Con fecha de 3 de marzo de 2026 se ha suscrito el Convenio entre la Tesorería General de la Seguridad Social y la Asociación Española de Entidades de Pago, en materia de intercambio de información, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado convenio.
Madrid, 4 de marzo de 2026.–El Secretario General Técnico, Plácido Vázquez García.
CONVENIO ENTRE LA TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL Y LA ASOCIACIÓN ESPAÑOLA DE ENTIDADES DE PAGO, EN MATERIA DE INTERCAMBIO DE INFORMACIÓN
REUNIDOS
De una parte, don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero (BOE de 22 de enero), actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.
De otra parte, Joseph T. Montero Prego, Presidente de la Asociación Española de Entidades de Pago, elegido para el desempeño del cargo en la reunión de la Asamblea General de la Asociación el día 17 de diciembre de 2025, quien actúa en nombre y representación de la misma, con domicilio en la calle Zurbano, 92-1.º izquierda, de Madrid, inscrita en el Registro Nacional de Asociaciones, sección 1.ª, número nacional 171275.
Ambas partes reconociéndose competencia y capacidad para la firma del presente documento,
EXPONEN
Primero.
La Tesorería General de la Seguridad Social (en adelante, TGSS) y la Asociación Española de Entidades de Pago (en adelante, AENPA) han mantenido una colaboración institucional desde el año 2018, formalizada mediante el convenio de colaboración de 15 de marzo de 2018, publicado en el «Boletín Oficial del Estado» de 16 de abril de 2018, y posteriormente modificado mediante adendas publicadas en el «Boletín Oficial del Estado» de 30 de octubre de 2019 y 15 de febrero de 2022.
Al haberse alcanzado el límite de prórrogas previsto en dicho convenio, y en atención a la evolución normativa y tecnológica en el ámbito de los servicios de pago y de la gestión de la Seguridad Social, ambas partes consideran necesario formalizar un nuevo convenio que actualice y refuerce el marco de colaboración existente, adaptándolo a las nuevas exigencias legales y operativas.
Segundo.
El sector de los servicios de pago en España establece, tanto en sus relaciones con los clientes como en su operativa interna, medidas orientadas a garantizar la fiabilidad de la información utilizada en las operaciones de pago.
Asimismo, la necesidad de prevenir el blanqueo de capitales en el sector financiero ha llevado a los Estados a desarrollar marcos normativos y mecanismos de coordinación que regulan las actuaciones necesarias en esta materia.
En el ámbito europeo, destacan el Reglamento (UE) 2024/1624 del Parlamento Europeo y del Consejo, de 31 de mayo de 2024, relativo a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y la Directiva (UE) 2024/1640, de la misma fecha, que modifica la Directiva (UE) 2019/1937 y modifica y deroga la Directiva (UE) 2015/849.
En el ordenamiento jurídico español, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, junto con su Reglamento de desarrollo aprobado por Real Decreto 304/2014, de 5 de mayo, establecen los criterios que deben seguir las entidades financieras y de crédito en relación con la identificación de los clientes, la obtención de información sobre el propósito de la relación de negocio y el seguimiento continuo de dicha relación.
En particular, los artículos 5 y 6 de la Ley 10/2010 regulan el propósito e índole de la relación de negocios y el seguimiento continuo de la misma, facultando a las entidades para adoptar medidas de verificación de la actividad declarada por los clientes, obtener información de fuentes ajenas y garantizar la actualización de los datos disponibles.
Por su parte, el artículo 37 del Reglamento establece las medidas de control interno aplicables a los agentes, incluyendo mecanismos específicos de seguimiento y control adaptados al nivel de riesgo, así como la obligación de mantener una relación completa y actualizada de los agentes a disposición de las autoridades competentes.
Tercero.
Con anterioridad a la eficacia del primer convenio, la documentación requerida para la identificación de los clientes era aportada por el propio cliente, a solicitud de la entidad proveedora de servicios de pago, siendo recogida en soporte papel. Este procedimiento presentaba limitaciones en cuanto a la seguridad y fiabilidad de la identificación, dado que la documentación aportada podía no ser auténtica, lo que dificultaba su verificación y hacía recomendable establecer sistemas que permitan comprobar la fuente de ingresos y la actividad económica declarada.
De conformidad con lo previsto en el Real Decreto 304/2014, de 5 de mayo, las entidades proveedoras de servicios de pago deberán comprobar las actividades declaradas por sus clientes en los siguientes supuestos:
1.º Operaciones de envío de dinero cuyo importe, bien singular, bien acumulado por trimestre natural supere los 3.000 euros.
2.º Operaciones de cambio de moneda extranjera cuyo importe, bien singular, bien acumulado por trimestre natural supere los 6.000 euros.
3.º Relaciones de negocio y operaciones con clientes de países, territorios o jurisdicciones de riesgo, o que supongan transferencia de fondos de o hacia tales países, territorios o jurisdicciones, incluyendo en todo caso, aquellos países para los que el Grupo de Acción Financiera (GAFI) exija la aplicación de medidas de diligencia reforzada. Estos países o territorios se fijan mediante acuerdo de la Comisión Mixta de Coordinación y Seguimiento establecida en la cláusula décima, siendo un listado no limitativo, pudiendo ampliarse en cada momento de conformidad la lista de jurisdicciones no cooperadoras de la Secretaría de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (PBCIM).
