Legal
Estonian Legal Acts 2
Requisitos técnicos y procedimientos de identificación y verificación de datos mediante herramientas informáticas
Adoptado el 23.05.2018 Nº 25
RT I, 25.05.2018, 17
entrada en vigor 28.05.2018
El Reglamento se establece sobre la base del artículo 14, apartado 8, y del artículo 31, apartado 6, de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo.
Capítulo 1
Disposiciones generales
§ 1. Ámbito de aplicación del reglamento
El Reglamento establece los requisitos técnicos y el procedimiento para la identificación de la identidad y la comprobación de los datos utilizando herramientas de tecnología de la información, incluida la especificación de los requisitos para la divulgación de información por parte de las entidades de crédito y las entidades financieras (en lo sucesivo, el proveedor de servicios), las normas de procedimiento aplicadas al establecer una relación comercial utilizando herramientas de tecnología de la información y al realizar una transacción de forma ocasional, los requisitos para las actividades relacionadas con las declaraciones de intenciones de las partes de la transacción, la encuesta por cuestionario y la entrevista en tiempo real realizadas como procedimiento obligatorio para el establecimiento de una relación comercial, las condiciones para el tratamiento de la fotografía de una persona, así como la calidad del flujo de información que refleja los procedimientos con sonido e imagen sincronizados, y los requisitos para la grabación y reproducción de la grabación.
§ 2. Requisitos previos para la identificación y verificación de datos
(1) El proveedor de servicios debe utilizar medios técnicos con un alto nivel de fiabilidad al identificar y verificar la identidad personal utilizando medios de tecnología de la información, que garanticen una identificación fiable de la identidad de la persona y permitan evitar la alteración o el uso indebido de los datos transmitidos.
(2) Al identificar y verificar la identidad utilizando medios de tecnología de la información, una persona física o un representante legal de una persona jurídica, que desee establecer una relación comercial y llevar a cabo una transacción ocasional, tal como se especifica en las subsecciones 1 y 2 del § 31 de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, deberá utilizar un documento destinado a la verificación de la identidad digital expedido sobre la base de la Ley de Documentos de Identidad, u otros sistemas de identificación electrónica con un alto nivel de fiabilidad, que se incluyen en el Reglamento (UE) n. 910/2014 del Parlamento Europeo y del Consejo, relativo a los servicios de confianza necesarios para la identificación electrónica y las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.08.2014, pp. 73-114) sobre la base del artículo 9 de la lista publicada en el Diario Oficial de la Unión Europea, y un dispositivo de tecnología de la información con una cámara que funcione, un micrófono y el hardware y software necesarios para la identificación digital y una conexión a Internet de calidad suficiente.
(3) A la hora de identificar y verificar la identidad, el proveedor de servicios podrá utilizar una herramienta informática que permita la comparación de datos biométricos.
(4) Una persona física o un representante legal de una persona jurídica se identifica entrando en el sistema de información designado por el proveedor de servicios y, al establecer una relación comercial y realizar una transacción ocasional, confirma que se ha familiarizado con la información sobre el uso de herramientas de tecnología de la información en el sitio web del proveedor de servicios o en el sistema de información designado y acepta las condiciones de identificación y verificación de la identidad mediante herramientas de tecnología de la información.
(5) Una persona física o un representante legal de una persona jurídica confirma al establecer una relación comercial y realizar una transacción ocasional que:
1) realiza personalmente los procedimientos especificados en el Reglamento, salvo en los casos previstos en el apartado 3 del artículo 10 y en el apartado 3 del artículo 11;
2) los datos facilitados por él en la encuesta mencionada en el § 10 y durante la entrevista mencionada en el § 11 son correctos y completos, y es consciente de las consecuencias de facilitar información incorrecta, engañosa o incompleta al establecer una relación comercial;
3) cumple las condiciones necesarias para entablar una relación comercial establecida por el prestador de servicios y realizar una transacción de forma ocasional.
