Servicios de Cumplimiento en Lituania

EN RESUMEN

El cumplimiento normativo en Lituania abarca las obligaciones AML/KYC derivadas de la Ley de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo, los requisitos de protección de datos del RGPD, la implementación de canales para denunciantes y el cumplimiento sectorial específico para empresas con licencia o sometidas a regulación especial.
La Ley de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (Pinigų plovimo ir teroristų finansavimo prevencijos įstatymas — PPTFPĮ) exige a las entidades obligadas (incluyendo instituciones financieras, empresas de criptoactivos, abogados, contables y otras) implementar programas AML completos con evaluaciones de riesgo, procedimientos KYC y comunicación de operaciones sospechosas.
El RGPD (Reglamento UE 2016/679) se aplica directamente a todas las empresas lituanas que traten datos personales de residentes en la UE. La Inspección Estatal de Protección de Datos (Valstybinė duomenų apsaugos inspekcija — VDAI) es la autoridad de supervisión; las multas por infracciones graves pueden alcanzar los €20 millones o el 4% del volumen de negocio mundial anual.
La autoridad supervisora AML para las entidades obligadas del sector no financiero en Lituania es el Servicio de Investigación de Delitos Financieros (Finansinių nusikaltimų tyrimo tarnyba — FNTT), que realiza inspecciones y puede imponer multas administrativas de hasta €1.000.000 por infracción.
Diseñamos, implementamos y auditamos programas de cumplimiento para empresas lituanas y las operaciones lituanas de grupos internacionales: en materia de AML/KYC, RGPD, protección de denunciantes y cumplimiento normativo sectorial.

Respuesta breve

Los servicios de cumplimiento abarcan el diseño, la implementación y la gestión continua de los marcos internos que mantienen a una empresa lituana en el lado correcto de sus obligaciones regulatorias. Para las entidades obligadas en materia AML (instituciones financieras, empresas de criptoactivos, proveedores de servicios de activos virtuales, abogados y otras) esto implica un programa AML/KYC completo. Para todas las empresas, implica el cumplimiento del RGPD en materia de protección de datos. Para las empresas con 50 o más empleados, implica un canal de denuncia para denunciantes. Para las empresas con licencia, implica el cumplimiento normativo sectorial específico. Asesoramos sobre las obligaciones aplicables, construimos el marco de políticas y procedimientos, formamos al personal correspondiente y prestamos asesoramiento continuo a medida que evoluciona el entorno regulatorio.

Cumplimiento AML/KYC — El Marco Lituano

La Ley de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (PPTFPĮ)

La Ley de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (Pinigų plovimo ir teroristų finansavimo prevencijos įstatymas — PPTFPĮ) es la norma AML principal en Lituania. Transpone la Cuarta y Quinta Directivas de la UE contra el Blanqueo de Capitales (4AMLD — Directiva 2015/849; 5AMLD — Directiva 2018/843) y las Recomendaciones del Grupo de Acción Financiera Internacional (GAFI) al derecho lituano. La PPTFPĮ fue sustancialmente modificada en 2020 y 2022 para adaptarse a los requisitos de la 5AMLD, incluyendo la ampliación de la lista de entidades obligadas y el establecimiento de registros públicos obligatorios de beneficiarios efectivos.

Entidades obligadas — quién debe cumplir

La PPTFPĮ establece una lista de ‘entidades obligadas’ (įpareigotieji subjektai): personas y empresas que deben implementar un programa AML. La lista de entidades obligadas ha sido ampliada bajo la 5AMLD. En Lituania incluye:

Entidades de crédito e instituciones financieras — bancos, instituciones de pago (EMIs), entidades de dinero electrónico, empresas de inversión, compañías de seguros
Proveedores de servicios de activos virtuales (VASPs) — operadores de intercambio de criptomonedas, proveedores de carteras digitales y otras empresas relacionadas con criptoactivos registradas en el Banco de Lituania conforme a la Ley sobre Operadores de Intercambio de Moneda Virtual y Operadores de Carteras de Moneda Virtual
Firmas y auditores de cuentas — auditores legales y sociedades de auditoría
Contables y asesores fiscales — personas que prestan servicios de contabilidad, teneduría de libros o asesoría fiscal
Profesionales jurídicos — abogados, notarios y otros profesionales jurídicos cuando asisten a clientes en determinadas transacciones (inmuebles, constitución de empresas, gestión de fondos de clientes)
Agentes inmobiliarios — agencias y agentes individuales
Comerciantes de artículos de alto valor — que comercian con bienes mediante pago en efectivo de €10.000 o más por transacción
Proveedores de servicios de juego — operadores de casinos presenciales y en línea
Operadores de plataformas de crowdfunding y proveedores de servicios a empresas y trusts

