Company for Business logo

AVISO AML/KYC

1. Objeto y alcance de este Aviso

Este Aviso AML/KYC (“Aviso”) explica las obligaciones de Company for Business OÜ (“nosotros”, “nuestro”, “nuestra” o la “Empresa”) en virtud de la legislación de Estonia y de la Unión Europea en materia de prevención del blanqueo de capitales y financiación del terrorismo, y establece qué información y documentación debemos recopilar de nuestros clientes como parte de nuestro programa de cumplimiento legal.

Este Aviso se aplica a todos los clientes potenciales y existentes de la Empresa, incluidas las personas jurídicas (sociedades, asociaciones, fundaciones y otras entidades) y, cuando corresponda, sus representantes, beneficiarios reales y personas físicas relacionadas. Dado que nuestros servicios se prestan exclusivamente a clientes empresariales (B2B), las obligaciones descritas en este Aviso se aplican principalmente a relaciones corporativas y comerciales.

El objetivo de este Aviso es:

  • Informar a los clientes sobre nuestras obligaciones legales en virtud de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (RahaPTS) y la legislación relacionada;
  • Explicar qué información y documentación estamos obligados a recopilar, verificar y conservar;
  • Describir las circunstancias en las que podemos estar obligados a aplicar medidas reforzadas o a rechazar o terminar una relación comercial;
  • Informar a los clientes de su propia obligación de cooperar con nuestros procedimientos de cumplimiento;
  • Ofrecer transparencia sobre cómo gestionamos la información recopilada con fines AML/KYC.

Este Aviso no sustituye el asesoramiento legal. Los clientes que tengan preguntas específicas sobre sus propias obligaciones AML/CTF deben consultar a un profesional jurídico cualificado.

2. Marco legal

La Empresa está clasificada como “sujeto obligado” (kohustatud isik) conforme al § 2 de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo de Estonia (Rahapesu ja terrorismi rahastamise tõkestamise seadus, “RahaPTS”) (RT I, 17.11.2017, 2, en su versión modificada).

En concreto, la Empresa entra en la categoría de contables y asesores fiscales que prestan servicios a terceros, una categoría designada de sujetos obligados tanto bajo la RahaPTS como bajo la Cuarta y Quinta Directivas de la UE contra el Blanqueo de Capitales (Directivas 2015/849/UE y 2018/843/UE), según su transposición al Derecho estonio.

Como sujeto obligado, la Empresa debe aplicar un enfoque basado en el riesgo para el cumplimiento AML/CTF de conformidad con el siguiente marco legislativo y regulatorio:

  • La Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (Rahapesu ja terrorismi rahastamise tõkestamise seadus, RahaPTS) (RT I, 17.11.2017, 2), principal norma estonia que regula las obligaciones AML/CTF;
  • La Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (Cuarta Directiva contra el Blanqueo de Capitales, AMLD4), modificada por la Directiva (UE) 2018/843 (AMLD5) y la Directiva (UE) 2024/1640 (AMLD6);
  • El Reglamento (UE) 2015/847 sobre la información que acompaña a las transferencias de fondos, y el Reglamento (UE) 2023/1113 (su refundición), cuando resulte aplicable;
  • Las directrices emitidas por la Unidad de Inteligencia Financiera de Estonia (Rahapesu andmebüroo, “RAB” o “FIU”) sobre la aplicación de medidas AML/CTF;
  • Las directrices y opiniones emitidas por la Autoridad Bancaria Europea (EBA) sobre supervisión basada en el riesgo y diligencia debida del cliente;
  • La lista del Consejo de la Unión Europea de terceros países de alto riesgo y las listas del FATF (Grupo de Acción Financiera Internacional) de jurisdicciones de alto riesgo y bajo seguimiento, que se tienen en cuenta en nuestras evaluaciones de riesgo;
  • El Reglamento (UE) 2016/679 (GDPR) y la Ley de Protección de Datos Personales (IKS), que regulan el tratamiento de datos personales recopilados con fines AML/KYC.