4.º Clientes u operaciones que presenten riesgos superiores al promedio de las detalladas en el Catálogo de Operaciones de Riesgo para el sector de entidades proveedoras de servicios de pago, cambio de moneda o actividades de giro o transferencia, emitido por la Comisión de PBCIM.
Asimismo, y como se ha señalado en el exponen anterior, el artículo 37 del citado Reglamento establece la necesidad de verificar la existencia de una actividad económica real por parte del agente, con el fin de evitar prácticas fraudulentas como el envío ficticio de dinero, la imputación de operaciones a clientes reales sin su conocimiento, o la creación de identidades falsas para emitir órdenes de envío de dinero. También permite detectar casos en los que el agente no desarrolla actividad económica alguna, pero genera operaciones simuladas.
En base a estas consideraciones se estima necesario establecer este convenio que:
a) Facilitará a las entidades proveedoras de servicios de pago el cumplimiento de la normativa vigente en materia de prevención del blanqueo de capitales, al permitir la verificación de la información aportada por el cliente mediante fuentes ajenas, así como la comprobación de la actividad económica del agente.
b) Permitirá sustituir el soporte papel actualmente utilizado en las certificaciones emitidas por la TGSS por un procedimiento de transmisión de ficheros, siempre que conste la autorización del interesado, lo que redundará en una mayor eficiencia administrativa, reducción de costes y mejora en la atención al ciudadano.
En caso de que el interesado no otorgue su autorización, deberá solicitar las certificaciones directamente por los medios establecidos por la TGSS, dado que, conforme al artículo 77 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, los datos, informes y antecedentes obtenidos por la Administración tienen carácter reservado. Por tanto, la cesión de dichos datos a terceros requiere en todo caso la autorización expresa del interesado. Esta autorización, aunque limitada en su alcance, permite la cesión de información que el propio interesado tendría derecho a obtener directamente de la Administración.
Finalmente, en el marco de sus competencias reconocidas por el Real Decreto 448/2012, de 5 de marzo, que modifica el Real Decreto 1314/1984, de 20 de junio, la TGSS tiene interés directo en recabar información de las entidades asociadas a AENPA sobre fraudes detectados que guarden relación con la Seguridad Social, especialmente en lo relativo a la inscripción de empresas ficticias y a la afiliación, altas y bajas fraudulentas de trabajadores.
Cuarto.
La TGSS es un órgano directivo del Ministerio de Inclusión, Seguridad Social y Migraciones, adscrito a la Secretaría de Estado de la Seguridad Social y Pensiones. Se configura como un Servicio Común de la Seguridad Social, dotado de personalidad jurídica propia, al que corresponde la gestión de los recursos económicos y la administración financiera del sistema, conforme a los principios de solidaridad financiera y caja única.
El Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas, así como la afiliación, altas y bajas de los trabajadores. Estas materias han sido desarrolladas por el Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero, cuyo artículo 3 concreta dichas competencias. En virtud de lo dispuesto en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores, con la correspondiente identificación por cada Régimen del Sistema de la Seguridad Social, así como de los beneficiarios y demás personas obligadas a cotizar. Este registro forma parte del Fichero General de Afiliación, cuya titularidad ostenta igualmente la TGSS.
Quinto.
AENPA es una asociación sin ánimo de lucro y de ámbito nacional, legalmente inscrita en el Registro Nacional de Asociaciones del Ministerio del Interior con el número Grupo 1, Sección 1, Número Nacional 171275, y NIF G83991000. AENPA es una entidad con personalidad jurídica propia y patrimonio independiente del de sus miembros.
Forman parte de AENPA las entidades proveedoras de servicios de pago de nacionalidad española autorizadas por el Banco de España para prestar alguno de los servicios de pago previstos en la normativa vigente. Asimismo, pueden ser miembros de AENPA las entidades proveedoras de servicios de pago comunitarias, autorizadas como tales en otro Estado miembro de la Unión Europea, que operen en España prestando alguno de los servicios de pago regulados.
Las funciones de AENPA se concretan en la defensa y representación de los intereses colectivos de sus miembros en los distintos ámbitos que afectan a su actividad, especialmente en lo relativo al cumplimiento normativo, la interlocución institucional y la mejora de los estándares operativos del sector.
Sexto.
Conscientes de la necesidad de fortalecer el grado de colaboración institucional, ambas partes manifiestan su voluntad de continuar con la cooperación iniciada en 2018, con el objetivo de facilitar el ejercicio de sus respectivas obligaciones, funciones y competencias, dentro del marco jurídico vigente.
La TGSS y AENPA han desarrollado conjuntamente un procedimiento informático mecanizado que permite establecer un proceso diario de solicitud y transmisión de datos entre las entidades proveedoras de servicios de pago y la TGSS, denominado «Servicio de Verificación de Datos con Consentimiento» (VEDACON). Este servicio se presta a través del sistema IFI (Intercambio de Ficheros Institucionales), herramienta cliente/servidor desarrollado por la Gerencia de Informática de la Seguridad Social (GISS), que permite operar mediante redes de bajo coste como Internet, garantizando la autenticación, confidencialidad, integridad, autoría, adhesión y no repudio de las comunicaciones.
