1.

La presente petición de decisión prejudicial planteada por el administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso-Administrativo, Letonia) versa sobre la interpretación y la validez de algunas disposiciones fundamentales de la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo. ( 2 )

2.

Esta petición brinda al Tribunal de Justicia la ocasión de aclarar el alcance de diversos aspectos esenciales del sistema de prevención del blanqueo de capitales y de la financiación del terrorismo, que se fundamenta en el planteamiento basado en el riesgo y que se contempla en dicha Directiva y, en particular, los límites del margen de apreciación que se reconoce en esta materia a los Estados miembros, así como el alcance de las obligaciones de las entidades obligadas en cuanto a la valoración del riesgo de sus clientes y a la aplicación, con respecto a estos, del nivel adecuado de las medidas de diligencia debida.

3.

El artículo 13, apartado 1, de la Directiva 2015/849 dispone, en las letras c) y d) que «Las medidas de diligencia debida con respecto al cliente comprenderán las actuaciones siguientes:

4.

El artículo 14, apartado 5, de la Directiva 2015/849, en la versión modificada por la Directiva 2018/843 dispone que «los Estados miembros exigirán a las entidades obligadas que no solo apliquen a todos los clientes nuevos las medidas de diligencia debida con respecto al cliente, sino también, cuando proceda, a los clientes existentes, sobre la base de análisis de riesgo, o cuando cambien las circunstancias pertinentes de un cliente o la entidad obligada tenga la obligación legal, en el transcurso del año natural correspondiente, de ponerse en contacto con el cliente a fin de revisar toda la información pertinente relativa al titular o titulares reales, o si la entidad obligada tuviera dicha obligación con arreglo a la Directiva 2011/16/UE del Consejo».

5.

El artículo 18, apartados 1 y 3, de la Directiva 2015/849, en la versión modificada por la Directiva 2018/843, dispone:

«1.   En los casos a que hacen referencia los artículos 18 bis a 24 y en otros casos de mayor riesgo que determinen los Estados miembros y las entidades obligadas, los Estados miembros exigirán a las entidades obligadas que apliquen medidas reforzadas de diligencia debida con respecto al cliente para gestionar y atenuar debidamente esos riesgos […]

3.   Al evaluar los riesgos de blanqueo de capitales y financiación del terrorismo, los Estados miembros y las entidades obligadas deberán tener en cuenta como mínimo los factores de identificación de situaciones potencialmente de mayor riesgo que figuran en el anexo III.»

6.

El tenor del artículo 60, apartados 1, párrafo primero y 2, de la Directiva 2015/849 establece:

«1.   Los Estados miembros velarán por que toda decisión firme que imponga una sanción o medida administrativa por incumplimiento de las disposiciones nacionales de transposición de la presente Directiva sea publicada por las autoridades competentes en sus sedes electrónicas oficiales inmediatamente después de que se haya informado a la persona sancionada de dicha decisión. La publicación incluirá, como mínimo, información sobre el tipo y la naturaleza de la infracción y la identidad de la persona responsable. […]

2.   Cuando los Estados miembros permitan la publicación de las sanciones recurridas, las autoridades competentes publicarán también inmediatamente en su sitio web oficial información sobre el estado en que se encuentra el recurso y el resultado del mismo […]».

7.

El anexo III de la Directiva 2015/849 dispone en su punto 3, letra b), que la: «lista no exhaustiva de los factores y tipos de datos para la identificación de situaciones potencialmente de mayor riesgo, contemplados en el artículo 18, apartado 3», entre los «factores de riesgo en función del área geográfica» incluye los «países que, según fuentes dignas de crédito, tengan niveles significativos de corrupción u otras actividades delictivas».

8.

La Directiva 2015/849 fue incorporada al Derecho letón por la Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums («Ley sobre la Prevención del Blanqueo de Capitales Procedentes de Actividades Delictivas y de Financiación del Terrorismo y de la Proliferación»), de 17 de julio de 2008, ( 3 ) (en lo sucesivo, «Ley Antiblanqueo Letona»).

9.

La demandante en el procedimiento principal, SIA «Rodl & Partner» (en lo sucesivo, «Rodl & Partner»), es una sociedad establecida en Letonia cuya actividad consiste, entre otras cosas, en la prestación de servicios de contabilidad, supervisión contable y consultoría fiscal. Esta sociedad tiene la condición de entidad obligada con arreglo a la Directiva 2015/849.

10.

En el período comprendido entre el 3 de abril de 2019 y el 6 de junio de 2019, funcionarios de la Oficina para la Prevención del Blanqueo de Capitales Obtenidos Ilícitamente (Noziedzīgi iegūtu līdzekļu legalizācijas novēršanas pārvalde), de la Administración Tributaria Letona (Valsts ieņēmumu dienests; en lo sucesivo «VID») llevaron a cabo inspecciones en Rodl & Partner. En el marco de dichas inspecciones, la VID constató, entre otras cosas, que Rodl & Partner, en tanto que entidad obligada, no había efectuado ni documentado una evaluación de los riesgos de blanqueo de capitales y de financiación del terrorismo con arreglo a Ley Antiblanqueo Letona, con respecto a dos clientes suyos: la fundación It izglītības fonds (en lo sucesivo, «fundación») y la sociedad SIA RBA Consulting (en lo sucesivo, «RBA Consulting»).

11.

El primero de dichos clientes, es decir la fundación, tiene domicilio en Letonia y su finalidad consiste en promover el sector de las tecnologías de la información entre los estudiantes. Dicha fundación es cliente de Rodl & Partner desde el 25 de octubre de 2016. El documento de identidad correspondiente fue firmado el 7 de marzo de 2017 por VR, nacional de la Federación de Rusia, con permiso de residencia en Letonia, que dirige la fundación en calidad de trabajador por cuenta ajena. En dicho documento figura como titular efectivo de la fundación la sociedad letona en su conjunto.

12.

Rodl & Partner consideró que para el citado cliente el perfil de riesgo de blanqueo y financiación del terrorismo debía evaluarse como bajo. Por el contrario, la VID manifestó que, según un informe de 22 de junio de 2018, publicado en el sitio de Internet de la citada Oficina, así como conforme a la práctica internacional, la posible utilización de organizaciones no gubernamentales (en lo sucesivo, «ONG») figura entre las principales amenazas de financiación del terrorismo. Por lo tanto, según la VID, Rodl & Partner estaba obligada a examinar rigurosamente a ese cliente, teniendo en cuenta que tenía vínculos con un tercer país de alto riesgo de corrupción, como es la Federación de Rusia.

13.

El segundo cliente, RBA Consulting, es una sociedad domiciliada en Letonia, cuya actividad consiste en la prestación de servicios de relaciones públicas y comunicación. El único socio y titular real de dicha sociedad es un nacional letón. Desde el 28 de diciembre de 2017, dicha sociedad es cliente de Rodl & Partner. También para este cliente, Rodl & Partner consideró que el perfil de riesgo debía evaluarse como bajo.

14.

Por el contrario, tras analizar los extractos de la cuenta corriente de dicha sociedad, la VID constató que esta última recibía mensualmente transferencias de 25000 euros de Nord Stream 2 AG, una empresa controlada por la sociedad rusa Gazprom. Además, las facturas correspondientes se habían emitido con arreglo a un contrato del 1 de enero de 2018, celebrado entre RBA Consulting y Nord Stream 2 AG. Tras la solicitud por parte de la VID de que se presentase una copia de dicho contrato, Rodl & Partner no lo presentó, alegando que aquella ya había examinado el contrato original en los locales del cliente. En tal contexto, la VID concluyó que, al realizar el control de su relación de negocios con dicho cliente, Rodl & Partner no había prestado una atención particular a las operaciones realizadas por RBA Consulting con Nord Stream 2 AG, que es una empresa perteneciente a una entidad establecida en un tercer país de alto riesgo de corrupción.