(6) Además de lo mencionado en el apartado 5, una persona física o un representante legal de una entidad jurídica que utilice una tarjeta de identidad digital de e-residente u otro sistema de identificación electrónica con un alto nivel de fiabilidad especificado en el apartado 2 está obligado a:
1) aceptar la aplicación de las normas jurídicas estonias;
2) mostrar al proveedor de servicios, delante de la cámara, la página de datos personales de un documento de viaje válido expedido por un país extranjero.
§ 3. Identificación y verificación de datos infructuosas
(1) La identificación y verificación de la identidad al establecer una relación comercial utilizando medios informáticos se considera fallida si:
1) una persona física o un representante legal de una persona jurídica ha facilitado intencionadamente datos que no se corresponden con los datos de identificación introducidos en la base de datos de documentos de identidad o no coinciden con la información o los datos obtenidos por otros procedimientos;
2) durante la identificación, encuesta o entrevista, la sesión expira o se interrumpe, o el flujo de información que transmite sonido e imagen sincronizados no cumple los requisitos establecidos en el artículo 5;
3) la persona física o el representante legal de la persona jurídica no ha confirmado lo dispuesto en los apartados 4-6 del § 2;
4) una persona física o un representante legal de una persona jurídica se niega a cumplir las instrucciones del proveedor de servicios especificadas en los apartados 2 y 3 del § 7;
5) una persona física o un representante legal de una persona jurídica recurre a la ayuda de otra persona sin el permiso del proveedor de servicios;
6) las circunstancias apuntan a la sospecha de Blanqueo de Capitales o financiación del terrorismo.
(2) La sesión especificada en el punto 2 de la sección 1 expira si la persona física o el representante legal de la persona jurídica no ha completado ninguna actividad en el sistema de información del proveedor de servicios en un plazo de 15 minutos.
(3) En las circunstancias especificadas en el apartado 1, el proveedor de servicios no satisfará la solicitud de una persona física o de un representante legal de una persona jurídica para abrir una cuenta o realizar una transacción.
(4) En el caso de las circunstancias especificadas en los apartados 1 y 6 del § 1, el proveedor de servicios remitirá la notificación a la Unidad de Inteligencia Financiera.
[RT I, 04.12.2020, 6 - en vigor. 01.01.2021].
§ 4. Publicación de información sobre el uso de herramientas informáticas
El proveedor de servicios deberá publicar en su sitio web o en el sistema de información designado información sobre las posibilidades técnicas de identificación y verificación de la identidad utilizando medios de tecnología de la información. La información publicada deberá incluir al menos los siguientes datos
1) referencia a las disposiciones legales aplicables;
2) información de que la identificación y verificación de la identidad utilizando medios de tecnología de la información se lleva a cabo de conformidad con el procedimiento previsto en el artículo 31 de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo;
3) advertencia de que la identificación y verificación de la identidad no obliga al proveedor de servicios a establecer una relación comercial ni a garantizar la disponibilidad de los servicios;
4) condiciones en las que la identificación y verificación de la identidad personal utilizando medios informáticos se considera infructuosa.
Capítulo 2
Requisitos técnicos del sistema de información del proveedor de servicios
§ 5. Requisitos mínimos para la calidad del flujo de información que refleja sonido e imagen sincronizados
(1) El sistema de información del proveedor de servicios debe permitir la identificación digital y la firma digital.
(2) El proveedor de servicios debe comprobar la calidad del flujo de información del proveedor de servicios y, en la medida de lo posible, del cliente, y garantizar una transmisión clara, grabable y reproducible del sonido y la imagen sincronizados, de forma que permita una comprensión inequívoca y fiable de lo que se transmite.
§ 6. Requisitos de grabación y reproducibilidad de la grabación
(1) El flujo de información que contiene la imagen y el sonido se graba de forma que permita su reproducción con la misma calidad que la transmisión de sonido e imagen sincronizados que tuvo lugar originalmente.