El sistema IFI permite alcanzar el objetivo fundamental de verificar la veracidad de la información que las entidades proveedoras de servicios de pago recaban de sus clientes, especialmente en lo relativo a la naturaleza de su actividad profesional o empresarial, así como la comprobación de la existencia de actividad económica por parte del agente.
Como novedad en el presente convenio, se incorpora la posibilidad de que AENPA acceda a dicha información no solo a través de VEDACON, sino también mediante el Servicio de Verificación de Fuentes de Ingresos (SVFI), otro procedimiento informático mecanizado que permite la solicitud diaria de datos por parte de las entidades financieras y su transmisión por parte de la TGSS.
Este avance tecnológico permite reducir significativamente los costes y esfuerzos improductivos para todas las partes implicadas, mejorando la eficiencia operativa y la calidad del servicio.
Asimismo, las entidades asociadas a AENPA que se adhieran al presente convenio facilitarán a la TGSS determinada información, conforme a lo previsto en la cláusula cuarta, relativa a fraudes o intentos de fraude detectados que guarden relación con la inscripción de empresas ficticias y la afiliación, altas y bajas fraudulentas de trabajadores en la Seguridad Social.
Séptimo.
Las partes han definido diseños de registro y protocolos de comunicación similares a los utilizados en otros procedimientos, lo que permite una implementación técnica de baja complejidad y rápida puesta en funcionamiento.
En virtud de las consideraciones anteriormente señaladas las partes acuerdan suscribir el presente convenio que se regirá por las siguientes
CLÁUSULAS
Primera. Objeto del convenio.
El presente convenio tiene por objeto establecer los términos y condiciones de colaboración entre la TGSS y AENPA instrumentarán su colaboración para el buen funcionamiento del Sistema IFI o VEDACON, así como definir sus respectivas responsabilidades.
La cesión de información procedente de las bases de datos de la TGSS a las entidades miembros de AENPA tiene como finalidad exclusiva la verificación de la veracidad de la información que las entidades proveedoras de servicios de pago recaban de sus clientes, en relación con la naturaleza de su actividad profesional o empresarial. Esta verificación se realizará en el marco de operaciones de envío de dinero o cambio de moneda extranjera cuyo importe, individual o acumulado por trimestre natural, supere los 3.000 o 6.000 euros respectivamente; operaciones con clientes nacionales de los países establecidos mediante acuerdo de la Comisión Mixta de Coordinación y Seguimiento o que supongan transferencia de fondos de o hacia tales países o de clientes u operaciones que presenten riesgos superiores al promedio de las detalladas en el Catálogo de Operaciones de Riesgo para el sector de entidades proveedoras de servicios de pago, cambio de moneda o actividades de giro o transferencia, emitido por la Comisión de PBCIM (esta lista podrá ser actualizada automáticamente conforme a las revisiones que publique oficialmente la Secretaría de la Comisión de PBCIM, modificándose el acuerdo de la Comisión Mixta de Coordinación y Seguimiento que incluya el listado de países, sin necesidad de modificar el presente convenio).
Asimismo, en virtud de lo dispuesto en el artículo 37 del Reglamento aprobado por Real Decreto 304/2014, de 5 de mayo, se incluye la verificación de la existencia de actividad económica por parte de los agentes, con el fin de prevenir prácticas fraudulentas.
Por otra parte, las entidades asociadas a AENPA colaborarán lealmente con la Administración, las Fuerzas y Cuerpos de Seguridad del Estado y, en particular, con la TGSS, en la prevención de fraudes que puedan detectarse en el marco de las verificaciones objeto del presente convenio. En cumplimiento de esta colaboración, dichas entidades facilitarán a la TGSS la información prevista en la cláusula cuarta.
La información se remitirá mensualmente mediante expedientes en papel hasta que las partes habiliten un sistema seguro y adecuado de transmisión telemática. A tal efecto, se acordará el diseño de un fichero único, con independencia de la entidad proveedora de servicios de pago, que contendrá los registros acordados para la remisión mensual.
Segunda. Obligaciones generales.
El presente convenio obliga a las partes firmantes, así como a las entidades proveedoras de servicios de pago que se adhieran al mismo, a prestarse la máxima colaboración institucional con el fin de alcanzar eficazmente los objetivos previstos en el convenio.
Todas las partes se comprometen a actuar con buena fe, diligencia y lealtad institucional, facilitando los medios técnicos, humanos y organizativos necesarios para el correcto funcionamiento del sistema IFI o VEDACON y para el cumplimiento de las obligaciones derivadas del presente convenio.
Tercera. Obligaciones de la TGSS.
La TGSS se compromete a:
a) Facilitar la adhesión al presente convenio de las entidades proveedoras de servicios de pago que lo soliciten, siempre que cumplan los requisitos establecidos.
b) Procesar diariamente los ficheros de solicitud de información recibidos a través del sistema IFI y VEDACON, y responder a los mismos en tiempo y forma, garantizando la calidad y seguridad de la información transmitida.
c) Informar, para cada NIF localizado en los ficheros enviados por las entidades proveedoras de servicios de pago adheridas, miembros de AENPA, sobre la situación laboral del titular en la fecha de la solicitud, conforme al siguiente detalle:
Clientes:
– Situación de alta laboral.