Los cinco pilares del programa AML

Toda entidad obligada debe implementar un programa AML basado en el riesgo conforme al Artículo 12 PPTFPĮ. El programa debe abordar cinco áreas fundamentales:

Evaluación de riesgos — una evaluación escrita de los riesgos de blanqueo de capitales y financiación del terrorismo a los que se enfrenta la entidad, considerando sus clientes, productos, servicios, transacciones y exposición geográfica. La evaluación de riesgos debe actualizarse ante cualquier cambio material en el modelo de negocio de la entidad o cuando el FNTT o el Banco de Lituania publiquen evaluaciones de riesgo nacionales o sectoriales actualizadas.
Diligencia debida del cliente (KYC) — procedimientos para identificar y verificar a los clientes antes de establecer una relación de negocio. La DDC estándar se aplica a todos los clientes; la Diligencia Debida Reforzada (DDR) se aplica a los clientes de alto riesgo, incluidas las Personas Políticamente Expuestas (PPEs), los clientes de jurisdicciones de alto riesgo y las relaciones no presenciales. La DDC simplificada está disponible para clientes de bajo riesgo en las circunstancias específicas definidas en el Artículo 10 PPTFPĮ.
Seguimiento continuo — monitorización continua de las relaciones de negocio y las transacciones para garantizar que sean coherentes con el conocimiento que tiene la entidad del cliente y el patrón de actividad esperado. Las transacciones inusuales o incoherentes deben ser objeto de un examen adicional.
Comunicación de operaciones sospechosas — un proceso para identificar y comunicar las transacciones y actividades sospechosas al FNTT a través del sistema de comunicación FORSIS del FNTT. La obligación de comunicación se aplica sin alertar al cliente de que se ha presentado una comunicación.
Controles internos — políticas, procedimientos y controles para prevenir el blanqueo de capitales; formación del personal sobre las obligaciones AML e indicadores de alerta; designación de un responsable de comunicación AML (MLRO); conservación de registros durante al menos 8 años (Artículo 25 PPTFPĮ); y una auditoría interna anual del programa AML.

 El Responsable de Comunicación de Blanqueo de Capitales (MLRO)

Toda entidad obligada debe designar un Responsable de Comunicación de Blanqueo de Capitales (MLRO, por sus siglas en inglés): la persona responsable de recibir las comunicaciones internas de operaciones sospechosas del personal, evaluarlas y presentar las comunicaciones externas ante el FNTT. El MLRO debe ser un miembro de la alta dirección o un responsable designado con suficiente jerarquía e independencia para ejercer la función eficazmente. Para las pequeñas entidades obligadas, el MLRO puede ser el administrador. Para las organizaciones más grandes, un responsable de cumplimiento dedicado ejerce las funciones de MLRO. El MLRO debe estar identificado en el programa AML y debe completar formación AML. Asesoramos sobre la designación y las responsabilidades del MLRO y podemos impartir formación para los responsables de cumplimiento de nueva designación.

La Diligencia Debida del Cliente (KYC) en la Práctica

El marco de diligencia debida del cliente (DDC) conforme a la PPTFPĮ distingue tres niveles de diligencia en función del riesgo evaluado del cliente y de la transacción. La correcta calibración de la DDC al nivel de riesgo es lo que separa un programa AML eficaz de uno que es incumplidor (diligencia insuficiente) u operativamente disfuncional (diligencia excesiva aplicada uniformemente a todos los clientes).

DDC estándar — Artículo 9 PPTFPĮ

La DDC estándar debe aplicarse a todos los nuevos clientes al inicio de la relación de negocio y de forma continua. La DDC estándar exige: identificación del cliente (persona física o jurídica) y verificación de la identidad mediante fuentes fiables e independientes; identificación y verificación de los beneficiarios efectivos de los clientes personas jurídicas (UBOs, tal como se definen en el Artículo 2(9) PPTFPĮ, de conformidad con la definición de la 5AMLD); obtención de información sobre la naturaleza y finalidad de la relación de negocio propuesta; y seguimiento continuo de la relación y las transacciones.

Para los clientes personas jurídicas, la verificación de la identidad incluye la obtención de: el extracto de inscripción de la entidad; los estatutos sociales o equivalente; evidencia de la titularidad real (datos de JADIS en Lituania; registro equivalente o declaración para entidades extranjeras); y documentos de identificación de los UBOs y los representantes autorizados de la entidad.