(2) El flujo de información que contiene la imagen y el sonido debe guardarse con un sello de tiempo, la dirección IP del cliente, la persona identificable, el código personal de la persona identificable, en ausencia de un código personal, la fecha y el lugar de nacimiento y el país de residencia, mientras que el sello de tiempo debe estar relacionado con los datos que le conciernen de tal manera que cualquier cambio posterior de los datos, la persona, la hora, la forma y la razón de este cambio sean identificables.
(3) El prestador de servicios está obligado a registrar los datos recogidos por el cuestionario y los siguientes procedimientos en la forma especificada en el apartado 2. Los datos recogidos por el prestador de servicios serán los siguientes
1) identificación;
2) identificación fallida y verificación de los datos prevista en el § 3;
3) realización de una entrevista obligatoria en tiempo real.
(4) La grabación comienza con la identificación y finaliza cuando se han recogido los datos especificados en la sección 3 y se han llevado a cabo los procedimientos.
(5) Las grabaciones que contengan los datos y procedimientos especificados en el apartado 3 deberán ser reproducibles en un plazo de cinco años tras el fin de la relación comercial.
(6) El prestador de servicios tiene derecho a grabar la encuesta del cuestionario especificada en el § 10 como un flujo de información que contenga imágenes y sonido.
§ 7. Requisitos para encuadrar el rostro y el documento de una persona
(1) Al identificar y comprobar la identidad utilizando medios informáticos, la cabeza y los hombros de la persona deben ser visibles y estar enmarcados. La cara debe estar sin sombras y descubierta y ser claramente distinguible y reconocible del fondo y otros objetos.
(2) El proveedor de servicios podrá dar instrucciones para cambiar la posición del cuerpo de la persona y colocar a la persona y el documento en el marco, de modo que se pueda identificar a la persona y verificar la identificación, incluida la visualización de los datos o imágenes introducidos en el documento.
(3) El proveedor de servicios tiene derecho a exigir que se retire la cabeza o la cara cubierta y las gafas, o que se cumplan las instrucciones relativas a garantizar la identificación y la verificación de la identidad que haya presentado.
Capítulo 3
Normas de procedimiento aplicadas al establecimiento de una relación comercial y a la realización de una transacción ocasional
§ 8. Normas de procedimiento aplicables al establecer una relación comercial y realizar una transacción ocasional
(1) Basándose en los riesgos del servicio y guiándose por las normas de procedimiento establecidas sobre la base del artículo 14 de la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo, el prestador de servicios elabora y aplica instrucciones operativas para la aplicación de medidas de diligencia debida al establecer una relación comercial y realizar una transacción ocasional.
(2) Un empleado del proveedor de servicios, un socio colaborador del proveedor de servicios o un sistema automatizado llevarán a cabo el cumplimiento de los requisitos previos para la identificación y verificación de la identidad especificados en los § 2 y 10, así como la encuesta del cuestionario.
(3) El proveedor de servicios está obligado a introducir medidas para evitar los riesgos de manipulación del sistema automatizado.
§ 9. Determinación del perfil del cliente y del riesgo
(1) El proveedor de servicios elabora un perfil de cliente y, como una parte del mismo, un perfil de riesgo sobre la base de las instrucciones de funcionamiento y las normas de procedimiento especificadas en el apartado 1 del § 8 y sobre la base de cuestionarios, entrevistas y otra información disponible, así como de la recopilación sistemática, el análisis y los procedimientos llevados a cabo para verificar los datos.
(2) El prestador de servicios elabora el perfil de cliente y de riesgo de forma que pueda reproducirse por escrito.
§ 10. Cuestionario
(1) Con el cuestionario, se determinará la dirección residencial de la persona física, el perfil de actividad, el ámbito de actividad, el propósito y la naturaleza del establecimiento de una relación comercial, la conexión de los intereses económicos o familiares de la persona con Estonia, los volúmenes estimados de los servicios utilizados por la persona, el beneficiario efectivo, así como si se trata de una persona políticamente expuesta, y otros datos importantes.