La Empresa mantiene un programa interno de cumplimiento AML/CTF, que incluye políticas y procedimientos internos por escrito, una evaluación de riesgos, formación de empleados y el nombramiento de una persona responsable del cumplimiento AML/CTF, según lo exigido por los §§ 14–14(5) de la RahaPTS.

3. Enfoque basado en el riesgo

De conformidad con el § 13 de la RahaPTS y la metodología de enfoque basado en el riesgo del FATF, la Empresa evalúa los riesgos de blanqueo de capitales y financiación del terrorismo asociados a cada relación con el cliente y aplica medidas de diligencia debida proporcionales al nivel de riesgo identificado. Esto significa que el alcance y la intensidad de la información y documentación que recopilamos de un cliente dependen del perfil de riesgo de dicho cliente y de la naturaleza de los servicios que se prestarán.

Los factores de riesgo que tenemos en cuenta incluyen, entre otros:

  • La naturaleza, forma jurídica y estructura de propiedad de la entidad cliente;
  • El país o jurisdicción de constitución, operación o residencia del cliente y de sus beneficiarios reales, teniendo en cuenta las listas FATF y de la UE de jurisdicciones de alto riesgo y las evaluaciones de riesgo por país;
  • La naturaleza, finalidad y patrón esperado de la relación comercial;
  • El sector o industria en el que opera el cliente y cualquier factor de riesgo específico del sector;
  • Si el cliente o sus beneficiarios reales son personas expuestas políticamente (PEP) o están asociados con PEP;
  • Si el cliente está sujeto a sanciones, medidas de control de exportaciones o cobertura mediática negativa;
  • El origen de los fondos y el origen del patrimonio del cliente y de sus beneficiarios reales, cuando sea pertinente;
  • Cualquier patrón de transacciones inusual o complejo, o transacciones sin finalidad económica aparente.

Sobre la base de esta evaluación, se asigna a los clientes un nivel de riesgo (estándar, elevado o alto), que determina las medidas de diligencia debida aplicadas. Las evaluaciones de riesgo se revisan periódicamente y siempre que se produzca un cambio material en las circunstancias del cliente o en el entorno regulatorio.

4. Medidas de diligencia debida del cliente (CDD)

4.1 Diligencia debida estándar del cliente

De conformidad con los §§ 20–26 de la RahaPTS, estamos obligados a aplicar medidas estándar de diligencia debida del cliente (CDD) antes de establecer una relación comercial con un nuevo cliente. La CDD estándar incluye:

  • Identificar al cliente y verificar su identidad sobre la base de documentos, datos o información de fuentes fiables e independientes;
  • Identificar al/los beneficiario(s) real(es) del cliente y adoptar medidas razonables para verificar su identidad;
  • Comprender la finalidad y la naturaleza prevista de la relación comercial;
  • Realizar un seguimiento continuo de la relación comercial, incluido el examen de las transacciones y la actualización periódica de la información del cliente.

En el caso de personas jurídicas (sociedades, fundaciones, etc.), la identificación y verificación incluye establecer y verificar lo siguiente:

  • Nombre legal completo, forma jurídica y número de registro;
  • Domicilio social y, si es diferente, lugar principal de actividad;
  • País de constitución y ley aplicable;
  • Estructura de propiedad y estructura de control, incluida una descripción de la cadena de propiedad;
  • La identidad de los representantes legales y de las personas autorizadas para actuar en nombre del cliente;
  • La identidad y, en la medida requerida, la verificación de la identidad de los beneficiarios reales (según se define en la Sección 5 siguiente).

4.2 Diligencia debida simplificada del cliente

Conforme al § 33 de la RahaPTS, puede aplicarse diligencia debida simplificada (SDD) cuando el cliente, la relación comercial o la transacción relevante presenten un menor riesgo de blanqueo de capitales o financiación del terrorismo, y no existan factores de alto riesgo. La diligencia debida simplificada no significa ausencia de diligencia debida: la Empresa sigue identificando y verificando al cliente, pero puede aplicar un seguimiento continuo menos intensivo.