Diligencia Debida Reforzada (DDR) — Artículo 11 PPTFPĮ

La Diligencia Debida Reforzada es obligatoria para los clientes y situaciones de alto riesgo conforme a la PPTFPĮ. La DDR exige todos los pasos de la DDC estándar más medidas adicionales. Las situaciones que activan la DDR incluyen:

Personas Políticamente Expuestas (PPEs) — personas físicas que ocupan o han ocupado funciones públicas prominentes. El estatuto de PPE activa la DDR durante la vigencia de la relación más 12 meses tras el cese de la PPE en su función. La DDR para PPEs exige: establecer el origen del patrimonio y el origen de los fondos; obtener la aprobación de la alta dirección para establecer la relación; y un seguimiento continuo reforzado.
Clientes o transacciones que involucran a terceros países de alto riesgo — países identificados por la Comisión Europea como países con deficiencias estratégicas en materia AML. Actualmente, aproximadamente 20 países figuran en la lista de alto riesgo de la UE.
Relaciones de negocio no presenciales con el cliente — cuando el cliente no está físicamente presente para su identificación. La DDC a distancia debe complementarse con medidas de verificación adicionales (copias certificadas de documentos, identificación por vídeo o identidad electrónica verificada).
Relaciones de corresponsalía bancaria — cuando una entidad de crédito lituana establece una relación de corresponsalía con una entidad de crédito de un país no comunitario.
Transacciones complejas o de importe inusualmente elevado sin finalidad económica aparente.

DDC simplificada — Artículo 10 PPTFPĮ

La DDC simplificada está disponible para los clientes de bajo riesgo en circunstancias específicas en que la PPTFPĮ permite un nivel reducido de verificación: incluidas las sociedades cotizadas en mercados regulados de la UE, las autoridades públicas y los clientes que presentan un bajo riesgo según la evaluación de riesgos documentada de la entidad. La DDC simplificada no significa la ausencia de DDC: significa un nivel reducido de verificación, aplicado de forma coherente con una justificación de riesgo documentada.

Cumplimiento del RGPD en Lituania

El Reglamento General de Protección de Datos de la UE (Reglamento 2016/679 — RGPD) se aplica directamente y sin transposición nacional en Lituania. Rige el tratamiento de datos personales de residentes en la UE por cualquier organización que esté establecida en la UE o que ofrezca bienes o servicios a residentes en la UE. La autoridad de supervisión lituana es la Inspección Estatal de Protección de Datos (Valstybinė duomenų apsaugos inspekcija — VDAI).

A quién se aplica el RGPD en Lituania

Toda empresa lituana que trate datos personales (es decir, que recopile, almacene, utilice, transmita o elimine información sobre personas físicas identificables) está sujeta al RGPD. No existe umbral de tamaño: una empresa unipersonal que almacena direcciones de correo electrónico de clientes está sujeta al RGPD. El RGPD se aplica a los datos de los empleados, los datos de los clientes, los datos de los proveedores, los datos de los visitantes del sitio web y cualquier otro dato personal que maneje la empresa.

Los seis requisitos de cumplimiento del RGPD que implementamos

Base jurídica del tratamiento — toda actividad de tratamiento debe tener una base jurídica conforme al Artículo 6 RGPD: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, misión de interés público o intereses legítimos. Los intereses legítimos (Art. 6(1)(f)) es la base más comúnmente aplicable en el tratamiento B2B, pero requiere una prueba de ponderación documentada.
Avisos de privacidad — las personas cuyos datos son tratados deben ser informadas del tratamiento conforme a los Artículos 13–14 RGPD. Las políticas de privacidad del sitio web, los avisos de privacidad para empleados y los avisos de tratamiento de datos de clientes deben estar actualizados, ser completos y estar accesibles.
Derechos de los interesados — los interesados tienen derecho a acceder a sus datos, rectificarlos, suprimirlos (‘derecho al olvido’), limitar el tratamiento y oponerse al tratamiento. Las empresas deben tener procedimientos documentados para gestionar estas solicitudes dentro del plazo legal de respuesta de 30 días.
Acuerdos de tratamiento de datos (ATD) — cuando una empresa lituana utiliza encargados del tratamiento externos (servicios en la nube, proveedores de nóminas, plataformas de email marketing), debe existir un Acuerdo de Tratamiento de Datos (ATD) conforme al Artículo 28 RGPD con cada encargado.
Notificación de brechas de datos — el Artículo 33 RGPD exige la notificación a la VDAI en el plazo de 72 horas desde que se tenga conocimiento de una brecha de datos personales que suponga un riesgo para los derechos de los interesados. Las brechas que supongan un alto riesgo también deben notificarse a los interesados afectados. Debe existir un plan de respuesta ante brechas.
Delegado de Protección de Datos (DPD) — un DPD es obligatorio conforme al Artículo 37 RGPD para las autoridades públicas, las empresas cuya actividad principal implique la monitorización sistemática a gran escala y las empresas cuya actividad principal implique el tratamiento a gran escala de datos sensibles. Para otras empresas, el nombramiento voluntario de un DPD o un acuerdo de DPD como servicio es aconsejable.