15.

Mediante decisión de 11 de julio de 2019, la VID impuso a Rodl & Partner una sanción de 3000 euros por el incumplimiento de los requisitos previstos en la Ley Antiblanqueo Letona. Con arreglo a dicha decisión, el 11 de agosto de 2019, la VID publicó en su sitio de Internet información relativa a las infracciones cometidas por Rodl & Partner. La medida sancionadora fue confirmada por decisión del director general de la VID, de 13 de noviembre de 2019. Rodl & Partner recurrió ante el órgano jurisdiccional remitente, solicitando la anulación de esta última decisión, así como la eliminación de la información publicada en internet relativa a las sanciones que se le impusieron.

16.

El órgano jurisdiccional remitente indica, en primer lugar, que ni la Directiva 2015/849 ni la Ley Antiblanqueo Letona contemplan que una ONG constituya, solo por su forma jurídica, un caso de mayor riesgo que exija que, por este mero hecho, deba ser sometida a medidas reforzadas de diligencia debida con respecto a la clientela. El órgano jurisdiccional observa que Rodl & Partner adujo que en el supuesto de que la VID considerase que una entidad obligada tuviera que aplicar medidas de diligencia debida cada vez que la forma jurídica de su cliente fuera una ONG o uno de sus empleados fuera nacional de un tercer país de alto riesgo de corrupción, cabría preguntarse si tal requisito es desproporcionado y si debe estar previsto en la ley.

17.

Asimismo, el órgano jurisdiccional remitente observa que la Federación de Rusia no está incluida en la lista de países de alto riesgo publicada por el Grupo de Acción Financiera Internacional (GAFI) ni en la lista de la Comisión de terceros países de alto riesgo. Según el citado órgano jurisdiccional, es posible sostener que tal país es un país de alto riesgo de corrupción con arreglo al anexo III, punto 3, letra b), de la Directiva 2015/849. ( 4 ) No obstante, el órgano jurisdiccional también indica que ni las disposiciones de la Directiva 2015/849 ni las de la Ley Antiblanqueo Letona imponen directamente que el cliente deba someterse a medidas reforzadas de diligencia debida cuando un nacional de la Federación de Rusia sea simplemente empleado del cliente. En tales circunstancias, el órgano jurisdiccional considera que existen dudas sobre la interpretación del artículo 18, apartados 1 y 3, en relación con el anexo III, punto 3, letra b), de la Directiva 2015/849.

18.

En segundo lugar, si tales disposiciones se interpretasen en el sentido de que existe una obligación automática de adoptar medidas reforzadas de diligencia debida con respecto al cliente cuando sea posible constatar un riesgo relacionado con la forma jurídica del cliente (ONG) y un riesgo por el hecho de que la persona autorizada por el cliente y empleado de este es nacional de un tercer país de alto riesgo de corrupción, habría que valorar si tal interpretación es conforme con el principio de proporcionalidad que se contempla en el artículo 5 TUE.

19.

En tercer lugar, el órgano jurisdiccional remitente alberga dudas en cuanto a la cuestión de si, en este caso concreto, la VID se ha excedido de lo previsto en la normativa relevante, considerando que la circunstancia de que RBA Consulting sea el socio comercial de una filial de una sociedad rusa constituye, por sí mismo, un factor que aumenta el riesgo vinculado al cliente. Observa que, de hecho, semejante presunción no está contemplada en la Ley Antiblanqueo Letona ni en la Directiva 2015/849.

20.

En cuarto lugar, el órgano jurisdiccional remitente alberga dudas en cuanto a la cuestión de si la VID se excedió en las facultades que le confiere la normativa pertinente al solicitar la presentación de una copia del contrato celebrado entre RBA Consulting y Nord Stream 2 AG. Por consiguiente, el órgano jurisdiccional se pregunta si el artículo 13, apartado 1, letras c) y d), de la Directiva 2015/849, debe ser interpretado en el sentido de que obliga a presentar la copia del contrato celebrado entre el cliente y un tercero.

21.

En quinto lugar, a la luz de las circunstancias del presente asunto, el órgano jurisdiccional remitente considera que procede dilucidar si el artículo 14, apartado 5, de la Directiva 2015/849 debe interpretarse en el sentido de que prevé (y, en caso afirmativo, si está justificado y es proporcionado) que la entidad obligada deba aplicar medidas de debida diligencia del cliente en relación con los clientes existentes, incluso en una situación en la que no haya habido una modificación significativa de la situación del cliente y si tal obligación se aplica solo en relación con los clientes para los cuales se haya determinado un nivel de riesgo alto.

22.

Por último y en sexto lugar, el órgano jurisdiccional remitente indica que determinada información relativa a las infracciones cometidas por Rodl & Partner, publicada por la VID en su sitio de Internet, contenía inexactitudes. El órgano jurisdiccional remitente alberga dudas, por lo tanto, en cuanto a la interpretación del artículo 60, apartados 1 y 2, de la Directiva 2015/849.

23.

En este contexto, el órgano jurisdiccional remitente decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

24.

Las seis cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente en el presente asunto versan sobre la interpretación y la validez de diversas disposiciones fundamentales de la Directiva 2015/849. Antes de responder, considero oportuno formular algunas observaciones preliminares sobre la versión de la Directiva 2015/849 aplicable rationae temporis, así como sobre el sistema de prevención del uso del sistema financiero para el blanqueo de capitales o la financiación del terrorismo que se contempla en dicha Directiva.

25.

Según consta en los autos, Rodl & Partner efectuó los análisis de riesgos el 1 de septiembre de 2017 para la fundación y el 8 de febrero de 2018 para RBA Consulting, respectivamente. Los controles efectuados por la VID tuvieron lugar entre el 3 de abril de 2019 y el 6 de junio de 2019 y la decisión de la VID recurrida fue adoptada el 13 de noviembre de 2019. La Directiva 2018/843, que fue modificada por la Directiva 2015/849, entró en vigor el 9 de julio de 2018. Dicha Directiva establecía, en su artículo 4, apartado 1, un plazo para la transposición por los Estados miembros que finalizaba el 10 de enero de 2020.

26.

De todo lo anterior se deduce que las evaluaciones del riesgo en las que se basa Rodl & Partner para determinar el nivel de riesgo y, por consiguiente, las medidas de diligencia debida para sus dos clientes tuvieron lugar antes de la entrada en vigor de la Directiva de modificación de 2018. En cambio, los controles efectuados por la VID tuvieron lugar con posterioridad a la entrada en vigor de dicha Directiva, pero con anterioridad a la expiración del plazo de transposición previsto para la misma.

27.

En tal contexto, coincido con lo expuesto por la Comisión en la vista, en cuanto a que, como se verá con más detalle en el punto 63 posterior, en el sistema de prevención del blanqueo de capitales y la financiación del terrorismo previsto por la Directiva 2015/849, la evaluación de riesgos y la consiguiente aplicación de medidas de diligencia debida con respecto al cliente correspondientes al nivel de riesgo identificado es un proceso continuo. De ahí que, en mi opinión, al contrario de lo que parece plantear el órgano jurisdiccional remitente en su respuesta a las cuestiones planteadas por el Tribunal de Justicia, no se puede considerar que la normativa en función de la cual debe examinarse la legitimidad de la evaluación del riesgo efectuada por una entidad obligada necesariamente tiene que ser la aplicable en el momento de llevar a cabo la evaluación inicial. Efectivamente, en el sistema de la Directiva 2015/849, la evaluación del riesgo tiene un carácter necesariamente dinámico, teniendo la obligación, las entidades obligadas, de mantener actualizadas sus evaluaciones del riesgo. ( 5 ) Por consiguiente, la evaluación del riesgo efectuada por la entidad obligada con respecto a un cliente, que justifica la adopción de un determinado nivel de medidas de diligencia debida con respecto a tal cliente, ha de ser conforme con la normativa aplicable en el momento del control por parte de las autoridades. La entidad obligada no podrá justificar una discrepancia entre su análisis del riesgo y las consiguientes medidas de diligencia debida que aplique, alegando que su análisis inicial estaba regulado por una normativa diferente.