– Código CNAE si la actividad es por cuenta propia.
– En caso de actividad por cuenta ajena: código de cuenta de cotización, razón social, código CNAE y grupo de cotización.
Agentes personas físicas (autónomos):
– Situación de alta laboral.
– Código CNAE correspondiente a la actividad por cuenta propia.
Administradores y socios de agentes personas jurídicas:
– Situación de alta laboral.
– Código CNAE si la actividad es por cuenta propia.
– En caso de actividad por cuenta ajena: código de cuenta de cotización, razón social, código CNAE y grupo de cotización.
Cuarta. Obligaciones de AENPA.
AENPA se compromete respecto a las Entidades proveedora de servicios de pago asociadas a la misma, a:
a) Recomendar la adhesión al presente convenio, por su interés tanto para las propias entidades como para la TGSS, en la medida en que permitirá reducir la emisión de certificaciones en papel destinadas a las entidades colaboradoras.
b) Informarles que la utilización de los datos obtenidos es exclusivamente para los fines previstos en este convenio.
c) Comunicarles que las solicitudes de información dirigidas a la TGSS requerirán, en todo caso, la autorización firmada del interesado. Estas solicitudes deberán referirse exclusivamente a personas físicas que inicien relaciones de negocio con la entidad colaboradora, o a personas cuya información deba actualizarse tras un tiempo razonable, conforme a lo establecido en la normativa sobre prevención del blanqueo de capitales y financiación del terrorismo. A estos efectos, la TGSS no considerará válida una autorización transcurridos dos años desde su firma. Las solicitudes también podrán referirse a agentes personas físicas, así como a administradores y socios de agentes personas jurídicas.
Las autorizaciones firmadas por los interesados deberán ser custodiadas por las entidades proveedoras de servicios de pago colaboradoras, y deberán ser entregadas a la TGSS o a la Agencia Española de Protección de Datos en un plazo máximo de diez días desde su requerimiento.
d) Comunicar a las entidades colaboradoras las obligaciones que adquieren al disponer de la información cedida por la TGSS, conforme a lo establecido en la cláusula novena del presente convenio.
e) Informarles de las medidas que adoptará la TGSS en caso de uso indebido de la información facilitada, según lo previsto en la cláusula octava.
f) Comunicarles que el intercambio de información deberá realizarse conforme a las medidas de seguridad recogidas en el anexo I del presente convenio.
g) Informarles de la obligación de colaborar con la TGSS en la prevención del fraude, facilitando información sobre fraudes o intentos de fraude detectados que guarden relación con la inscripción de empresas ficticias y la afiliación, altas y bajas fraudulentas de trabajadores en la Seguridad Social, conforme a lo indicado en el expositivo quinto. Esta información deberá incluir:
– Identificación del cliente o agente: nombre y apellidos, razón social y NIF.
– Documentación fraudulenta detectada: falsificación de nóminas, vida laboral, DNI, escrituras de constitución de sociedades, entre otros.
– Breve descripción del fraude detectado.
– Detalle de las transacciones económicas a nivel de usuario, siempre respetando la normativa vigente en materia de protección de datos, y con el objetivo de identificar situaciones de economía sumergida, mediante la comparación entre los movimientos de dinero registrados por las entidades proveedoras de servicios de pago con actividades laborales, prestaciones y los conceptos retributivos percibidos por los trabajadores.
Quinta. Descripción de los servicios VEDACON y SVFI.
Los servicios VEDACON y SVFI consisten en procedimientos de intercambio de información con periodicidad diaria, mediante el cual la entidad proveedora de servicios de pago colaboradora, previamente adherida al convenio, remite un fichero que contiene la identificación de personas físicas –clientes con los que mantiene una relación de negocio– para las que solicita información relativa a la naturaleza de su actividad profesional o empresarial, derivada de su afiliación a la Seguridad Social.
La TGSS procesa diariamente dichos ficheros, incorporando en el mismo la información solicitada.
Los aspectos técnicos y operativos relacionados con la ejecución del convenio –como los canales de transmisión, los diseños de los ficheros y los datos objeto de intercambio– serán acordados en el seno de la Comisión Mixta de Coordinación y Seguimiento, sin que ello requiera una modificación formal del convenio, siempre que no se altere su contenido mínimo y esencial.
El anexo II recoge el detalle del procedimiento de intercambio de información y su periodicidad.
Sexta. Responsabilidad por el funcionamiento del servicio VEDACON y SVFI.
Las entidades proveedoras de servicios de pago colaboradoras adheridas al presente convenio deberán adoptar las medidas técnicas y organizativas necesarias para asegurar la confidencialidad e integridad de los datos obtenidos por el VEDACON y/o SVFI y para garantizar su correcto funcionamiento.
Las entidades proveedoras de servicios de pago colaboradoras adheridas al presente convenio únicamente serán responsables de los intercambios telemáticos en los que participen y respecto de las tareas que realicen conforme al procedimiento descrito en el anexo II y cuyo desarrollo corresponde a la Comisión Mixta de Coordinación y Seguimiento.