Actuación de la VDAI — multas e investigaciones

La VDAI ha incrementado progresivamente su actividad de control. Las multas conforme al RGPD son escalonadas: hasta €10 millones o el 2% del volumen de negocio mundial anual por infracciones técnicas (seguridad inadecuada, no nombramiento de un DPD, deficiencias en la llevanza de registros); y hasta €20 millones o el 4% del volumen de negocio mundial anual por infracciones sustantivas (tratamiento ilícito, vulneración de los derechos de los interesados, transferencias internacionales no autorizadas). En la práctica, las multas de la VDAI para las empresas lituanas han oscilado habitualmente entre €2.000 y €50.000 para la mayoría de las infracciones, pero el máximo se ha aplicado en casos graves. Las investigaciones de la VDAI se inician frecuentemente a raíz de reclamaciones de los interesados, que pueden presentarse directamente ante la VDAI en línea.

 Registro de Actividades de Tratamiento (ROPA)

Conforme al Artículo 30 RGPD, toda empresa con 250 o más empleados debe mantener un Registro de Actividades de Tratamiento (ROPA): un inventario escrito de todas las actividades de tratamiento de datos personales que lleva a cabo la empresa. Las empresas con menos de 250 empleados están exentas del requisito obligatorio del ROPA salvo que su tratamiento suponga un riesgo para los derechos y libertades, no sea ocasional o incluya datos de categorías especiales. En la práctica, recomendamos a todas las empresas lituanas que mantengan un ROPA con independencia de su tamaño: es el documento fundacional de cualquier programa de cumplimiento del RGPD y simplifica significativamente las respuestas a las investigaciones de la VDAI y a las solicitudes de los interesados.

Servicios de Cumplimiento que Ofrecemos

Diseño e Implementación del Programa AML/KYC

Diseñamos e implementamos el programa de cumplimiento AML/KYC completo exigido por la PPTFPĮ para las entidades obligadas: desde la evaluación de riesgos inicial hasta los procedimientos operativos y la formación del personal. El programa está diseñado para ser proporcional al tamaño y al perfil de riesgo de la entidad, cumpliendo las normas de la PPTFPĮ y del FNTT sin generar una carga operativa que obstaculice la actividad legítima.

Evaluación de riesgos AML — identificación y evaluación de los riesgos de blanqueo de capitales y financiación del terrorismo específicos del modelo de negocio, la base de clientes, los productos y la exposición geográfica de la entidad
Manual de políticas y procedimientos AML — políticas documentadas para la DDC, la DDR, la DDC simplificada, el seguimiento continuo y la comunicación de operaciones sospechosas
Procedimientos de incorporación KYC — listas de verificación paso a paso para la incorporación de clientes para distintos tipos de clientes (personas físicas, empresas, trusts, PPEs, jurisdicciones de alto riesgo)
Designación del MLRO y documentación del rol — definición de la autoridad, las líneas de reporte y las responsabilidades del MLRO dentro de la organización
Procedimientos de comunicación de operaciones sospechosas — proceso de escalada interna y comunicación al FNTT a través de FORSIS
Formación AML del personal — formación a medida para el personal de primera línea (atención al cliente), el personal de cumplimiento y la alta dirección
Revisión y actualización anual del programa AML — actualización del programa ante novedades regulatorias y cambios en el perfil de riesgo de la entidad

Programa de Cumplimiento del RGPD

Implementamos el marco de cumplimiento del RGPD completo para las empresas lituanas: desde la auditoría de datos que identifica qué datos personales trata la empresa, hasta los avisos de privacidad, los acuerdos de tratamiento de datos, el plan de respuesta ante brechas y la formación del personal. Para las empresas que ya disponen de un marco RGPD, realizamos evaluaciones de carencias y actualizamos la documentación para reflejar los avances regulatorios.