28.

Por lo tanto, en mi opinión, conforme a tales consideraciones, la versión de la Directiva aplicable a los hechos del presente caso es la que estaba en vigor en el momento de los controles efectuados por la VID, es decir, la versión modificada por la Directiva 2018/843.

29.

Dicho esto, cabe precisar, asimismo, que son los Estados miembros los destinatarios de las Directiva. ( 6 ) En principio, las obligaciones de las entidades obligadas derivan de la ley de transposición de la Directiva. Cuando la VID llevó a cabo los controles que dieron lugar a la disposición recurrida, todavía no había transcurrido el plazo para la transposición de la Directiva 2018/843. De los autos no se desprende si en el momento de tales controles ya se había adoptado la Ley Antiblanqueo Letona de transposición de las modificaciones introducidas por dicha Directiva. En cualquier caso, las obligaciones de Rodl & Partner eran las que se contemplaban en la versión de la ley letona aplicable en el momento en el que se efectúan los controles, versión que efectivamente cita el órgano jurisdiccional remitente en la resolución de remisión. ( 7 )

30.

En todo caso, considero que las modificaciones aportadas por la Directiva 2018/843 a las disposiciones de la Directiva 2015/849, citadas en las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente, no tienen una repercusión sustancial sobre las respuestas que se den a dichas cuestiones. ( 8 ) Asimismo, considero que tales cuestiones no plantean problemas de incompatibilidad de la normativa nacional con las disposiciones de la Directiva 2015/849.

31.

El Tribunal de Justicia ya tuvo ocasión de indicar que, como se infiere de su artículo 1, en relación con el considerando 1, la Directiva 2015/849 tiene como objetivo principal impedir que el sistema financiero de la Unión Europea se utilice para el blanqueo de capitales y la financiación del terrorismo, al objeto de evitar que flujos de dinero ilícito puedan minar la integridad, estabilidad y reputación del sector financiero de la Unión y constituir una amenaza para su mercado interno, así como para el desarrollo internacional. ( 9 ) Tal Directiva fue adoptada en un contexto internacional para aplicar y hacer vinculantes en la Unión Europea las recomendaciones del GAFI. ( 10 )

32.

Las disposiciones de la Directiva 2015/849 poseen un carácter esencialmente preventivo, ya que pretenden establecer, según un planteamiento basado en el riesgo, un conjunto de medidas disuasorias para luchar eficazmente contra el blanqueo de capitales y la financiación del terrorismo, así como mantener la solidez e integridad del sistema financiero. ( 11 )

33.

Como se deriva de los considerandos 22 y 23 de la Directiva 2015/849, el mencionado planteamiento holístico basado en el riesgo ( 12 ) constituye una necesidad para que los Estados miembros y la Unión puedan identificar, comprender y atenuar los riesgos de blanqueo de capitales y financiación del terrorismo a que se enfrentan. El planteamiento basado en el riesgo presupone una evaluación de tales riesgos que, en el sistema de la Directiva 2015/849, ( 13 ) se efectúa a tres niveles: a nivel de la Unión, por la Comisión (artículo 6), ( 14 ) a nivel de cada uno de los Estados miembros (artículo 7) y a nivel de las entidades obligadas (artículo 8).

34.

En particular, conforme a lo previsto en el artículo 7 de la Directiva 2015/849, cada Estado miembro adoptará las medidas adecuadas para detectar, evaluar, comprender y atenuar los riesgos de blanqueo de capitales y financiación del terrorismo que le afecten, debiendo mantener actualizada dicha evaluación de riesgos.

35.

Según lo dispuesto en el artículo 8 de la citada Directiva, las entidades obligadas deberán, de manera proporcionada a su naturaleza y tamaño, adoptar medidas adecuadas para detectar y evaluar los riesgos de blanqueo de capitales y financiación del terrorismo, teniendo en cuenta factores de riesgo, incluidos, entre otros, los relativos a clientes, países o zonas geográficas.

36.

Dicha evaluación del riesgo constituye el presupuesto para la adopción de unas medidas de prevención adecuadas, es decir, las medidas de diligencia debida con respecto al cliente, destinadas a evitar o, por lo menos, a obstaculizar en la medida de lo posible el blanqueo de capitales y la financiación del terrorismo. ( 15 ) En efecto, en ausencia de una evaluación del riesgo, no es posible ni para el Estado miembro interesado ni, eventualmente, para un sujeto interesado, decidir las medidas a aplicar en cada caso. ( 16 )

37.

Por otra parte, el riesgo es variable por naturaleza y las variables pueden, ya sea individualmente o combinadas entre ellas, aumentar o reducir el riesgo potencial, incidiendo así sobre la determinación del nivel adecuado de las medidas preventivas. ( 17 ) Existe por consiguiente una correlación entre las evaluaciones del riesgo y las medidas de diligencia debida, en el sentido de que el nivel de diligencia debida depende de que el nivel de riesgo sea más o menos alto. ( 18 ) En este sentido, el Tribunal de Justicia ha dicho claramente que las medidas de diligencia debida han de tener un nexo concreto con el riesgo de blanqueo de capitales y de financiación del terrorismo, debiendo ser proporcionadas con el mismo. ( 19 )

38.

En tal contexto, la Directiva 2015/849 distingue tres tipos de medidas de diligencia debida que las entidades obligadas pueden tener que aplicar con respecto a sus clientes, según el nivel de riesgo identificado: las medidas normales, las medidas simplificadas y las medidas reforzadas. ( 20 )

39.

Por lo que se refiere a las medidas normales de diligencia debida con respecto al cliente, estas se regulan, en particular en los artículos 13 y 14 de la Directiva 2015/849. A tenor del artículo 13, apartado 1, de dicha Directiva, tales medidas consisten en la identificación del cliente [letra a)] y del titular real [letra b)], en la evaluación y, en su caso, la obtención de información sobre el propósito y la índole prevista de la relación de negocios [letra c)] y en el desarrollo de un seguimiento continuo de la relación de negocios [letra d)]. Según se contempla en el apartado 2 del mismo artículo, las entidades obligadas podrán, no obstante, determinar el alcance de tales medidas en función del riesgo.

40.

Por lo que se refiere a las medidas simplificadas, conforme a lo previsto en el artículo 15, apartados 1 y 2, de la Directiva 2015/849, cuando un Estado miembro o una entidad obligada identifique ámbitos de menor riesgo o cuando una entidad obligada haya determinado que la relación de negocios o la transacción presenta un nivel bajo de riesgo, se podrá permitir que las entidades obligadas apliquen medidas simplificadas de diligencia debida con respecto al cliente.

41.

Por último, en cuanto a las medidas reforzadas, conforme a lo previsto en el artículo 18, apartado 1, de la Directiva 2015/849, en los casos a los que se refieren los artículos 18 bis a 24 de la misma Directiva y en otras situaciones que presenten riesgos más altos identificados por los Estados miembros o las entidades obligadas, estas últimas deberán aplicar medidas reforzadas de diligencia debida con respecto al cliente a fin de gestionar y atenuar debidamente tales riesgos.

42.