La diligencia debida simplificada puede considerarse, por ejemplo, para clientes que sean sociedades cotizadas en mercados regulados de la UE o del EEE, u organismos públicos sujetos a supervisión pública y requisitos de transparencia. La aplicación de la diligencia debida simplificada siempre está sujeta a la propia evaluación de riesgos de la Empresa y no se aplica automáticamente.

4.3 Diligencia debida reforzada del cliente

Conforme a los §§ 34–38 de la RahaPTS, debe aplicarse diligencia debida reforzada (EDD) en situaciones de mayor riesgo, incluidas aquellas en las que:

  • El cliente, sus beneficiarios reales o personas asociadas sean personas expuestas políticamente (PEP), o familiares o allegados cercanos de PEP, según se define en el § 36 de la RahaPTS;
  • El cliente o la transacción implique un tercer país de alto riesgo designado por la Comisión Europea conforme al artículo 9 de AMLD4, o una jurisdicción incluida en la lista FATF de jurisdicciones de alto riesgo o bajo seguimiento;
  • La relación comercial o transacción sea compleja, inusualmente grande, realizada siguiendo un patrón inusual o sin una finalidad económica legítima o lícita aparente;
  • El cliente haya proporcionado información incompleta, inconsistente o potencialmente falsa durante el proceso CDD estándar;
  • La evaluación interna de riesgos de la Empresa identifique otros factores específicos de alto riesgo que justifiquen un examen reforzado.

La diligencia debida reforzada puede incluir, además de las medidas CDD estándar:

  • Obtener la aprobación de la alta dirección antes de establecer o continuar la relación comercial;
  • Obtener documentación adicional sobre el origen de los fondos y el origen del patrimonio del cliente y de sus beneficiarios reales;
  • Realizar un seguimiento continuo más frecuente e intensivo de la relación comercial y de las transacciones;
  • Solicitar información adicional sobre la finalidad y naturaleza de la relación comercial;
  • Consultar bases de datos públicas y comerciales para la detección de noticias adversas, sanciones y PEP.

5. Beneficiario real

Un requisito clave de la RahaPTS y de las Directivas AML de la UE es la identificación del/de los beneficiario(s) real(es) de una entidad cliente. El beneficiario real (tegelik kasusaaja) se define en el § 9 de la RahaPTS como la(s) persona(s) física(s) que, en última instancia, posee(n) o controla(n) al cliente, o en cuyo nombre se realiza una transacción o actividad.

Para las personas jurídicas, el beneficiario real es generalmente:

  • Cualquier persona física que, directa o indirectamente, posea más del 25% de las acciones o derechos de voto de la persona jurídica;
  • Cualquier persona física que, directa o indirectamente, ejerza control sobre la persona jurídica por otros medios, incluido el derecho a nombrar o destituir a la mayoría del órgano de administración o supervisión;
  • Cuando no pueda identificarse a ninguna persona física sobre la base anterior, o cuando existan dudas sobre si la persona identificada es el beneficiario real, la(s) persona(s) física(s) que ocupen el cargo de directivo(s) superior(es) en la persona jurídica.

En el caso de fideicomisos, fundaciones y estructuras jurídicas similares, los beneficiarios reales incluyen al constituyente, fideicomisario(s), protector(es), beneficiarios o clase de beneficiarios, y cualquier otra persona física que ejerza control efectivo último.

Los clientes deben proporcionar información exacta y completa sobre su estructura de beneficiarios reales y notificar sin demora a la Empresa cualquier cambio. Cuando la estructura de beneficiarios reales sea compleja o implique múltiples capas de propiedad, la Empresa podrá solicitar documentación o información adicional para establecer a su satisfacción el/los beneficiario(s) real(es) último(s).

La información sobre beneficiarios reales recopilada por la Empresa se coteja, cuando proceda, con la información contenida en el Registro Mercantil de Estonia (äriregister), que mantiene un registro de beneficiarios reales conforme a lo exigido por el § 72(1) de la RahaPTS y el Código de Comercio (ÄS).

6. Personas expuestas políticamente (PEP)

La Empresa está obligada, conforme a los §§ 36–38 de la RahaPTS, a identificar si un cliente, sus beneficiarios reales o las personas que actúan en su nombre son personas expuestas políticamente (PEP), o familiares o allegados conocidos de PEP.