(2) Con el cuestionario, el proveedor de servicios determinará la razón social, el código de registro, la ubicación y los lugares de actividad de la persona jurídica, incluidas las sucursales situadas en un país extranjero, la forma jurídica de la persona, la capacidad jurídica, los representantes legales y contractuales, el beneficiario o beneficiarios efectivos y, en los casos pertinentes, si el beneficiario efectivo es una persona políticamente expuesta, las relaciones económicas con Estonia, los Estados contratantes del Espacio Económico Europeo y terceros países, los socios comerciales más importantes, el perfil de actividad de la persona jurídica, las actividades principales y secundarias, la finalidad y la naturaleza de la relación comercial y otros datos importantes.
(3) Con el permiso del proveedor de servicios, una persona física o un representante legal de una entidad jurídica podrá recurrir a la ayuda de otra persona para eliminar los problemas técnicos que surjan durante la encuesta del cuestionario.
(4) El empleado del proveedor de servicios está obligado a evaluar las respuestas a la encuesta del cuestionario y a reflejar tanto la evaluación como las circunstancias subyacentes en el perfil de cliente y de riesgo especificado en el artículo 9.
(5) El proveedor de servicios podrá prescindir de un cuestionario aparte si durante la entrevista se recoge la información especificada en los apartados 1 y 2 y se cumplen los requisitos especificados en el apartado 4. El proveedor de servicios deberá establecer las condiciones para renunciar a un cuestionario separado en las normas de procedimiento del proveedor de servicios elaboradas de conformidad con el § 12.
§ 11. Entrevista
(1) Para recoger y comprobar la información y los datos necesarios para determinar el perfil del cliente, el empleado del proveedor de servicios realiza una entrevista, durante la cual formula preguntas parcialmente estructuradas basadas en los resultados de la encuesta por cuestionario.
(2) Un empleado del proveedor de servicios debe realizar una entrevista obligatoria en tiempo real al establecer una relación comercial.
(3) Con el permiso del proveedor de servicios, una persona física o un representante legal de una persona jurídica podrá recurrir a la ayuda de otra persona para eliminar los problemas técnicos que surjan durante la entrevista.
(4) El empleado del proveedor de servicios está obligado a evaluar la reacción del cliente durante la entrevista, la fiabilidad de la información y los datos obtenidos y la coherencia con la información o los datos obtenidos por otros procedimientos, y a reflejar tanto la evaluación como las circunstancias subyacentes en el perfil de cliente y de riesgo especificado en el § 9.
§ 12. Normas de procedimiento para la identificación y verificación de datos utilizando medios informáticos
(1) El proveedor de servicios deberá establecer normas de procedimiento para la identificación y verificación de datos utilizando medios informáticos, que incluyan como mínimo:
1) un manual de instrucciones para llevar a cabo el procedimiento de identificación utilizando herramientas de tecnología de la información, que incluya los requisitos para la identificación de la identidad y la comprobación de los datos presentados;
2) un manual de instrucciones para preparar un cuestionario de encuesta
3) un manual operativo para que el proveedor de servicios prepare y lleve a cabo las preguntas obligatorias de la entrevista en tiempo real;
4) requisitos técnicos para la calidad del flujo de información que refleja el sonido y la imagen sincronizados y su control
5) requisitos para la recogida y actualización de los datos presentados y el almacenamiento de datos y grabaciones
6) medidas de control del cumplimiento de las instrucciones de funcionamiento especificadas en los puntos 1 a 5.
(2) El empleado del proveedor de servicios debe evaluar los resultados de los procedimientos especificados en los puntos 2, 10 y 11 y hacer una propuesta sobre el régimen de control de la relación comercial aplicado al cliente. La evaluación del empleado del proveedor de servicios es la base para tomar la decisión de establecer una relación comercial.
Read and download the full act here - (https://www.riigiteataja.ee/en/eli/509012019003/consolide)