De lo anterior se desprende que, aparte de los casos específicos que se contemplan en los artículos 18 bis a 24 de la Directiva 2015/849, en los que la aplicación de las medidas reforzadas de diligencia debida tiene carácter automático, de forma coherente con la necesaria correlación que se menciona en el punto 37 anterior, entre la evaluación del nivel de riesgo de blanqueo de capitales y financiación del terrorismo y la idoneidad de las medidas preventivas, la aplicación de medidas reforzadas presupone la identificación de riesgos más altos por parte del Estado o de la entidad obligada. Más concretamente, las medidas reforzadas de diligencia debida con respecto al cliente aplicables tienen que fundarse en la evaluación de la existencia y del nivel de riesgo alto de blanqueo de capitales y de financiación del terrorismo. ( 21 )

43.

En este sentido, de los apartados 1 y 3 del artículo 8 de la Directiva 2015/849 se desprende que, para determinar casos de mayor riesgo, aparte de los previstos por los artículos 18 bis a 24 de la misma Directiva, los Estados miembros y las entidades obligadas deberán tener en cuenta, por lo menos, los factores para la identificación de situaciones potencialmente de mayor riesgo previstos en el anexo III de tal Directiva. Dicho anexo contiene una lista no exhaustiva de factores y tipos de datos para la identificación de tales riesgos.

44.

La Directiva 2015/849 únicamente realiza una mínima armonización en materia de lucha contra el blanqueo de capitales. ( 22 ) Como ya se deduce de las consideraciones anteriores, la Directiva deja un amplio margen de maniobra a los Estados miembros, tanto por lo que se refiere a la determinación de los riesgos de blanqueo y financiación del terrorismo, como por lo que se refiere a las medidas adecuadas para prevenir, evitar o, por lo menos, obstaculizar tales actividades.

45.

La Directiva 2015/849, por un lado, reconoce explícitamente que los Estados miembros pueden verse afectados de forma diversa por distintos riesgos de blanqueo y financiación del terrorismo. ( 23 ) Como subrayaron la Comisión en la vista y la República de Letonia en sus observaciones, tales riesgos diferenciados pueden depender de la situación específica de cada Estado miembro y pueden variar en función de una multitud de parámetros, como su ubicación geográfica o su situación económica o social.

46.

Por otro lado, dicha Directiva deja a cada Estado miembro la facultad de determinar el nivel de tutela que considere oportuno en relación con el nivel de riesgo de blanqueo de capitales o financiación del terrorismo identificado. ( 24 )

47.

Tal margen de apreciación en cuanto al nivel de tutela que la Directiva 2015/849 reconoce a los Estados miembros se refiere tanto a la posibilidad de permitir medidas simplificadas de diligencia debida con respecto al cliente cuando se identifique un nivel de riesgo bajo como a la prescripción de la aplicación de medidas reforzadas de diligencia debida con respecto al cliente en caso de que se identifique un nivel de riesgo alto, al margen de los casos expresamente previstos en sus artículos 18 bis a 24.

48.

Por lo que se refiere específicamente a las medidas reforzadas, el Tribunal de Justicia ya reconoció explícitamente la existencia de un margen de apreciación significativo de los Estados miembros en relación con el modo apropiado de cumplir la obligación de establecer medidas reforzadas de diligencia debida y de determinar tanto las situaciones en las que existe tal riesgo alto como las oportunas medidas reforzadas de diligencia debida. ( 25 ) Por otra parte, la existencia del citado margen de apreciación se contempla explícitamente en el artículo 18, apartado 1, de la Directiva 2015/849. ( 26 )

49.

Asimismo, cabe destacar que el artículo 5 de la Directiva 2015/849 permite explícitamente a los Estados miembros adoptar o mantener en vigor disposiciones más rigurosas para impedir el blanqueo de capitales y la financiación del terrorismo, dentro de los límites del Derecho de la Unión. ( 27 ) El Tribunal de Justicia ha aclarado que las «disposiciones más rigurosas» que se contemplan en dicha disposición pueden referirse a situaciones para las que tal Directiva prevé un cierto tipo de diligencia debida del cliente, así como a otras situaciones que, según los Estados miembros, presenten un riesgo. ( 28 ) Además, dicho artículo se aplica a todas las disposiciones en el sector que regula la Directiva 2015/849 con el fin de impedir el blanqueo de capitales y la financiación del terrorismo. ( 29 )

50.

Del conjunto de consideraciones anteriores se desprende que la Directiva 2015/849 atribuye un amplio margen de maniobra a los Estados miembros, que pueden fijar un nivel de protección más elevado respecto del elegido por el legislador de la Unión y autorizar o imponer medidas de diligencia debida con respecto al cliente distintas de las previstas por la Directiva en virtud de la competencia conferida por el artículo 5, o bien identificar otras situaciones que presenten un mayor riesgo más en el marco del margen de apreciación que les concede el artículo 18. De tal modo, los Estados miembros, por ejemplo, pueden identificar las medidas concretas que hayan de aplicarse en determinadas situaciones, o bien conceder a las entidades obligadas un poder discrecional para aplicar, en función de un adecuado análisis del riesgo, las medidas que consideren proporcionadas al riesgo existente en una situación determinada. ( 30 )

51.

En este contexto, es preciso, no obstante, aclarar, como se desprende del debate que tuvo lugar en la vista, el alcance y los límites del amplio margen de apreciación que reconoce la Directiva 2015/849 a los Estados miembros, a la luz de los principios generales del Derecho de la Unión. El mismo texto de la Directiva, en concreto el artículo 5, recuerda que los Estados miembros tienen que actuar en todo caso «dentro de los límites del Derecho de la Unión».

52.

Más en particular, en relación con el principio general de seguridad jurídica, se plantea la cuestión de cuál es el fundamento jurídico apropiado para que los Estados miembros, en el marco establecido por la citada Directiva, identifiquen otros factores de riesgo que puedan justificar o incluso exigir la aplicación de medidas reforzadas de diligencia debida con respecto al cliente.

53.

En efecto, hay que comprobar si, a la luz del principio general de seguridad jurídica es necesario que todos los elementos constitutivos de los factores de riesgo que identifiquen un Estado miembro están explícitamente contemplados en un acto de rango legislativo, indicando explícitamente, por ejemplo, países o tipos de organizaciones que presentan un mayor nivel de riesgo que justifique la aplicación de medidas reforzadas.

54.

En este sentido, considero que, en aplicación de los principios de legalidad y seguridad jurídica, la determinación de los factores de riesgo en general, que potencialmente puede incidir en situaciones subjetivas o incluso sobre derechos fundamentales, en principio, ha de encontrar su fundamento en actos con rango de ley. No obstante, considero asimismo que la ley no debe ni puede regular exhaustivamente todos los factores de riesgo concretos.

55.

En efecto, teniendo en cuenta el carácter dinámico, tanto de las relaciones económicas como de las actividades criminales, en mi opinión resulta imposible determinar exhaustivamente ex ante todos los posibles factores que pueden incidir a la hora de evaluar el riesgo de blanqueo de capitales o de la financiación del terrorismo. Como se reconoce de manera explícita en el considerando 30 de la Directiva 2015/849, el riesgo en sí mismo es variable por naturaleza. Por tanto, es necesario garantizar al sistema un cierto grado de flexibilidad que permita una adaptación dinámica en la identificación de tales factores, respetando en todo momento los principios de seguridad jurídica y de tutela de los derechos fundamentales garantizados por el Derecho de la Unión.

56.

Por consiguiente, en mi opinión, el Derecho de la Unión no se opone a que la ley indique categorías de riesgo generales, que, respetando las exigencias de naturaleza constitucional propias de cada Estado miembro, se contemplen en otros actos posteriores no necesariamente con rango de ley. ( 31 ) Por otra parte, tales actos han de gozar de la adecuada publicidad, ya que es necesario que sean conocidos por el público y, en particular, por las entidades obligadas, que deben llevar a cabo las evaluaciones del riesgo aplicando tales criterios al caso concreto.