Una persona expuesta políticamente se define en el § 36(1) de la RahaPTS como una persona física a la que se le ha confiado o se le ha confiado una función pública prominente, incluyendo:

  • Jefes de Estado, jefes de gobierno, ministros y viceministros o ministros adjuntos;
  • Miembros del parlamento u órganos legislativos similares;
  • Miembros de los órganos de dirección de partidos políticos;
  • Miembros de tribunales supremos, tribunales constitucionales u otros órganos judiciales de alto nivel cuyas decisiones no estén sujetas a recurso ulterior;
  • Miembros de tribunales de cuentas o de los consejos de bancos centrales;
  • Embajadores, encargados de negocios y oficiales de alto rango de las fuerzas armadas;
  • Miembros de los órganos administrativos, de gestión o de supervisión de empresas estatales;
  • Directores, subdirectores y miembros del consejo u órgano equivalente de una organización internacional.

Los familiares de una PEP incluyen cónyuges o parejas, hijos y sus cónyuges o parejas, y padres. Los allegados cercanos incluyen personas físicas de las que se sepa que tienen titularidad real conjunta de entidades o estructuras jurídicas con una PEP, o que mantienen una relación comercial estrecha con una PEP.

Cuando un cliente o su beneficiario real sea identificado como PEP, la Empresa aplicará diligencia debida reforzada del cliente según lo descrito en la Sección 4.3, obtendrá aprobación de la alta dirección antes de establecer o continuar la relación comercial y realizará un seguimiento continuo reforzado durante toda la relación.

Una persona que deja de ser PEP permanece sujeta a medidas reforzadas durante al menos 12 meses después del cese de su función pública, periodo durante el cual la Empresa evalúa si el riesgo asociado a dicha persona ha disminuido suficientemente para volver a medidas estándar.

7. Comprobación de sanciones

La Empresa realiza comprobaciones de clientes y sus beneficiarios reales frente a las listas de sanciones aplicables como parte de sus obligaciones de diligencia debida del cliente y seguimiento continuo. La comprobación de sanciones se realiza en la fase de incorporación del cliente y posteriormente de forma periódica y basada en eventos.

Las listas y regímenes de sanciones frente a los cuales se realizan comprobaciones incluyen:

  • Medidas restrictivas (sanciones) de la UE publicadas en el Diario Oficial de la Unión Europea y administradas por el Servicio Europeo de Acción Exterior (SEAE);
  • Listas de sanciones del Consejo de Seguridad de las Naciones Unidas, implementadas en la UE mediante Reglamentos del Consejo;
  • Lista SDN (Specially Designated Nationals) de OFAC (Office of Foreign Assets Control), cuando sea relevante para la exposición jurisdiccional del cliente;
  • Lista consolidada de objetivos de sanciones financieras de HM Treasury (Reino Unido), cuando sea relevante;
  • Sanciones nacionales de Estonia que puedan adoptarse conforme al Derecho estonio aplicable.

Si un cliente, su beneficiario real o una persona que actúa en su nombre aparece en una lista de sanciones, o si existen motivos razonables para creer que una transacción puede implicar a una persona, entidad o jurisdicción sancionada, la Empresa suspenderá inmediatamente la transacción o la relación comercial y adoptará las medidas exigidas por la ley aplicable, lo que puede incluir informar a la autoridad competente y rechazar o terminar la relación comercial.

Los clientes tienen la obligación de notificar inmediatamente a la Empresa si tienen conocimiento de que ellos, sus beneficiarios reales o cualquier persona asociada a la relación comercial quedan sujetos a sanciones.