Asimismo, cada entidad proveedora de servicios de pago colaboradora se obliga a garantizar, respecto a cada solicitud que realice:
a) Que las peticiones se refieren a personas físicas que inician relaciones de negocio con la Entidad proveedora de servicios de pago o a personas respecto de las que, transcurrido un tiempo razonable, resulta necesario actualizar su información, o de los agentes personas físicas, administradores y socios de agentes personas jurídicas, todo ello de conformidad con lo establecido en la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo. Al efecto de determinar cuál es el límite de dicho tiempo la TGSS no considerará válida una autorización utilizada después de dos años a contar desde su firma.
b) Que previamente a la solicitud de información por parte de la Entidad proveedora de servicios de pago Colaboradora ésta dispone de la correspondiente autorización expresa, firmada por el interesado y acordada entre las partes (ver anexo III). No obstante, y dada la posibilidad prevista en la normativa en materia de Prevención de Blanqueo de Capitales de realizar transacciones no presenciales, se permite posibilidad de que la firma del interesado fuese electrónica, mediante la introducción por parte del mismo de un PIN aleatorio previamente remitido a este fin por la entidad para la cumplimentación del documento de autorización). Para el caso de los agentes personas físicas, dado que es obligatorio para las entidades proveedora de servicios de pago suscribir un contrato de agencia preferentemente se incluirá en el mismo una autorización expresa del agente autorizando la consulta de los datos. Asimismo, en el caso de administradores y socios del agente persona jurídica, preferentemente se recabará su autorización en el momento de la firma del contrato de agencia.
c) Que se compromete a custodiar las autorizaciones, y a estos efectos y teniendo, en todo caso, lo previsto en el apartado C) siguiente, dada la posibilidad prevista en la normativa en materia de Prevención de Blanqueo de Capitales de realizar transacciones no presenciales, se permite que las autorizaciones se conserven en formato digital que garantice en todo caso su autenticidad. Con motivo de acciones de control o auditorias llevadas a cabo por la TGSS como titular de datos cedidos, las Entidades proveedora de servicios de pago están obligadas a facilitarles la documentación que obra en su poder en un plazo que no podrá superar los diez días naturales desde su solicitud. Este mismo plazo también se aplicará a las peticiones que, en su caso, pudiera realizar la Agencia de Protección de Datos.
d) Que, si existe vínculo electrónico de la entidad proveedora de servicios de pago con su cliente a través de algún sistema de verificación de la identidad o firma electrónica, aquélla se compromete a certificar que la autorización obrante en formato digital es de su cliente y ha sido firmada por éste en una fecha determinada y se corresponde en su literalidad con el anexo III de este convenio.
e) Que cumple con todas las características señaladas en el documento de seguridad (anexo I).
En cuanto al proceso de colaboración con la Tesorería General de la Seguridad Social en su acción de prevención y lucha contra el fraude, las partes articularan en cuanto sea posible los mecanismos de comunicación telemática de la información relativa a operaciones con fraude objeto del acuerdo. Hasta ese momento la comunicación será en soporte papel tratada por ambas partes de forma confidencial.
Séptima. Adhesión al convenio de las Entidades proveedora de servicios de pago Colaboradoras.
Las Entidades proveedora de servicios de pago que estén interesadas podrán participar en el sistema de intercambio previsto en el presente convenio, asumiendo los derechos y obligaciones que les corresponden en los términos y condiciones recogidos en el mismo, mediante la suscripción de un acto de adhesión incluido en el anexo IV del presente convenio.
La suscripción del acto de adhesión supondrá la aceptación expresa por parte de las Entidades proveedora de servicios de pago de las condiciones y términos del presente convenio.
La Entidad proveedora de servicios de pago remitirá el acto de adhesión y los datos de la persona responsable del sistema de intercambio en la entidad proveedora de servicios de pago a la TGSS en el plazo de cinco días a contar desde la fecha de adhesión y se comprometerá a mantener dichos datos debidamente actualizados. La TGSS se pondrá en contacto con la entidad proveedora de servicios de pago a fin de determinar un plan de pruebas y puesta en producción.
Octava. Protección de datos.
Las partes se comprometen a tratar los datos personales a los que puedan tener acceso con la finalidad indicada en el presente convenio y a no utilizarlos para fines distintos de los previstos en este convenio y a no difundirlos ni cederlos a terceros, en cumplimiento con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su normativa de desarrollo así como en la normativa específica aplicable a los datos, informes o antecedentes obtenidos por Ia Administración de la Seguridad Social (artículo 40 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social).
En concreto:
A. En cumplimiento del artículo 28.3.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el personal que preste servicios en las Entidades proveedoras de servicios de pago adheridas a este convenio deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en la normativa de protección de datos vigente en cada momento, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, con finalidad distinta a la propia gestión asignada al cesionario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento dela TGSS, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes. Para ello, cada entidad financiera asume la responsabilidad de contar con el compromiso de confidencialidad con respecto de cada uno de sus trabajadores para el trato de datos personales. Este compromiso estará vigente durante la relación laboral y una vez terminada ésta.
B. Las Entidades proveedoras de servicios de pago adheridas a este convenio como entidades cesionarias aceptan y asumen por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en el mismo, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente convenio que facultará a la TGSS para exigir las responsabilidades oportunas.
Las Entidades proveedoras de servicios de pago adheridas a este convenio serán responsables frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La TGSS podrá repetir contra las Entidades cesionarias por cualquier indemnización que deba satisfacer derivada de dicho incumplimiento.