57.

La determinación de tales elementos de riesgo, así como las medidas apropiadas para atenuarlos, han de ser conformes con los demás principios generales del Derecho de la Unión. Entre esos principios cabe citar el principio de proporcionalidad, mencionado en el ámbito de la segunda cuestión prejudicial y el principio de no discriminación, consagrado, específicamente, en el artículo 21 de la Carta de los Derechos Fundamentales, que prohíbe toda forma de discriminación basada, entre otros motivos, en la pertenencia a una minoría nacional. Por consiguiente, el ejercicio por parte de los Estados miembros del margen de apreciación que les reconoce la Directiva 2015/849 no debe exceder los límites necesarios para alcanzar los objetivos de prevención y lucha contra el blanqueo de capitales y la financiación del terrorismo y no debe dar lugar a discriminaciones.

58.

Como ya se ha indicado en el punto 35 anterior, y como se deriva de lo previsto en los artículos 8 y 11 a 18 de la Directiva 2015/849, en el sistema de prevención del blanqueo y de la financiación del terrorismo creado por tal Directiva según un planteamiento basado en el riesgo, las entidades obligadas desempeñan una función crucial a la hora de evaluar los riesgos de dichas actividades. Como señaló la Comisión en la vista, tal función fundamental se explica por la cercanía de las entidades obligadas al desarrollo de las actividades económicas y, por lo tanto, de las actividades potencialmente ilícitas, situando a dichas entidades en la mejor posición para detectar transacciones eventualmente sospechosas.

59.

Desde esa óptica, la Directiva 2015/849 establece para dichas entidades la obligación de adoptar las medidas adecuadas para identificar y evaluar los riesgos de blanqueo de capitales y de financiación del terrorismo, teniendo en cuenta los factores de riesgo identificados, así como la obligación de aplicar las medidas adecuadas de diligencia debida.

60.

La evaluación del riesgo y la consiguiente aplicación de medidas de diligencia debida con respecto al cliente por parte de las entidades obligadas implican procesos de toma de decisiones basados en la evidencia de los hechos, con el fin de identificar de la manera más eficaz los riesgos de blanqueo de capitales y de financiación del terrorismo. ( 32 ) Tal evaluación se refiere a situaciones concretas, por lo que no debe efectuarse de forma abstracta. Según el planteamiento holístico antes citado, dicha evaluación ha de tener en cuenta todos aquellos factores que puedan tener alguna repercusión a la hora de identificar el riesgo.

61.

En este sentido, el artículo 8, apartado 2, de la Directiva 2015/849, establece explícitamente que las evaluaciones de riesgos efectuadas por las entidades obligadas deberán estar documentadas, mantenerse actualizadas y ponerse a disposición de las autoridades competentes y organismos autorreguladores que corresponda.

62.

La exigencia de documentación y de pruebas para presentar ante las autoridades en relación con las evaluaciones que efectúen las entidades obligadas y las consiguientes decisiones que estas adopten en cuanto a las medidas de diligencia debida aparece también en el artículo 13, apartado 4, de la Directiva 2015/849. Tal disposición establece que las entidades obligadas estarán en condiciones de demostrar a las autoridades competentes o a los organismos autorreguladores que las medidas de diligencia debida son adecuadas en vista de los riesgos detectados de blanqueo de capitales y de financiación del terrorismo. ( 33 )

63.

Además, la evaluación de riesgos es un proceso dinámico y, en la medida de lo posible, continuo. Eso es lo que se desprende, por un lado, de la obligación, contemplada en el citado artículo 8, apartado 2, de la Directiva 2015/849, de mantener actualizadas las evaluaciones de riesgos y, por otro lado, de la obligación, prevista en el artículo 13, apartado 1, letra d), de la misma Directiva, de ejercer un control continuo de la relación de negocios y de conocer el perfil de riesgo del cliente, manteniendo actualizados los documentos, los datos y la información en su poder.

64.

Por otra parte, cabe señalar que, coherentemente con el principio de proporcionalidad, las obligaciones de las entidades obligadas no pueden ser desproporcionadas. Tal exigencia se establece de forma explícita en la Directiva 2015/849, en la última frase del apartado 1 del artículo 8, según la cual las medidas impuestas a las entidades obligadas con arreglo a tal Directiva deberán guardar proporción con la naturaleza y el tamaño de dichas entidades. Esta exigencia se deriva asimismo del texto del considerando 2 de la Directiva, que establece la exigencia de un planteamiento equilibrado y la «necesidad de crear un entorno regulador que permita que las empresas desarrollen sus negocios sin incurrir en costes de cumplimiento desproporcionados».

65.

De todo lo anterior se deduce, en mi opinión, que, en el sistema de prevención creado por la Directiva 2015/849, la entidad obligada tiene que poder demostrar a las autoridades, por un lado, que ha efectuado un análisis del riesgo lo más completo posible, dentro de los límites razonables y proporcionalmente a su naturaleza y tamaño, en cuanto a los riesgos de blanqueo de capitales y financiación del terrorismo, teniendo en cuenta todos los factores y las fuentes pertinentes y, por otro lado, que ha aplicado un nivel de medidas de control adecuadas con respecto al cliente, que es apropiado en cada caso al nivel del riesgo identificado.

66.

Las cuestiones prejudiciales presentadas por el órgano jurisdiccional remitente deberán analizarse en función de todas las consideraciones arriba expuestas.

67.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el artículo 18, apartados 1 y 3, de la Directiva 2015/849, en relación con el anexo III, punto 3, letra b), de la misma, debe ser interpretado en el sentido de que dichas disposiciones imponen automáticamente a una entidad obligada la obligación de asignar a un cliente un nivel de mayor riesgo y, consiguientemente, de adoptar medidas reforzadas de diligencia debida con respecto a tal cliente, teniendo en cuenta el hecho de que el cliente es una ONG y que el sujeto autorizado y dependiente del cliente es nacional de un tercer país de alto riesgo de corrupción.

68.

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta si, en caso de respuesta afirmativa a la primera cuestión, dichas disposiciones así interpretadas son conformes con el principio de proporcionalidad contemplado en el artículo 5 TUE, apartado 4, párrafo primero.

69.

Como se ha indicado en el punto 41 anterior, el artículo 18, apartado 1, de la Directiva 2015/849, prevé que se apliquen medidas reforzadas de diligencia debida en dos situaciones: por un lado, en los casos previstos en los artículos 18 bis a 24 de la Directiva y, por otro lado, en otras situaciones que presentan mayores riesgos identificados por los Estados miembros o por las entidades obligadas. Dado que en la resolución de remisión no se indica que el caso en cuestión entre en alguno de los supuestos descritos en los artículos 18 bis a 24 de la Directiva 2015/849, hay que considerar que la primera cuestión prejudicial se refiere a la segunda de las citadas situaciones.

70.

A este respecto, del artículo 18, apartado 1, de la Directiva 2015/849, en relación con su apartado 3, se desprende que, para determinar casos de mayor riesgo, los Estados miembros y las entidades obligadas deben tener en cuenta, como mínimo, los factores indicativos de situaciones potencialmente de mayor riesgo que se contemplan, de forma no exhaustiva, en el anexo III de tal Directiva.

71.

Como se indica en los puntos 42 y 43 anteriores, aparte de los casos previstos en los artículos 18 bis a 24 de la Directiva 2015/849, en aplicación del planteamiento basado en el riesgo en el que se funda la totalidad del sistema de prevención creado por dicha Directiva, la eventual asignación a un cliente de un nivel de mayor riesgo y, consiguientemente, la adopción de medidas reforzadas de diligencia debida con respecto a ese cliente, ha de fundamentarse en una evaluación del riesgo del cliente que tenga en cuenta las circunstancias concretas. Asimismo, del punto 60 anterior se colige que tal evaluación debe tener en consideración todos los factores que puedan repercutir a la hora de identificar el nivel de riesgo del cliente.