8. Documentos e información que requerimos

8.1 De personas jurídicas (sociedades y otras entidades)

Al establecer una relación comercial con una persona jurídica, la Empresa normalmente requerirá los siguientes documentos e información. Los requisitos específicos pueden variar según el perfil de riesgo del cliente, su forma jurídica y la jurisdicción de constitución:

  • Un extracto vigente del registro mercantil o de sociedades correspondiente (por ejemplo, extracto del Registro Mercantil de Estonia o equivalente de la jurisdicción de constitución), emitido no más de tres meses antes de su presentación;
  • Estatutos sociales o documentos constitutivos equivalentes;
  • Una lista de accionistas y sus porcentajes de participación, así como una descripción de la estructura de propiedad y control, incluyendo cualquier entidad intermedia de tenencia;
  • Información sobre beneficiarios reales según lo descrito en la Sección 5, respaldada por pruebas documentales cuando sea necesario;
  • Documentos de identificación (documento oficial con fotografía) de cada beneficiario real que sea persona física, incluyendo nombre completo, fecha de nacimiento, nacionalidad y número de documento;
  • Documentos de identificación y documentos de autorización (por ejemplo, poder notarial o resolución del consejo) de cualquier persona física que actúe como representante autorizado del cliente;
  • Una descripción de las principales actividades comerciales del cliente, la industria en la que opera y sus principales socios comerciales o mercados;
  • Información sobre la finalidad prevista y la naturaleza esperada de la relación comercial, incluidos los tipos de servicios que se prestarán y el volumen y naturaleza esperados de las transacciones;
  • Cuando proceda, información sobre el origen de los fondos que se utilizarán en relación con los servicios;
  • Cualquier licencia, permiso o autorización requerida para las actividades reguladas del cliente, cuando corresponda.

8.2 Documentos adicionales para clientes de alto riesgo

Para clientes clasificados como de alto riesgo, o cuando se aplique diligencia debida reforzada, la Empresa podrá requerir adicionalmente:

  • Estados financieros auditados del ejercicio financiero más reciente;
  • Extractos bancarios u otras pruebas del origen de los fondos y del origen del patrimonio;
  • Organigramas corporativos detallados que muestren todas las entidades intermedias hasta el nivel del beneficiario real último;
  • Confirmación del banco del cliente u otra institución financiera regulada sobre la relación comercial;
  • Referencias adicionales o información de antecedentes procedente de fuentes creíbles e independientes;
  • Una explicación por escrito de la finalidad de cualquier transacción o actividad específica que la Empresa considere inusual o compleja.

8.3 Estándares documentales y verificación

Todos los documentos presentados con fines CDD deben:

  • Presentarse en estonio o inglés, o ir acompañados de una traducción certificada al estonio o al inglés;
  • Ser válidos y vigentes en el momento de su presentación (se aplican requisitos de vigencia conforme a los procedimientos internos de la Empresa);
  • Presentarse como copias claras y legibles, ya sea en formato electrónico (PDF o equivalente) o como copias certificadas de los originales, según lo requiera la Empresa;
  • Estar certificados o apostillados cuando sea necesario, especialmente en el caso de documentos emitidos en jurisdicciones no pertenecientes a la UE/EEE.

La Empresa se reserva el derecho de verificar la información proporcionada por los clientes frente a fuentes públicas, bases de datos comerciales y registros oficiales. La Empresa también puede solicitar confirmación a terceros cuando esté permitido y sea apropiado conforme a la ley aplicable.

9. Seguimiento continuo

La diligencia debida del cliente no es un ejercicio puntual. Conforme al § 15 de la RahaPTS, la Empresa debe realizar un seguimiento continuo de sus relaciones comerciales. El seguimiento continuo incluye:

  • Examinar transacciones y actividades para garantizar que sean coherentes con el conocimiento que la Empresa tiene del cliente, su negocio, su perfil de riesgo y su origen de fondos;
  • Mantener actualizados los documentos, datos e información recopilados durante la diligencia debida del cliente mediante revisiones y actualizaciones periódicas de los expedientes de clientes;
  • Identificar e investigar cualquier transacción o actividad que parezca inusual, compleja o incoherente con el patrón esperado de la relación comercial;
  • Reevaluar el nivel de riesgo del cliente siempre que se produzca un cambio material en su actividad, estructura de propiedad, beneficiario real, exposición jurisdiccional u otras circunstancias relevantes;
  • Actualizar las comprobaciones frente a listas de sanciones y PEP de forma periódica y basada en eventos.

