
5) Infracciones y Multas
6) Oficiales de Datos Personales
Designación obligatoria de un Oficial de Datos Personales: Las empresas con grandes volúmenes de datos deben nombrar un Oficial de Datos Personales, que será responsable de velar por el cumplimiento de las políticas de protección de datos y servir como punto de contacto para los titulares de los datos.
Empresas grandes (ventas anuales superiores a 2300 UIT) tienen un plazo de 1 año para cumplir con esta obligación.
Empresas medianas (ventas anuales entre 1700 UIT y 2300 UIT) tienen 2 años.
Empresas pequeñas (ventas anuales entre 150 UIT y 1700 UIT) disponen de 3 años.
Microempresas (ventas anuales hasta 150 UIT) tienen 4 años para cumplir con esta normativa.
La adopción de las medidas de protección de datos personales, el reporte oportuno de incidentes, y la adecuación oportuna de las normas y procesos internos al cumplimiento de la norma, permitirá a las empresas evitar posibles sanciones, generando confianza y manteniendo su reputación de cumplimiento normativo frente a sus accionistas, clientes, proveedores y terceros.
En Estudio Carrión ofrecemos soluciones integrales en consultoría de protección de datos personales y cumplimiento normativo en general, te ayudamos a identificar aquellos cambios que requieren tus normas y procesos internos para adecuarse a las nuevas normas, los implementamos con eficiencia y capacitamos a tu equipo con la finalidad que el cumplimiento de la norma no solo quede en la actualización de documentos, sino que sea llevada a la práctica con éxito por cada uno de tus colaboradores.
Recuerda que la adecuación oportuna a los cambios normativos es un excelente indicador de cumplimiento normativo.
Contáctanos para más información y asesoramiento personalizado.
SBS actualiza norma sobre las Personas Expuestas Políticamente