72.

De ello se deriva que, al margen de los citados casos previstos en los artículos 18 bis a 24 de la Directiva 2015/849, la asignación a un cliente de un nivel de mayor riesgo y, consiguientemente, la adopción respecto al mismo de medidas reforzadas de diligencia debida no es automática. En cambio, la adopción de medidas reforzadas debe ser el resultado de una evaluación caso por caso del riesgo específico de un cliente determinado, efectuada por la entidad obligada conforme a los criterios identificados por el Estado miembro en cuestión o por la entidad obligada en relación con todos los factores de riesgo pertinentes.

73.

En la primera cuestión prejudicial el órgano jurisdiccional remitente se refiere a dos factores de riesgo concretos: por un lado, el hecho de que el cliente sea una ONG y, por otro lado, el hecho de que el sujeto autorizado y empleado del cliente sea nacional de un tercer país de alto riesgo de corrupción, en este caso la Federación de Rusia.

74.

Por lo que se refiere al primero de esos factores, el órgano jurisdiccional remitente manifiesta que ni la Directiva 2015/849 ni la Ley Antiblanqueo Letona contemplan que una ONG, en cuanto tal, simplemente por su forma jurídica, constituya un caso de alto riesgo.

75.

En este sentido, como se establece en los puntos 44 y siguientes de las presentes conclusiones, en el sistema previsto por la Directiva 2015/849, los Estados miembros disponen de un amplio margen de apreciación para determinar los riesgos de blanqueo de capitales y financiación del terrorismo del caso concreto. Por lo tanto, los Estados miembros pueden identificar otras situaciones que presenten un mayor riesgo. ( 34 )

76.

En este sentido, procede señalar que, en el artículo 6, apartado 12, número 1), de la Ley Antiblanqueo Letona, se establece que la entidad obligada, cuando proceda a evaluar los riesgos de blanqueo de capitales y financiación del terrorismo, debe tener en cuenta, entre las circunstancias que inciden sobre el riesgo, el riesgo inherente a la forma jurídica del cliente. Sin perjuicio del control que realice el órgano jurisdiccional de remisión, único competente para aplicar el Derecho nacional, parecería por lo tanto que la Ley Antiblanqueo Letona prevé explícitamente que la forma jurídica del cliente constituye un factor de riesgo que debe tomarse en consideración a la hora de analizar el riesgo por parte de la entidad obligada.

77.

Además, el Gobierno letón indicó en sus observaciones que un informe de 2019 de la Oficina para la Prevención del Blanqueo de Capitales Obtenidos Ilícitamente de la VID ( 35 ) puso de manifiesto que las ONG son particularmente vulnerables al blanqueo de capitales y a la financiación del terrorismo, en particular las ONG que no están inscritas como entidades de interés público. Asimismo, el Gobierno letón citó otras fuentes de información relativas específicamente a Letonia, ( 36 ) de las cuales, según indicó, se deduce que la forma jurídica de la fundación o de la ONG constituye un elemento a tener en cuenta como un potencial factor de alto riesgo, en el marco de la evaluación de riesgos.

78.

En este sentido, he indicado en el punto 56 anterior que, en mi opinión, el Derecho de la Unión no se opone a que categorías de riesgo generales (como, por ejemplo, en el presente caso, la forma jurídica del cliente), sean contempladas en la ley y que posteriormente sean especificadas (en el presente caso, concretamente la forma jurídica de ONG o de fundación) en actos posteriores que no tienen que revestir necesariamente rango de ley. No obstante, corresponde al órgano jurisdiccional remitente determinar de manera específica si en el sistema jurídico letón se debe efectivamente considerar que la circunstancia de que un cliente tenga la forma jurídica de una fundación o de una ONG constituye un potencial factor de mayor riesgo que una entidad obligada, conforme el Derecho nacional, ha de tener en cuenta en el análisis del riesgo que esta debe llevar a cabo con respecto a su cliente.

79.

Si ese es el caso, procederá entonces concluir que, aunque el hecho de que un cliente tenga la forma jurídica de una ONG no supone automáticamente la asignación a tal cliente de un perfil de alto riesgo —con la consiguiente aplicación de medidas reforzadas de diligencia debida—, no haber tenido en cuenta tal elemento constituye una omisión en la evaluación del riesgo de blanqueo de capitales y de la financiación del terrorismo con respecto al cliente. Además, como se indica en los puntos 61 y 62 anteriores, la entidad obligada tiene que poder demostrar a las autoridades competentes la idoneidad de su análisis del riesgo y, por lo tanto, que ha tenido en cuenta todos los factores pertinentes a la hora de elaborar dicho análisis.

80.

Por lo que se refiere al segundo de los factores mencionados en el punto 73 anterior, es decir, el hecho de que el sujeto autorizado y empleado del cliente sea nacional de un país de alto riesgo de corrupción, cabe destacar que, como observó el órgano jurisdiccional remitente, la Federación de Rusia no figura, ni figuraba en el momento de los hechos, en la lista de países de alto riesgo que publica el GAFI, ( 37 ) ni tampoco en la lista elaborada por la Comisión de terceros países de alto riesgo. ( 38 )

81.

Sin embargo, en el punto 3), letra b), del anexo III de la Directiva 2015/849, citado en el artículo 18, apartado 3, de la misma, se establece que entre los factores geográficos indicativos de situaciones potencialmente de alto riesgo se incluye el factor «países que, según fuentes dignas de crédito, tengan niveles significativos de corrupción u otras actividades delictivas».

82.

Además, hay que indicar que el artículo 111, apartado 3, de la Ley Antiblanqueo Letona establece que, en el ámbito de la ejecución de las obligaciones de diligencia debida con respecto al cliente, las entidades obligadas deben tener en cuenta como mínimo algunos factores de aumento del riesgo, entre los que figura, en el apartado 2), letra b), la circunstancia de que el cliente o su titular real esté vinculado con un país o territorio que presenta un alto riesgo de corrupción.

83.

En este sentido el órgano jurisdiccional remitente pone de manifiesto que la Federación de Rusia puede considerarse un país o territorio que presenta un alto riesgo de corrupción. ( 39 ) Por otra parte, en la vista, el Gobierno letón se refirió a las líneas directrices y a otros elementos de información publicados en el sitio de Internet de la VID que precisamente ponen de manifiesto que, en Letonia, en la práctica, la existencia de un vínculo con la Federación de Rusia se considera un factor que puede aumentar el riesgo de blanqueo de capitales. Por lo demás, parece razonable considerar que, con arreglo a lo indicado en el punto 44 anterior, los factores relativos a la ubicación geográfica y a la situación económica y social de la República de Letonia puedan justificar, en aplicación del citado margen de apreciación, que la Directiva 2015/849 reconoce a los Estados miembros un planteamiento específico de dicho Estado miembro con respecto a la Federación de Rusia. Sin perjuicio del análisis del órgano jurisdiccional remitente, único competente a la hora de aplicar el Derecho nacional, parecería que la existencia de un «vínculo» del cliente o del titular real con la Federación de Rusia sea considerada en el Derecho letón un potencial factor de mayor riesgo que una entidad obligada, con arreglo al Derecho nacional, ha de tener en consideración en el análisis del riesgo que debe efectuar con respecto a su cliente.

84.

