Articulo 76 Prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo

1. En la medida en que sea estrictamente necesario a efectos de prevenir el blanqueo de capitales y la financiación del terrorismo, las entidades obligadas podrán tratar categorías especiales de datos personales enunciadas en el artículo 9, apartado 1, del Reglamento (UE) 2016/679 y los datos personales relativos a condenas e infracciones penales mencionados en el artículo 10 del mismo Reglamento, sujetos a las garantías previstas en los apartados 2 y 3 del presente artículo.

2. Las entidades obligadas podrán tratar datos personales amparados por el artículo 9 del Reglamento (UE) 2016/679, siempre y cuando:

a) informen a sus clientes o clientes potenciales de que dichas categorías de datos podrán tratarse con el fin de cumplir los requisitos del presente Reglamento;

b) los datos procedan de fuentes fiables, sean exactos y estén actualizados;

c) no tomen decisiones que puedan dar lugar a resultados sesgados y discriminatorios sobre la base de dichos datos;

d) adopten medidas de alto nivel de seguridad de conformidad con el artículo 32 del Reglamento (UE) 2016/679, en particular en términos de confidencialidad.

3. Las entidades obligadas podrán tratar los datos personales contemplados a que se refiere el artículo 10 del Reglamento (UE) 2016/679 siempre que cumplan las condiciones establecidas en el apartado 2 del presente artículo, y que:

a) dichos datos personales estén relacionados con el blanqueo de capitales, sus delitos subyacentes o la financiación del terrorismo;

b) las entidades obligadas dispongan de procedimientos que permitan distinguir, en el tratamiento de dichos datos, entre alegaciones, investigaciones, procedimientos y condenas, teniendo en cuenta el derecho fundamental a un juicio justo, el derecho de defensa y la presunción de inocencia.

4. Los datos personales serán tratados por las entidades obligadas, al amparo del presente Reglamento, solo con fines de prevención del blanqueo de capitales y de la financiación del terrorismo y no serán objeto de tratamiento ulterior de manera incompatible con los citados fines. Quedará prohibido el tratamiento de datos personales sobre la base del presente Reglamento para fines comerciales.

5. Las entidades obligadas podrán adoptar decisiones resultantes de procesos automatizados, incluida la elaboración de perfiles con arreglo a la definición que figura en el artículo 4, punto 4, del Reglamento (UE) 2016/679, o de procesos que impliquen sistemas de inteligencia artificial con arreglo a la definición que figura en el artículo 3, punto 1, del Reglamento (UE) 2024/XXX del Parlamento Europeo y del Consejo (45), siempre que:

a) los datos tratados por dichos sistemas se limiten a los datos obtenidos con arreglo al capítulo III del presente Reglamento;

b) toda decisión de entablar o negarse a entablar o mantener una relación de negocios con un cliente, o de llevar a cabo o negarse a realizar una operación ocasional para un cliente, o de aumentar o reducir el alcance de las medidas de diligencia debida con respecto al cliente aplicadas de conformidad con el artículo 20 del presente Reglamento, esté sujeta a una intervención humana significativa para garantizar la exactitud y adecuación de dicha decisión, y

c) el cliente pueda obtener una explicación sobre la decisión adoptada por la entidad obligada, y pueda impugnar dicha decisión, excepto en relación con el informe a que se refiere el artículo 69 del presente Reglamento.