Por tanto, los clientes deben notificar sin demora a la Empresa cualquier cambio en su estructura societaria, propiedad, beneficiarios reales, principales actividades comerciales u otra información previamente proporcionada con fines CDD. La Empresa podrá solicitar periódicamente documentación e información actualizada a los clientes para cumplir sus obligaciones de seguimiento continuo.

La frecuencia e intensidad de las revisiones de seguimiento continuo se determina por el nivel de riesgo asignado al cliente. Los clientes de alto riesgo están sujetos a un seguimiento más frecuente e intensivo que los clientes de riesgo estándar.

10. Transacciones sospechosas y obligaciones de reporte

La Empresa tiene la obligación legal, conforme al § 49 de la RahaPTS, de informar a la Unidad de Inteligencia Financiera de Estonia (Rahapesu andmebüroo, “RAB”) si sabe, sospecha o tiene motivos razonables para sospechar que:

  • Una transacción, actividad o fondos implicados o relacionados con la relación comercial están vinculados con el blanqueo de capitales o la financiación del terrorismo;
  • Un intento de transacción está relacionado con el blanqueo de capitales o la financiación del terrorismo, independientemente de si la transacción se completa finalmente;
  • Un cliente ha proporcionado información falsa o engañosa durante el proceso CDD, o se ha negado a proporcionar la información requerida sin una explicación legítima.

La sospecha puede surgir de una amplia variedad de indicadores, incluidos, entre otros: estructuras de transacciones inusuales o complejas sin finalidad legítima aparente; transacciones incoherentes con la actividad declarada del cliente; solicitudes para procesar transacciones a través de múltiples cuentas no relacionadas; participación de jurisdicciones de alto riesgo; discrepancias entre actividades comerciales declaradas y reales; o cualquier otra circunstancia que, con base en el juicio profesional, genere preocupación.

La Empresa está sujeta a una prohibición legal de “tipping off” conforme al § 57 de la RahaPTS. Esto significa que, una vez que se ha presentado un reporte de transacción sospechosa (STR) ante la RAB, o una vez que la Empresa ha decidido presentar dicho reporte, la Empresa tiene prohibido legalmente revelar al cliente o a cualquier persona asociada que se ha realizado un reporte, que existe una investigación en curso o que la Empresa ha adoptado cualquier medida relacionada.

La Empresa no puede informarle si ha presentado o está considerando presentar un reporte sobre usted o sus transacciones.

Esta prohibición se aplica con independencia del resultado de cualquier investigación y de si la sospecha finalmente se confirma. Los empleados y representantes de la Empresa están legalmente protegidos frente a responsabilidad civil por los reportes realizados de buena fe a la RAB, de conformidad con el § 58 de la RahaPTS.

11. Consecuencias de la falta de cooperación

La capacidad de la Empresa para establecer y mantener una relación comercial con un cliente está estrictamente condicionada a la cooperación del cliente con nuestros procedimientos de cumplimiento AML/KYC. En concreto, la Empresa está obligada por ley a rechazar el establecimiento de una relación comercial o a terminarla cuando:

  • El cliente se niegue o no proporcione la información y documentación requeridas para la diligencia debida del cliente dentro de un plazo razonable;
  • La Empresa no pueda verificar la identidad del cliente o de sus beneficiarios reales a su satisfacción;
  • El cliente proporcione información falsa, inconsistente o que no pueda corroborarse con las fuentes disponibles;
  • La estructura de beneficiarios reales del cliente sea tan compleja u opaca que la Empresa no pueda identificar al/los beneficiario(s) real(es) último(s) con una confianza razonable;
  • El cliente o sus beneficiarios reales figuren en una lista de sanciones o estén sujetos a restricciones que impidan a la Empresa prestar servicios;
  • La Empresa identifique circunstancias que, a su juicio profesional, generen un riesgo inaceptable de facilitar el blanqueo de capitales, la financiación del terrorismo u otros delitos financieros.

En caso de que la Empresa rechace establecer o decida terminar una relación comercial por motivos AML/KYC, la Empresa no está obligada a revelar el motivo específico de su decisión y, cuando se aplique la prohibición de tipping off, puede no estar autorizada a hacerlo. La decisión de la Empresa en estos asuntos es definitiva y se toma de buena fe de conformidad con sus obligaciones legales.