Si ese es el caso, habría que llegar a la conclusión, al igual que con el factor relativo a la forma jurídica de una ONG, de que el hecho de que un cliente tenga un vínculo con la Federación de Rusia, aunque no suponga automáticamente la asignación a tal cliente de un perfil de alto riesgo, con la consiguiente aplicación automática de medidas reforzadas de diligencia debida, constituye un factor de riesgo que ha de tenerse en cuenta necesariamente al evaluar el riesgo del cliente por parte de la entidad obligada. Por consiguiente, no tener en cuenta tal elemento constituiría también una omisión en la evaluación del riesgo de blanqueo de capitales y de la financiación del terrorismo efectuada con respecto al cliente.

85.

Sin perjuicio de las evaluaciones que el órgano jurisdiccional remitente deba llevar a cabo con arreglo al Derecho letón, es necesario efectuar todavía algunas consideraciones acerca de la noción de «vínculo». En efecto, para que sea conforme al principio de proporcionalidad, dicho vínculo debe tener una cierta relevancia y de alguna manera tiene que referirse al riesgo de blanqueo de capitales y de financiación del terrorismo.

86.

En tales condiciones, el hecho de que un simple empleado del cliente tenga la nacionalidad de un país con riesgo de blanqueo de capitales no me parece que constituya un vínculo suficiente como para considerar que pueda existir un factor de riesgo incrementado. Dicho enfoque potencialmente también podría dar lugar a discriminaciones contrarias al principio de no discriminación mencionado en el punto 57 anterior. En cambio, la situación podría ser diferente si el vínculo tuviera que ver, por ejemplo, con el titular real del cliente o con un empleado que tenga una función que le permita desarrollar actividades que potencialmente pueden estar relacionadas con actividades de blanqueo de capitales.

87.

La resolución de remisión no ofrece elementos suficientes, en particular por lo que se refiere a la función desempeñada en la fundación por VR (nacional de la Federación de Rusia), para poder adoptar una posición al respecto. Sin embargo, no puedo dejar de observar que de tal resolución se deduce que se identificó a la sociedad letona en su conjunto como titular real de la fundación, conclusión que parece manifiestamente contraria a la noción de titular real que utiliza la Directiva 2015/849. ( 40 ) En cualquier caso, compete al órgano jurisdiccional remitente comprobar tales aspectos.

88.

Por último, con el fin de ofrecer una respuesta lo más exhaustiva posible al órgano jurisdiccional remitente, considero necesario indicar en primer lugar, como se afirma en los puntos 61 y 62 anteriores y como determinó la Comisión en la vista, que corresponde a Rodl & Partner probar por qué, a la luz de la situación del cliente y en presencia de determinados factores que eran potencialmente indicativos de un alto riesgo, concluyó que el cliente en cuestión presentaba solo un bajo riesgo y, por lo tanto, bastaba aplicar medidas simplificadas.

89.

En segundo lugar, a la luz de los autos, parecería que la VID sancionó a Rodl & Partner no por no haber aplicado medidas reforzadas con respecto a su cliente, conforme a una práctica nacional de la VID, según la cual un cliente debe ser objeto de medidas reforzadas de diligencia debida por parte de una entidad obligada cuando tal cliente tenga la forma jurídica de una ONG o uno de sus empleados sea nacional de un tercer país que presenta un riesgo alto de corrupción. ( 41 ) El Gobierno letón rechaza la existencia de dicha praxis. De los autos se diría más bien que la VID sancionó a Rodl & Partner por un análisis del riesgo insuficiente y por no haber tenido en cuenta en dicho análisis factores que potencialmente habrían podido cambiar la evaluación del riesgo con respecto a sus dos clientes. Evidentemente compete al órgano jurisdiccional remitente comprobar este aspecto.

90.

A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a la primera cuestión prejudicial como se indica en el punto 1) de la Sección IV de las presentes conclusiones. Por consiguiente, considero que no es necesario responder a la segunda cuestión prejudicial, ya que esta se plantea únicamente en caso de respuesta afirmativa a la primera cuestión.

91.

Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el artículo 18 de la Directiva 2015/849, en relación con su anexo III, punto 3, letra b), debe interpretarse en el sentido de que establece una obligación automática de adoptar medidas reforzadas de diligencia debida con respecto al cliente en todos los casos en que un socio comercial del cliente, pero no el propio cliente, esté relacionado de algún modo con un tercer país de alto grado de corrupción.

92.

De las consideraciones efectuadas en relación con la primera cuestión prejudicial, en concreto con los puntos 69 a 72 anteriores, se deriva que, al margen de los casos contemplados en los artículos 18 bis a 24 de la Directiva 2015/849, la asignación a un cliente de un nivel de mayor riesgo y, consiguientemente, la adopción de medidas reforzadas de diligencia debida con respecto a dicho cliente no es automática, sino que debe ser el resultado de una evaluación caso por caso del riesgo concreto con respecto a tal cliente, efectuada por la entidad obligada en función de los criterios establecidos por el Estado miembro en cuestión o por la entidad obligada en relación con todos los factores de riesgo pertinentes.

93.

En mi opinión, de dichas consideraciones, que son aplicables mutatis mutandis a la presente cuestión prejudicial en relación con una eventual aplicación automática de las medidas reforzadas de diligencia debida, se deduce que la respuesta a la tercera cuestión prejudicial también ha de ser negativa.

94.

Dicho esto, con el fin de aportar al órgano jurisdiccional remitente una respuesta que sea lo más útil posible, es preciso profundizar en la cuestión relativa a la relevancia, en el marco del sistema de prevención del blanqueo de capitales y la financiación del terrorismo previsto por la Directiva 2015/849, de situaciones en las que un socio comercial del cliente, y no el cliente mismo, esté de alguna manera vinculado con un tercer país de alto riesgo de corrupción.

95.

En este sentido cabe destacar que, como ya se ha mencionado anteriormente, el anexo III de la Directiva 2015/849 enumera los factores geográficos para identificar situaciones potencialmente de alto riesgo, entre las cuales figuran «países que, según fuentes dignas de crédito, tengan niveles significativos de corrupción u otras actividades delictivas». Esta afirmación no hace distinción alguna en función de que los factores geográficos se refieran al cliente o a sus socios comerciales. Conforme a lo previsto en el artículo 8, apartado 1, de la Directiva 2015/849, la evaluación del riesgo que las entidades obligadas tienen que llevar a cabo debe tener en cuenta factores de riesgo relativos no solo a sus clientes, sino también, entre otros elementos, a las «operaciones». El planteamiento según el cual el análisis de los factores de riesgo no se limita al cliente en cuanto sujeto, sino que también se refiere a sus operaciones comerciales, se confirma, por otra parte, por la disposición contemplada en el artículo 13, apartado 1, letra d), de la Directiva 2015/849, relativo a las medidas de diligencia debida con respecto al cliente. En efecto, esta disposición prevé que la obligación de hacer un seguimiento continuo de la relación de negocios se refiere también a las actividades comerciales del cliente.

96.

Por otra parte, el objetivo principal de la Directiva 2015/849, que se recuerda en el punto 31 anterior, se decanta a favor de una interpretación en sentido amplio del concepto de riesgo geográfico, en el que se incluyen no solo la procedencia del cliente de «países que, según fuentes dignas de crédito, tengan niveles significativos de corrupción u otras actividades delictivas», sino también otros posibles vínculos con dicho país, como actividades comerciales o ingresos comerciales importantes relacionados con el mismo. En este sentido, considero que, según la Guía para un planteamiento basado en el riesgo del GAFI para los operadores de servicios contables, ( 42 ) que puede tener relevancia para interpretar la Directiva 2015/849, ( 43 ) la circunstancia de que el origen de las fuentes de riqueza (source of wealth) del cliente, en la que se incluyen los ingresos comerciales, provenga de un país con un mayor riesgo, constituye un factor de riesgo a tener en cuenta por los sujetos que ofrecen servicios contables. ( 44 )

97.