Auditoría de tratamiento de datos — mapeo de todos los datos personales que la empresa recopila, utiliza, almacena y transmite; identificación de la base jurídica de cada actividad de tratamiento
Registro de Actividades de Tratamiento (ROPA) — preparación del registro del Art. 30 RGPD de todas las actividades de tratamiento
Avisos de privacidad — redacción de la política de privacidad del sitio web, el aviso de privacidad para empleados y la información de tratamiento de datos de clientes
Acuerdos de Tratamiento de Datos (ATDs) — revisión y negociación de ATDs con proveedores de servicios en la nube, procesadores de nóminas, plataformas de correo electrónico y otros encargados del tratamiento
Procedimientos de derechos de los interesados — proceso interno para gestionar solicitudes de acceso, supresión y oposición dentro del plazo legal de 30 días
Plan de respuesta ante brechas de datos — clasificación de incidentes, procedimientos de notificación, comunicación a la VDAI y plantillas de documentación
DPD como servicio — actuando como Delegado de Protección de Datos externo para las empresas que requieren o eligen tener un DPD
Formación RGPD — formación a medida para todo el personal (concienciación general), equipos de TI (seguridad de los datos) y dirección (obligaciones de gobierno)

Implementación del Canal para Denunciantes

Conforme a la Ley lituana de Protección de los Denunciantes (Pranešėjų apsaugos įstatymas), que transpone la Directiva UE 2019/1937/UE, las empresas con 50 o más empleados deben establecer un canal de denuncia interno. El canal debe permitir a los empleados comunicar infracciones del derecho lituano de forma confidencial, y la empresa debe investigar las denuncias, mantener la confidencialidad y proteger a los denunciantes frente a represalias.

Diseño del canal de denuncia interno — establecimiento de un mecanismo de comunicación confidencial (correo electrónico dedicado, formulario en línea o contacto designado) independiente de la cadena de mando
Política para denunciantes — definición de las categorías de infracciones comunicables, el proceso de investigación, las protecciones de confidencialidad y las disposiciones contra las represalias
Designación del responsable — designación del responsable de cumplimiento o de una persona externa como receptor e investigador de las denuncias
Procedimiento de investigación de denuncias — proceso documentado para evaluar, investigar y responder a las denuncias dentro de los plazos legales (acuse de recibo en 7 días; notificación del resultado en 3 meses)
Disposiciones contra las represalias — documentación de las protecciones disponibles para los denunciantes y las consecuencias de las represalias
Comunicación y formación de los empleados — información a todos los empleados sobre la existencia del canal, su finalidad y las protecciones disponibles

Cumplimiento Normativo en Servicios Financieros

Para las empresas del sector de servicios financieros (EMIs, instituciones de pago, empresas de inversión, plataformas de crowdfunding y proveedores de servicios de activos virtuales), el cumplimiento de los requisitos del Banco de Lituania y la legislación sectorial específica es condición para mantener la licencia. Asesoramos sobre el cumplimiento normativo continuo para las entidades con licencia.

Informes al Banco de Lituania — obligaciones de información regulatoria periódica y puntual para las entidades con licencia; preparación y presentación
Seguimiento de la adecuación del capital — garantizando que la entidad mantiene en todo momento los fondos propios mínimos exigidos por el marco de licencias aplicable
Seguimiento de cambios regulatorios — seguimiento de las circulares del Banco de Lituania, las directrices de la ABE y los cambios regulatorios de la UE que afectan a las operaciones de la entidad
Controles internos y gobierno — diseño del marco de control interno exigido por las expectativas de supervisión del Banco de Lituania
Gestión de la correspondencia regulatoria — respuesta a las consultas, inspecciones y solicitudes de información del Banco de Lituania
Cumplimiento de MiCA (Proveedores de Servicios de Criptoactivos) — asesoramiento sobre el cumplimiento del Reglamento UE 2023/1114 (Mercados de Criptoactivos), que entró en aplicación en diciembre de 2024 para los CASPs
Procedimiento de gestión de reclamaciones de consumidores — marco obligatorio de gestión de reclamaciones para los proveedores de servicios financieros con licencia

Auditoría de Cumplimiento y Evaluación de Carencias

Para las empresas que ya cuentan con marcos de cumplimiento (heredados, ensamblados históricamente o implementados sin la intervención de un especialista), una auditoría de cumplimiento identifica las carencias entre el estado actual y los requisitos regulatorios. La auditoría produce un informe escrito de carencias y un plan de subsanación priorizado.