La terminación de una relación comercial por motivos AML/KYC no da lugar a reclamación alguna contra la Empresa por pérdidas, daños o gastos incurridos por el cliente como consecuencia de dicha terminación.

12. Conservación de datos

De conformidad con el § 47 de la RahaPTS, la Empresa debe conservar todos los documentos, datos e información recopilados en el curso de la diligencia debida del cliente y el seguimiento de transacciones durante un período mínimo de cinco (5) años tras el final de la relación comercial o la finalización de una transacción ocasional. Esta obligación de conservación se aplica con independencia de si se presentó un reporte de transacción sospechosa.

El período de conservación de cinco años puede ampliarse a diez (10) años cuando así lo exija la ley aplicable, una orden vinculante de una autoridad competente o procedimientos legales en curso.

Los documentos e información conservados con fines AML/KYC incluyen:

  • Copias de documentos de identificación y verificación del cliente y de sus beneficiarios reales;
  • Registros de las medidas de diligencia debida del cliente aplicadas, incluida la base de la clasificación de riesgo;
  • Copias de documentos relacionados con transacciones;
  • Registros de cualquier reporte de transacción sospechosa presentado ante la RAB;
  • Registros de cualquier decisión tomada en relación con la relación comercial, incluidas decisiones de aplicar diligencia debida reforzada o de rechazar o terminar una relación;
  • Correspondencia y registros relativos al cumplimiento AML/KYC para la relación comercial correspondiente.

Todos los datos personales conservados con fines AML/KYC se tratan de conformidad con el GDPR y la IKS. La conservación de dichos datos se basa en una obligación legal (artículo 6(1)(c) del GDPR) y, en ciertos casos, en los intereses legítimos de la Empresa para defenderse frente a reclamaciones legales (artículo 6(1)(f) del GDPR). Encontrará más información sobre el tratamiento de datos personales en nuestra Política de Privacidad.

Una vez expirado el período de conservación aplicable, los datos personales recopilados con fines AML/KYC serán eliminados de forma segura o anonimizados conforme a los procedimientos de conservación de datos de la Empresa.

13. Derechos del cliente respecto a los datos AML/KYC

Los datos personales recopilados y tratados con fines AML/KYC están sujetos al GDPR y a la IKS. Como interesado, usted tiene los siguientes derechos en relación con dichos datos, sujetos a ciertas limitaciones impuestas por la RahaPTS y otra legislación aplicable:

  • Derecho de acceso (artículo 15 del GDPR): tiene derecho a solicitar una copia de los datos personales que conservamos sobre usted con fines AML/KYC, sujeto a excepciones cuando la divulgación perjudicaría la prevención o detección de delitos financieros.
  • Derecho de rectificación (artículo 16 del GDPR): tiene derecho a que se corrijan datos personales inexactos. Recomendamos a los clientes que nos notifiquen sin demora cualquier cambio en la información proporcionada previamente.
  • Derecho de supresión (artículo 17 del GDPR): este derecho está limitado en el contexto de datos AML/KYC, ya que estamos legalmente obligados a conservar dichos datos durante el período obligatorio de conservación conforme al § 47 de la RahaPTS. No podemos suprimir los datos antes de que finalice dicho período.
  • Derecho a la limitación del tratamiento (artículo 18 del GDPR): puede tener derecho a solicitar la limitación del tratamiento en determinadas circunstancias, sujeto a las obligaciones legales que nos exigen conservar y tratar datos AML/KYC.
  • Derecho de oposición (artículo 21 del GDPR): cuando el tratamiento se base en intereses legítimos, puede tener derecho a oponerse. Este derecho no se aplica cuando el tratamiento es exigido por la ley.

Es importante señalar que la prohibición de tipping off conforme al § 57 de la RahaPTS puede limitar nuestra capacidad de responder plenamente a solicitudes de acceso a datos cuando hacerlo revelaría que se ha presentado un reporte de transacción sospechosa o que existe una investigación en curso. En tales casos, podemos retener información específica de la respuesta de acceso según lo exija la ley.