C. Las Entidades proveedoras de servicios de pago adheridas al convenio deberán realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros en que aquéllos figuren incluidos.
La Entidad cesionaria se compromete a que cada petición cursada a Ia TGSS quede justificada con Ia causa o expediente que lo hubiera motivado.
D. Si como consecuencia de las actuaciones de control o auditoría o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con Ia utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidad con traslado, si procede, a la autoridad judicial correspondiente.
E. La TGSS por su parte, en cuanto a la información recabada de las Entidades proveedoras de servicios de pago adheridas, podrá utilizar los datos recibidos únicamente para la prevención del fraude ante dicho organismo, debiendo cumplir con todas las obligaciones establecidas al efecto por Ia diversa normativa que fuera de aplicación, con mención expresa a la normativa de protección de datos vigente en cada momento.
Novena. Facultades de la TGSS y sujeción de las entidades cesionarias.
La TGSS, se reserva la facultad de:
A. Controlar, supervisar y/o auditar la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto controles accesorios o complementarios por la Unidad Nacional de Auditorias de la TGSS.
B. Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la TGSS sobre, la custodia o la utilización de la información cedida.
C. Revisar en cualquier momento posterior a la firma del presente convenio, las formas de acceso a los datos protegidos, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por otras razones que pudieran suponer alteración de las condiciones pactadas en este convenio.
D. Acordar la suspensión unilateral del convenio cuando advierta incumplimientos de la obligación de sigilo por parte del personal de las Entidades cesionarias. (Esta suspensión del convenio sólo afectará a la entidad adherida que hubiera incumplido sus obligaciones, si fuera la única que hubiera incurrido en tal incumplimiento).
E. Las Entidades cesionarias aceptan someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unidad Nacional de Auditorias de la TGSS, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación. En el anexo V se recogen los requisitos que deberán cumplir los canales y medios utilizados para la captura y custodia de la autorización de sus clientes.
Décima. Comisión Mixta de Coordinación y Seguimiento.
Con el objetivo de coordinar las actuaciones necesarias para la ejecución del presente convenio, así como para su supervisión, seguimiento y control, se constituirá una Comisión Mixta de Coordinación y Seguimiento, que estará integrada por dos representantes designados por AENPA y dos representantes nombrados por el Director General de la TGSS, actuando como Presidente uno de los miembros de la TGSS.
Los dos miembros de la Comisión designados por AENPA actuarán tanto en nombre propio como en representación de las Entidades Proveedoras de Servicios de Pago Colaboradoras que se adhieran al convenio, las cuales otorgan su consentimiento expreso en el correspondiente Acto de Adhesión.
Corresponderá a esta Comisión:
– La definición técnica del diseño de los ficheros de intercambio de datos, tanto los remitidos por las entidades proveedoras de servicios de pago como los generados por la TGSS.
– La introducción de modificaciones posteriores en dichos diseños, cuando resulte necesario.
– Llevar a acuerdo y actualizar la lista de jurisdicciones no cooperadoras publicada por la Secretaría de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (PBCIM).
– La propuesta y establecimiento de procedimientos que faciliten el intercambio de información, promoviendo la eliminación de obstáculos técnicos que impidan su implementación inmediata.
– La interpretación del convenio, la resolución de controversias que pudieran surgir en su aplicación, y la introducción de cambios o mejoras en su contenido.
Podrán incorporarse a la Comisión, en calidad de asesores con voz, pero sin voto, aquellos funcionarios o personal de las entidades proveedoras de servicios de pago cuya participación se considere necesaria para el adecuado desarrollo de sus funciones.
La Comisión se reunirá a instancia de cualquiera de las partes, con el fin de analizar los resultados obtenidos, así como las incidencias derivadas de la colaboración.
En lo no previsto expresamente en esta cláusula, la Comisión Mixta se regirá por lo dispuesto en la sección tercera del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Los acuerdos adoptados por la Comisión se aprobarán por mayoría. Cada uno de sus miembros dispondrá de un voto y, en caso de producirse un empate, el Presidente ejercerá su voto de calidad.
Undécima. Vigencia del convenio.
De conformidad con lo dispuesto en el artículo 49.h), apartado primero, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el presente convenio tendrá una vigencia de cuatro años, contados desde la fecha de su inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación.
Asimismo, será objeto de publicación en el «Boletín Oficial del Estado», conforme a lo establecido en el artículo 48.8 de la misma norma.
Antes de la finalización del plazo de vigencia, el convenio podrá ser prorrogado por acuerdo unánime de las partes, por un período adicional de hasta cuatro años.
Duodécima. Modificación del convenio.
El presente convenio podrá ser modificado mediante acuerdo de las partes firmantes, cuando así se requiera para una mejor consecución de su objeto, mediante la formalización de la correspondiente adenda modificativa.
En tal caso, las entidades financieras adheridas deberán remitir su adhesión expresa a dicha adenda en un plazo máximo de tres meses desde la fecha de eficacia del acuerdo de modificación. La falta de remisión en el plazo indicado implicará la resolución unilateral del convenio por parte de la entidad financiera correspondiente.
Igualmente, en caso de prórroga del convenio, las entidades adheridas deberán manifestar su adhesión expresa en los mismos términos y plazos establecidos para las modificaciones.