Auditoría de cumplimiento AML/KYC — revisión del programa AML existente frente a las normas de la PPTFPĮ y los estándares de inspección del FNTT; identificación de deficiencias y plan de subsanación priorizado
Auditoría de cumplimiento RGPD — revisión de las actividades de tratamiento de datos, las bases jurídicas, los avisos de privacidad, los ATDs y las medidas de seguridad frente a los requisitos del RGPD
Diagnóstico integral de cumplimiento corporativo — revisión de la postura general de cumplimiento de la empresa en materia de AML, RGPD y requisitos sectoriales aplicables; informe escrito de síntesis
Preparación para inspecciones — preparación de la empresa para una inspección del FNTT o una investigación de la VDAI; simulacro de inspección; organización de la documentación
Subsanación post-inspección — implementación de las medidas correctoras exigidas por los resultados de una inspección del FNTT o la VDAI
Actualización del programa de cumplimiento — revisión anual y actualización de la documentación AML, RGPD y de otro tipo para adaptarla a los cambios regulatorios y a los desarrollos del negocio

Autoridades Supervisoras y Régimen Sancionador

Comprender qué autoridad supervisa qué obligación (y cuáles son las consecuencias del incumplimiento) es esencial para priorizar las inversiones en cumplimiento. Las tres autoridades supervisoras con mayor relevancia comercial para las empresas lituanas son:

Autoridad	Abreviatura	Ámbito de supervisión	Multa máxima
Servicio de Investigación de Delitos Financieros	FNTT	Cumplimiento AML/KYC para entidades obligadas del sector no financiero (contables, abogados, agentes inmobiliarios, VASPs, proveedores de servicios a empresas y trusts)	€1.000.000 por infracción
Banco de Lituania	LB	Cumplimiento AML/KYC y prudencial para entidades del sector financiero (bancos, EMIs, IPs, empresas de inversión, VASPs de criptoactivos supervisados por el Banco de Lituania)	€5.000.000 o el 10% del volumen de negocio anual por infracción
Inspección Estatal de Protección de Datos	VDAI	Cumplimiento del RGPD para todas las organizaciones que traten datos personales de residentes en la UE	€20.000.000 o el 4% del volumen de negocio mundial anual
Inspección Estatal de Trabajo	VDI	Cumplimiento laboral; contratos de trabajo; tiempo de trabajo; seguridad laboral; protección de denunciantes	€3.000 por infracción (personas físicas); sanciones más elevadas por infracciones graves de seguridad
Consejo de la Competencia	RRT	Cumplimiento de la normativa de competencia; acuerdos anticompetitivos; abuso de posición dominante; control de concentraciones	10% del volumen de negocio mundial anual
Ministerio de Hacienda / VMI	VMI	Cumplimiento fiscal; IS, IVA, IRPF, SoDra; precios de transferencia; evasión fiscal	Recargo del 50% sobre el impuesto evadido + intereses diarios al 0,03%

Precios de los Servicios de Cumplimiento

El diseño e implementación de los programas de cumplimiento tienen precios fijos para alcances definidos. Los retainers de asesoría continua de cumplimiento se presupuestan tras una evaluación inicial de las obligaciones de cumplimiento y la madurez actual de la entidad.

Servicio	Precio
Evaluación de riesgos AML (entidad obligada) Evaluación de riesgos escrita: riesgo de cliente, de producto, geográfico y de transacción; conforme al Art. 12 PPTFPĮ	€900
Diseño y documentación del programa AML Programa AML/KYC completo: manual de políticas, procedimientos de DDC/DDR, seguimiento, comunicación, designación del MLRO, conservación de registros	€3.500
Programa AML — fintech / VASP (reforzado) Programa reforzado para entidades obligadas del sector criptoactivos, pagos y servicios financieros; normas del Banco de Lituania	€3.200
Procedimiento de incorporación KYC (por tipo de cliente) Clientes individuales, clientes personas jurídicas, procedimientos PEP, procedimientos para jurisdicciones de alto riesgo — por conjunto de procedimientos	€800
Formación del MLRO (por sesión) Sesión de formación de 3 horas para MLRO de nueva designación; marco AML, obligaciones de comunicación y sistema FORSIS	€1.000
Formación AML del personal (por sesión, hasta 20 participantes) Indicadores de alerta, obligaciones DDC, identificación de operaciones sospechosas y procedimientos de comunicación	€900
Revisión y actualización anual del programa AML Actualización del programa ante cambios regulatorios; revisión de la evaluación de riesgos; actualización de procedimientos	€900
Auditoría de tratamiento de datos RGPD Mapeo de todas las actividades de tratamiento; evaluación de la base jurídica; informe escrito de auditoría	€900
Programa de cumplimiento RGPD — empresa estándar ROPA, avisos de privacidad, plantilla de ATD, procedimientos de derechos de los interesados, plan de respuesta a brechas	€1.600
Programa de cumplimiento RGPD — empresa con tratamiento intensivo de datos Para empresas que tratan grandes volúmenes o categorías especiales de datos; incluye asesoría de DPD	€2.600
Política de privacidad y aviso de privacidad para empleados Política de privacidad del sitio web y aviso de privacidad interno para empleados; conformes con los Arts. 13-14 RGPD	€700
Acuerdo de Tratamiento de Datos (ATD — revisión / redacción) Revisión del ATD de la contraparte o redacción de un ATD estándar para uso con encargados del tratamiento	€600
DPD como servicio — retainer mensual Delegado de Protección de Datos externo; punto de contacto con VDAI; gestión de solicitudes de interesados; notificación de brechas	Desde €800/mes
Asesoría ante brecha de datos RGPD (por incidente) Evaluación de la brecha; preparación de la notificación a VDAI; notificación a los interesados si es necesario	€1.000
Implementación del canal para denunciantes Diseño del canal, política de denunciantes, designación del responsable, procedimiento de investigación, comunicación al personal	€900
Auditoría de cumplimiento AML/KYC Revisión del programa existente frente a las normas PPTFPĮ/FNTT; informe escrito de carencias y plan de subsanación	€1.300
Auditoría de cumplimiento RGPD Revisión del marco de protección de datos existente frente al RGPD; informe escrito de carencias	€900
Preparación para inspección del FNTT/VDAI Simulacro de inspección; organización de la documentación; briefing a la dirección	€900
Diagnóstico integral de cumplimiento (todas las áreas) AML, RGPD y cumplimiento sectorial aplicable; evaluación escrita holística y plan de subsanación priorizado	€1.600
Retainer de asesoría de cumplimiento — estándar Actualizaciones regulatorias continuas; resolución de consultas; revisión anual de las políticas y procedimientos principales	Desde €900/mes
Retainer de asesoría de cumplimiento — servicios financieros Informes al Banco de Lituania; seguimiento de cambios regulatorios; asesoría continua MiCA/AML para entidades con licencia	Desde €900/mes