Para ejercer cualquiera de sus derechos de datos en relación con datos AML/KYC, póngase en contacto con nosotros utilizando los datos de la Sección 15. Responderemos a su solicitud dentro de los plazos previstos por el GDPR.

14. Programa interno de cumplimiento

Según lo exigido por los §§ 14–14(5) de la RahaPTS, la Empresa mantiene un programa formal interno de cumplimiento AML/CTF, que incluye los siguientes elementos:

  • Una evaluación de riesgos por escrito que identifica y evalúa los riesgos de blanqueo de capitales y financiación del terrorismo a los que la Empresa está expuesta en el curso de sus actividades, actualizada al menos cada dos años o siempre que se produzca un cambio material en el entorno de riesgo de la Empresa;
  • Políticas, controles y procedimientos internos AML/CTF por escrito que son proporcionales a la naturaleza, escala y complejidad del negocio de la Empresa, y que son aprobados por la alta dirección;
  • Designación de una persona responsable (oficial de cumplimiento AML/CTF) con autoridad y recursos suficientes para implementar y supervisar el programa de cumplimiento;
  • Formación periódica de empleados y dirección sobre obligaciones AML/CTF, reconocimiento de actividad sospechosa y procedimientos internos de la Empresa;
  • Procedimientos de revisión o auditoría interna independiente del programa de cumplimiento para evaluar su eficacia;
  • Procedimientos para la comprobación de empleados nuevos y existentes frente a listas de sanciones y PEP, y para evaluar la idoneidad de los empleados que gestionan funciones de cumplimiento AML/CTF;
  • Un canal de denuncias que permita a los empleados informar de inquietudes sobre posibles incumplimientos AML/CTF a través de un mecanismo interno confidencial.

El programa de cumplimiento AML/CTF de la Empresa está sujeto a la supervisión de la Unidad de Inteligencia Financiera de Estonia (RAB), que tiene autoridad supervisora sobre los sujetos obligados del sector de contabilidad y asesoría fiscal. La Empresa coopera plenamente con la RAB y otras autoridades competentes en el desempeño de sus funciones de supervisión e investigación.

15. Información de contacto

Si tiene alguna pregunta sobre este Aviso AML/KYC, sobre los documentos o información que requerimos, o sobre cómo se tratan sus datos personales en relación con nuestras obligaciones de cumplimiento AML/KYC, póngase en contacto con nosotros:

  • Empresa: Company for Business OÜ
  • Número de registro: 14589114
  • Dirección: Tartu mnt 83-407, Kesklinna linnaosa, 10115 Tallin, Harju maakond, Estonia
  • Sitio web: www.companyforbusiness.ee

Para consultas específicas sobre protección de datos, consulte también nuestra Política de Privacidad.

La autoridad supervisora competente en materia AML/CTF en Estonia es la Unidad de Inteligencia Financiera (Rahapesu andmebüroo, RAB):

  • Dirección: Narva mnt 6, 15183 Tallin, Estonia
  • Teléfono: +372 612 3900
  • Correo electrónico: [email protected]
  • Sitio web: www.politsei.ee/rahapesu

16. Actualizaciones de este Aviso

Nos reservamos el derecho de actualizar este Aviso AML/KYC en cualquier momento para reflejar cambios en la ley aplicable, la orientación regulatoria o nuestros procedimientos internos de cumplimiento. Las actualizaciones se publicarán en el Sitio Web con una fecha de entrada en vigor revisada. Cuando los cambios sean materiales y afecten a relaciones con clientes existentes, notificaremos a los clientes afectados por escrito.

Se recomienda a los clientes revisar este Aviso periódicamente. La continuación de la relación con la Empresa tras cualquier actualización constituye reconocimiento del Aviso revisado.

Este Aviso AML/KYC se ha preparado de conformidad con la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (RahaPTS), las Directivas de la UE contra el Blanqueo de Capitales (AMLD4/5/6), el GDPR y la legislación estonia relacionada. Este documento no constituye asesoramiento legal. Company for Business OÜ, número de registro 14589114.