Decimotercera. Extinción y resolución.
Además de las causas de extinción previstas en el artículo 51 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el presente convenio podrá extinguirse por las siguientes causas específicas:
a) Por denuncia expresa de cualquiera de las partes firmantes, realizada a través de sus representantes en la Comisión Mixta de Coordinación y Seguimiento. Dicha denuncia deberá formularse con una antelación mínima de tres meses respecto a la fecha prevista de finalización del convenio.
b) Por la desaparición del objeto que motiva el convenio.
Asimismo, en caso de incumplimiento acreditado de los compromisos asumidos, cualquiera de las partes, a través de sus representantes en la Comisión Mixta de Coordinación y seguimiento, podrá instar la resolución del convenio, previa formulación de un requerimiento escrito a la parte incumplidora, concediéndole un plazo de un mes para subsanar el incumplimiento.
Decimocuarta. Naturaleza del convenio.
Este convenio tiene naturaleza administrativa y se rige por lo dispuesto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Sin perjuicio de lo establecido en la cláusula décima, las controversias que pudieran surgir en relación con la ejecución del convenio serán competencia del orden jurisdiccional contencioso-administrativo, conforme a lo previsto en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa.
Decimoquinta. Finalización de vigencia del convenio anterior.
Se acuerda resolver el convenio suscrito por los firmantes en fecha 15 de marzo de 2018, dando lugar a su extinción desde su inscripción en el registro electrónico estatal de órganos e instrumentos de cooperación.
Desde la fecha en que el presente convenio adquiera eficacia jurídica, sustituirá en su totalidad al firmado por las partes en fecha 15 de marzo de 2018, convenio que por consiguiente se declara resuelto y extinto.
Y en prueba de conformidad, el presente convenio se formaliza y firma en la fecha que figura en el pie de firma, considerándose como fecha de formalización la correspondiente al último firmante.–El Director General de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–El Presidente de la Asociación Española de Entidades de Pago, Joseph T. Montero Prego.
ANEXO I
Documento de seguridad
1. Gestión de usuarios.
Las entidades proveedoras de servicios de pago colaboradoras deberán garantizar:
– La existencia de procedimientos que permitan gestionar el ciclo de vida de los usuarios autorizados a acceder a los servicios de cesión de datos de la TGSS (altas, bajas y modificaciones de autorizaciones).
– La disponibilidad de una lista actualizada de usuarios autorizados para realizar peticiones de datos, que podrá ser requerida por la TGSS para verificar su correspondencia con los registros de control de acceso.
– La comunicación inmediata de cualquier variación relativa a los usuarios autorizados. En particular, si un empleado cambia de puesto o causa baja en la entidad, deberá ser dado de baja como usuario de los servicios de cesión de datos.
2. Control de acceso.
Las entidades proveedoras de servicios de pago colaboradoras deberán garantizar la implementación de mecanismos adecuados de control de acceso en los equipos desde los que se realizan peticiones de datos, con el fin de evitar accesos indebidos por parte de personas no autorizadas.
3. Auditorias de peticiones de datos.
Las Entidades proveedoras de servicios de pago Colaboradoras deberán disponer de un procedimiento interno de auditoría que permita recabar y conservar la información necesaria para justificar la adecuación de cada petición de datos realizada.
4. Almacenamiento de información.
Las entidades proveedoras de servicios de pago colaboradoras deberán garantizar el almacenamiento y gestión segura de la información solicitada, así como de las autorizaciones de los interesados que habilitan el suministro de datos por parte de la Seguridad Social, independientemente del soporte utilizado.
5. Pruebas con datos reales.
Durante el desarrollo de aplicaciones que traten datos solicitados, las entidades proveedoras de servicios de pago colaboradoras deberán garantizar que no se utilizarán datos reales en las pruebas, evitando así comprometer la confidencialidad de la información.
6. Información a los usuarios autorizados.
Las entidades proveedoras de servicios de pago colaboradoras deberán informar adecuadamente a los usuarios autorizados para acceder a los servicios de cesión de datos de la TGSS. Como mínimo, deberán comunicar:
1. Las responsabilidades que asumen.
2. La finalidad concreta de la autorización.
3. Que la TGSS almacena rastros de cada una de las peticiones realizadas.
4. Que en cualquier momento podrá requerirse la justificación de las peticiones, conforme a la normativa aplicable y a la finalidad autorizada.
5. Las medidas de seguridad que deben observar para proteger la información.
ANEXO II
Descripción: Intercambio de información entre la TGSS y las entidades proveedoras de servicios de pago colaboradoras (AENPA), con el fin de verificar si la persona para la que se dispone de la correspondiente autorización se encuentra en situación de alta laboral.
Por cada registro enviado por las Entidades proveedoras de servicios de pago adheridas miembros de AENPA, la TGSS informará, a la fecha de la solicitud, sobre la situación de alta laboral del interesado. La respuesta podrá contener uno o varios registros, en función del número de situaciones de alta laboral que presente la persona, ya sea como trabajador por cuenta propia o como trabajador por cuenta ajena, en cuentas de cotización reales.
El intercambio de información se realizará de forma diaria, mediante intercambio telemático de ficheros, utilizando los servicios VEDACON o SVFI.
