Dos supervisores, un solo reglamento
Por primera vez, el Comité Europeo de Protección de Datos y la recién operativa Autoridad de Lucha contra el Blanqueo de Capitales redactan juntos un único conjunto de reglas. Su anuncio del 1 de julio de 2026 compromete a ambos organismos a unas directrices conjuntas sobre cómo las firmas pueden agrupar información para combatir el blanqueo y la financiación del terrorismo respetando a la vez el Reglamento General de Protección de Datos. Un equipo de redacción formado por ambas autoridades dirigirá el trabajo, y los dos supervisores afirman que contribuirán cómo iguales.
La importancia para propietarios y operadores es estructural. Hasta ahora, un banco que quisiera compartir señales de actividad sospechosa con un competidor se enfrentaba a dos supervisores que podían llegar a conclusiones distintas sobre la misma transferencia. Un texto coordinado elimina esa bifurcación. Es la señal más clara hasta ahora de que Bruselas quiere gestionar la supervisión de delitos financieros y la protección de datos cómo un régimen engranado, no cómo dos agencias que se hablan sin escucharse.
Que permite realmente el artículo 75
El motor jurídico es el artículo 75 del Reglamento contra el blanqueo. Autoriza a las entidades obligadas - bancos, empresas de pago, proveedores de criptoactivos y otros profesionales regulados - a intercambiar información entre sí y con las autoridades públicas cuando ello sirve a la lucha contra el delito financiero. Es una ampliación significativa de los canales por los que los datos de clientes pueden circular lícitamente entre competidores.
El problema es que cada intercambio de este tipo es también un tratamiento de datos personales y, por tanto, queda bajo el RGPD. Las directrices conjuntas existen para resolver esa tensión: detallar cómo puede construirse una asociación de intercambio de modo que sea defendible bajo ambos regímenes a la vez. Los propietarios deben leerlo cómo el plano de cumplimiento que definirá el aspecto de una asociación de intercambio juridicamente limpia en todo el bloque.
El reloj del 10 de julio de 2027
El mecanismo de intercambio de información del Reglamento entra en vigor el 10 de julio de 2027. No es un objetivo blando. Los bancos e instituciones financieras que pretendan usar los nuevos poderes de intercambio - o a los que sus socios pidan recibir datos compartidos - necesitan gobernanza, contratos y evaluaciones de impacto de protección de datos antes de esa fecha.
La secuencia es ajustada. Los reguladores planean un evento con partes interesadas a finales de 2026 para sacar a la luz los puntos que más necesitan aclaración, y luego abrir una consulta pública sobre el borrador en el primer semestre de 2027. Eso deja una ventana estrecha entre el texto final y la fecha de entrada en vigor, de modo que las firmas no pueden esperar a las directrices terminadas antes de empezar el diseño.
La jugada del propietario
La instrucción practica para los consejos es tratar esto cómo un programa conjunto de AML y privacidad, no cómo una tarea de una sola mesa. Las funciones jurídica, de delito financiero y de protección de datos que historicamente funcionaban por separado ahora deben responder a un único estándar coordinado, lo que significa que deberían planificar juntas ahora en lugar de conciliar posiciones después de que lleguen las directrices.
Tambien hay una ventaja estrategica. Las firmas que participen en el evento y en la consulta de 2027 podrán moldear el reglamento bajo el que vivirán, y quienes se muevan primero pueden convertir un marco de intercambio limpio en una ventaja competitiva en confianza y rapidez. El coste de esperar es una carrera atropellada en el segundo semestre de 2027 contra un plazo que no se moverá.
Leer a continuación: Una primera solicitud de datos puede ser abusiva | Datos obtenidos ilegalmente pueden ganar un juicio