Preguntas Frecuentes

La lista de entidades obligadas conforme a la PPTFPĮ abarca una gama más amplia de empresas de la que la mayoría espera. Los abogados y notarios (cuando asisten en transacciones inmobiliarias, constitución de empresas o gestión de fondos de clientes) son entidades obligadas. Los contables y los que llevan libros de contabilidad son entidades obligadas. Los agentes inmobiliarios son entidades obligadas. Los proveedores de servicios de activos virtuales (empresas de criptoactivos) son entidades obligadas. Las instituciones financieras de todo tipo son entidades obligadas. Incluso los comerciantes de artículos de alto valor (incluidos los marchantes de arte y los minoristas de artículos de lujo) son entidades obligadas cuando aceptan pagos en efectivo de €10.000 o más. Si no tiene la certeza de si su empresa es una entidad obligada, realizamos una evaluación inicial como parte de nuestro encargo de evaluación de riesgos AML. Operar como entidad obligada sin un programa AML es una infracción administrativa con multas de hasta €1.000.000 (entidades supervisadas por el FNTT) o €5.000.000 (entidades supervisadas por el Banco de Lituania) por infracción.

Tanto el FNTT (Servicio de Investigación de Delitos Financieros) como el Banco de Lituania supervisan el cumplimiento AML en Lituania, pero para diferentes categorías de entidades obligadas. El Banco de Lituania supervisa a las entidades del sector financiero: bancos, instituciones de pago (EMIs), entidades de dinero electrónico, empresas de inversión y proveedores de servicios de activos virtuales registrados en el Banco de Lituania. El FNTT supervisa a las entidades obligadas del sector no financiero: contables, abogados, notarios, agentes inmobiliarios, proveedores de servicios a empresas y trusts y otras empresas incluidas en la lista de entidades obligadas de la PPTFPĮ. Para una empresa lituana determinada, solo una autoridad es el supervisor AML principal. El FNTT y el Banco de Lituania coordinan en los casos que abarcan ambas categorías. El Banco de Lituania tiene niveles máximos de multa más elevados (€5.000.000 o el 10% del volumen de negocio) que el FNTT (€1.000.000).

Sí. El RGPD se aplica a cualquier organización que trate datos personales, incluidas las organizaciones sin sitio web. Una empresa lituana sin sitio web sigue tratando datos personales: los datos de nómina de los empleados, la información salarial, los números de identificación fiscal, los datos bancarios y la información de contacto son todos datos personales. Los nombres de los clientes, las direcciones de correo electrónico, los números de teléfono y la información de facturación son datos personales. Los contactos de los proveedores son datos personales. El RGPD se aplica a todo esto, independientemente de si la empresa tiene un sitio web o presencia en línea. La ausencia de sitio web no elimina las obligaciones del RGPD: solo significa que determinadas obligaciones específicas del sitio web (cookies, política de privacidad en el sitio) no son aplicables.