Los aspectos técnicos relativos a la ejecución del convenio –como las vías de emisión, los detalles de los diseños y los datos objeto de intercambio– serán acordados por las partes en el seno de la Comisión Mixta de Coordinación y Seguimiento.
Dichos acuerdos no requerirán la modificación formal del convenio, siempre que no afecten al contenido mínimo y esencial del mismo, el cual no podrá ser objeto de modificación por la Comisión Mixta de Coordinación y Seguimiento.
ANEXO III
Autorización para la consulta de datos ante la TGSS
D. …………………………………………………………, con DNI número ……………… y domicilio en ……………………………………………………. declara haber sido informado/a por la entidad proveedora de servicios de pago ………………………. de que la legislación vigente en materia de prevención del blanqueo de capitales y de la financiación del terrorismo obliga a dichas entidades a recabar información sobre la actividad económica de sus clientes, así como a verificar dicha información tanto en el momento de establecer relaciones de negocio como de forma periódica para su actualización.
Con el exclusivo fin de verificar la información facilitada, presto mi consentimiento expreso a la entidad ………………………………………… para que, en mi nombre, pueda solicitar ante la Tesorería General de la Seguridad Social la información necesaria relativa a mi situación laboral.
Asimismo, he sido informado/a de que, en caso de que los datos proporcionados por mí para la concesión de financiación no coincidan con los obrantes en la Tesorería General de la Seguridad Social, la entidad proveedora de servicios de pago podrá trasladar a la Tesorería General de la Seguridad Social la información adicional que ésta le requiera para realizar las comprobaciones necesarias en aras de la protección de la seguridad de la información de la Seguridad Social y prevención del fraude.
Los datos obtenidos de la Tesorería General de la Seguridad Social serán utilizados exclusivamente para la finalidad indicada. En el caso de incumplimiento de esta obligación por parte de la entidad proveedora de servicios de pago y/o del personal que en ella presta servicios, se aplicarán las medidas previstas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En ……………………… a …………… de …………………….. de …………..
Firma del autorizante
ANEXO IV
La entidad proveedora de servicios de pago ……………………………… domiciliada en ……………………………., y NIF ………………, representada por D. …………………………………………., mayor de edad, con domicilio a estos efectos en ……………………, con DNI número ……………… en su calidad de ………………… de la misma según resulta de la escritura autorizada por el Notario de ……………………. D. ……………………………………………, en fecha ……………… con el número ……… de su protocolo, acuerda la adhesión al convenio entre la Tesorería General de la Seguridad Social y la Asociación Nacional de Entidades proveedoras de servicios de pago suscrito en fecha ………………. para la implantación del Servicio de Verificación de Datos con Consentimiento (VEDACON)/Servicio de Verificación de la Fuente de Ingresos (SVFI).
Por el presente Acto de Adhesión, la entidad proveedora de servicios de pago …………………… acepta todas las condiciones y términos del convenio entre la Tesorería General de la Seguridad Social y la Asociación Nacional de Entidades proveedoras de servicios de pago.
Mediante el presente Acto de Adhesión, la entidad proveedora de servicios de pago acepta que los miembros de la Comisión de Seguimiento de AENPA actúen en su representación y asume como propias todas las decisiones que dichos miembros adopten en el ejercicio de sus funciones.
Se opta por la implantación de:
☐ Servicio de Verificación de Datos con Consentimiento (VEDACON), a través IFI.
☐ Servicio de Verificación de la Fuente de Ingresos (SVFI), a través de Editrán.
La adhesión tiene efectos desde la fecha de inscripción del presente acto de adhesión en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, previa firma, y perdurará durante el periodo de vigencia del citado convenio.
En …………………., a ……… de ………………………. de ………………
Fdo. Nombre y Apellidos
Nombre y Apellidos de la persona de contacto:
Dirección a efectos de envío de notificaciones:
Teléfono:
E-mail:
ANEXO V
Canales y métodos de captura de la firma para la obtención de la autorización de los clientes
Las autorizaciones podrán ser obtenidas:
– En soporte papel, permitiendo su posterior digitalización para su conservación.
– De forma telemática, mediante el uso de firma electrónica.
Serán válidos los soportes digitales y telemáticos que cumplan con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y en la Ley 59/2003, de 19 de diciembre, de firma electrónica, o en cualquier otra norma que las sustituya en el futuro, siempre que los procesos de conservación certifiquen su validez y cuenten con garantías adecuadas de autenticidad, trazabilidad, no repudio y sello de tiempo.
Para que un soporte digital o telemático pueda incorporarse como válido en el marco del presente convenio, será necesario el visto bueno previo, expreso y unánime de la Comisión Mixta de Coordinación y Seguimiento.
El texto o fichero que contenga la autorización podrá recogerse en un documento independiente o integrarse en el clausulado de un contrato mediante el cual el cliente inicia o solicita una relación de negocio con la entidad proveedora de servicios de pago. En todo caso, dicho texto deberá coincidir literalmente con el contenido del anexo III del presente convenio.
Las entidades proveedoras de servicios de pago deberán informar a la Tesorería General de la Seguridad Social y poner a su disposición los mecanismos necesarios que permitan validar la autenticidad y vigencia de las autorizaciones otorgadas por sus clientes.