Conforme al Artículo 33 RGPD, una brecha de datos personales que sea susceptible de entrañar un riesgo para los derechos y libertades de las personas físicas debe notificarse a la VDAI en el plazo de 72 horas desde que el responsable del tratamiento tenga conocimiento de la brecha. El plazo de 72 horas comienza cuando un miembro del personal con autoridad para evaluar y comunicar la brecha tiene conocimiento de ella, no necesariamente cuando se produjo la brecha. Si la brecha es improbable que suponga un riesgo (por ejemplo, un miembro del personal envía accidentalmente un único documento no sensible a un colega interno incorrecto y el documento es eliminado de inmediato), no se requiere notificación a la VDAI, pero la brecha debe documentarse internamente. Cuando la brecha sea susceptible de suponer un alto riesgo (por ejemplo, se accede de forma no autorizada a una gran base de datos con información financiera de clientes), también se requiere la notificación individual a los interesados afectados conforme al Artículo 34 RGPD. Asesoramos sobre la evaluación de la gravedad de las brechas y gestionamos el proceso de notificación a la VDAI.

Una Persona Políticamente Expuesta (PPE) conforme a la PPTFPĮ es una persona física que ocupa o ha ocupado una función pública prominente: incluidos los jefes de Estado y de Gobierno, los ministros, los miembros del parlamento, los magistrados de alto rango, los gobernadores de bancos centrales, los altos funcionarios diplomáticos, los altos mandos militares, los miembros de los órganos de gobierno de las empresas estatales, y sus familiares directos y allegados conocidos. Las entidades obligadas deben filtrar a los nuevos clientes en bases de datos de PPEs y aplicar Diligencia Debida Reforzada a cualquier cliente que sea una PPE. La DDR para PPEs exige: obtener la aprobación de la alta dirección para establecer la relación; determinar el origen del patrimonio de la PPE y el origen de los fondos utilizados en la transacción; y aplicar un seguimiento continuo reforzado. El estatuto de PPE se aplica normalmente durante 12 meses tras el cese de la persona en su función pública. Un cliente que fue una PPE en un cargo anterior puede no serlo actualmente, pero debe tratarse con un nivel de conciencia elevado.

La Ley de Protección de los Denunciantes (Pranešėjų apsaugos įstatymas), que transpone la Directiva UE 2019/1937/UE, exige a las empresas con 50 o más empleados que establezcan un canal de denuncia interno. El canal debe permitir a los empleados comunicar infracciones del derecho lituano (no necesariamente de las propias políticas de la empresa: la ley cubre las infracciones comunicables de legislación específica, incluida la laboral, la medioambiental, la de protección al consumidor, la fiscal, la de contratación pública y la de servicios financieros). La empresa debe acusar recibo de la denuncia en 7 días y proporcionar información sobre el resultado en 3 meses. El denunciante debe estar protegido frente a represalias. El incumplimiento en el establecimiento del canal requerido es una infracción administrativa. Las empresas con menos de 50 empleados no están legalmente obligadas a disponer de un canal interno: esos empleados pueden comunicar directamente a la autoridad pública competente, pero muchas empresas más pequeñas implementan canales voluntariamente como buena práctica de gobierno corporativo.

MiCA (el Reglamento UE sobre Mercados de Criptoactivos, Reglamento 2023/1114) entró en aplicación en diciembre de 2024 para los Proveedores de Servicios de Criptoactivos (CASPs). MiCA crea un régimen de autorización armonizado a nivel de la UE para las empresas de criptoactivos que sustituye a los marcos nacionales de registro de VASPs que existían en Lituania y otros Estados miembros de la UE. Las empresas de criptoactivos lituanas registradas como VASPs bajo el anterior marco nacional (con el Banco de Lituania) disponían de un período transitorio para solicitar una licencia de CASP bajo MiCA. Bajo MiCA, los CASPs con licencia pueden extender su autorización a los 27 Estados miembros de la UE sin necesidad de registros nacionales separados. MiCA impone requisitos detallados de organización, gobierno, adecuación del capital, AML y operacionales a los CASPs. Asesoramos sobre el cumplimiento de MiCA y gestionamos las solicitudes de licencia de CASP para empresas lituanas de criptoactivos.

¿Listo para construir su programa de cumplimiento?

Contáctenos para hablar sobre las obligaciones de cumplimiento de su empresa: ya sea un programa AML para una entidad obligada, la implementación del RGPD, un canal para denunciantes o una auditoría de un marco de cumplimiento existente. Identificaremos los requisitos aplicables, evaluaremos su madurez actual en materia de cumplimiento y proporcionaremos una propuesta de encargo con alcance definido.