Dicho esto, como ya se ha indicado en el punto 29 anterior, las obligaciones de las entidades obligadas derivan, en principio, de la ley nacional de transposición y no directamente de la Directiva 2015/849. La Ley Antiblanqueo Letona, en su artículo 111, apartado 3, ya mencionado en el punto 82 anterior, considera como factor de riesgo a tener en cuenta en la evaluación del riesgo la circunstancia de que el cliente o su titular real esté vinculado con un país o territorio que presente un alto riesgo de corrupción. A diferencia del anexo III de la Directiva 2015/849, tal disposición parecería limitar la relevancia del factor geográfico, en términos subjetivos, al cliente mismo o a su titular real.

98.

Sin embargo, tal disposición debe interpretarse conforme a la Directiva 2015/849, tarea que incumbe al órgano jurisdiccional remitente. En este sentido, en mi opinión, de las consideraciones anteriores se deriva que una interpretación conforme a tal Directiva requeriría interpretar tal disposición en el sentido de que también incluye como factor de riesgo geográfico el vínculo del cliente con un país o territorio que presenta un alto riesgo de corrupción en relación con los ingresos comerciales del cliente y, por lo tanto, con las operaciones desarrolladas por el propio cliente, en relación con dicho país, incluidos los ingresos derivados de actividades comerciales desarrolladas con socios comerciales vinculados a un tercer país con un elevado nivel de corrupción.

99.

Dicho esto, la exigencia de proporcionalidad, a la que se ha hecho referencia en el punto 64 anterior, obliga a referirse a la entidad y a la importancia de la operación o de los ingresos comerciales vinculados al país que presenta un mayor riesgo, lo cual depende necesariamente de un análisis caso por caso. De ello se deriva que no cualquier ingreso obtenido de actividades comerciales desarrolladas con socios comerciales vinculados a un tercer país de alto riesgo de corrupción constituye un factor de riesgo a tener en cuenta en la evaluación del riesgo del cliente. Para ello solo las operaciones y los ingresos comerciales de una entidad importante tendrán relevancia y podrán considerarse un elemento de vinculación con tal país. Ese podría ser el caso, por ejemplo, cuando el cliente obtenga una parte de sus ingresos (que quepa estimar considerable en relación con su facturación total) del socio comercial vinculado con el tercer país con alto nivel de corrupción o en el caso en que las operaciones comerciales sean de tal índole que de alguna manera den lugar a una dependencia del cliente con respecto a su socio comercial.

100.

En cualquier caso, corresponde al órgano jurisdiccional remitente valorar si eso se produce en el caso que nos ocupa en cuanto a la relación entre RBA Consulting y su socio comercial vinculado con el tercer país de alto nivel de corrupción y si, por lo tanto, Rodl & Partner debería haber tenido en cuenta tal operación comercial al evaluar el riesgo de su cliente. En este sentido, las consideraciones que he desarrollado en los puntos 88 y 89 anteriores se aplican, mutatis mutandis, a la evaluación del riesgo de RBA Consulting.

101.

A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a la tercera cuestión prejudicial como se indica en el punto 2) de la Sección IV de las presentes conclusiones.

102.

Mediante la cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta si procede interpretar el artículo 13, apartado 1, letras c) y d), de la Directiva 2015/849, en el sentido de que tales disposiciones imponen a la entidad obligada, cuando adopta medidas de diligencia debida con respecto al cliente, que tenga que obtener del cliente una copia del contrato celebrado entre este y un tercero o si el examen efectuado in situ de dicho contrato puede considerarse que es insuficiente.

103.

La cuestión prejudicial cuarta, como la tercera, se enmarca en el ámbito de las objeciones alegadas por la VID en relación con la evaluación efectuada por Rodl & Partner del nivel de riesgo de su segundo cliente en cuestión, RBA Consulting.

104.

Como se indica en el punto 39 anterior, el artículo 13, apartado 1, de la Directiva 2015/849 define las medidas (normales) de diligencia debida con respecto al cliente que las entidades obligadas tienen que aplicar en caso de que identifiquen un nivel de riesgo normal. Entre tales medidas se incluyen las previstas en las letras c) y d) de dicha disposición.

105.

Como se desprende de los puntos 61 y 62 anteriores y de los artículos 8, apartado 2 y 13, apartado 4, de la Directiva 2015/849, que en aquellos se mencionan, las entidades obligadas tienen que respetar unas exigencias de prueba y de documentación en relación con las correspondientes autoridades competentes, tanto por lo que se refiere a las evaluaciones del riesgo que efectúen con respecto a sus clientes como a la idoneidad de las medidas de diligencia debida que apliquen con respecto a sus clientes en relación con el nivel de riesgo identificado. ( 45 )

106.

Además, el artículo 40, apartado 1, letra a), de la Directiva 2015/849 obliga a tales entidades a conservar la copia de los documentos y de la información que son necesarios para cumplir las obligaciones de diligencia debida con respecto al cliente que contempla la propia Directiva.

107.

Por otra parte, las citadas disposiciones de la Directiva 2015/849 no determinan con precisión la forma mediante la que las entidades obligadas pueden cumplir dichas obligaciones de prueba y documentación para con las autoridades competentes. En semejante contexto, la cuestión que plantea el órgano jurisdiccional remitente se refiere precisamente a esas formas de cumplimiento.

108.

En este sentido, en mi opinión, en el momento de realizar un control como el efectuado por la VID, una entidad obligada como Rodl & Partner tiene que documentar de forma apropiada —aportando al mismo tiempo las correspondientes pruebas— la evaluación del riesgo que haya realizado en relación con su cliente, el hecho de que en tal evaluación haya tenido en cuenta todos los factores de riesgo pertinentes y el hecho de que tal evaluación fundamente de forma lógica la conclusión en cuanto al nivel de medidas de diligencia debida aplicadas a tal cliente.

109.

En el caso de que, en el marco de la evaluación de riesgos, se deba tener en cuenta una relación u operación comercial con un socio vinculado con un país tercero con un nivel elevado de corrupción, la entidad obligada tiene que presentar la documentación apropiada a la autoridad competente que demuestre que ha analizado tal operación o relación comercial y que la tuvo en cuenta debidamente para llegar a sus conclusiones en cuanto al nivel de riesgo del cliente.

110.

Dicho esto, la obligación de prueba y de documentación de la entidad obligada, en mi opinión, no siempre implica necesariamente la presentación física de la copia de un contrato. Según los casos, la prueba puede aportarse de otras formas que, no obstante, deben ser adecuadas para tal fin. Eso podría ocurrir, por ejemplo, como en esencia indicó la Comisión, mediante la presentación de informes de evaluación con respecto al contrato que contengan la información necesaria para evaluar de forma efectiva el riesgo vinculado a tal relación comercial y que puedan demostrar que la entidad obligada efectivamente analizó y consideró el contrato en cuestión en su evaluación del riesgo con respecto al cliente.

111.

Sin embargo, en mi opinión, la entidad obligada no puede justificar la falta de consideración de tal relación comercial en el análisis del riesgo con respecto al cliente escudándose en la imposibilidad de aportar el contrato en cuestión. La ausencia total de prueba y documentación relativas a una relación comercial pertinente para el análisis del riesgo con respecto al cliente constituye un incumplimiento de las obligaciones mencionadas en el punto 105 anterior. Evidentemente compete al órgano jurisdiccional remitente apreciar en concreto si ese es el caso en el presente asunto.

112.

A la luz de las consideraciones, anteriores propongo al Tribunal de Justicia que responda a la cuarta cuestión prejudicial como se indica en el punto 3) de la Sección IV de las presentes conclusiones.

113.

Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente pregunta si debe interpretarse el artículo 14, apartado 5, de la Directiva 2015/849 en el sentido de que la entidad obligada tiene que aplicar medidas de diligencia debida con respecto a los clientes comerciales existentes, incluso cuando no se puedan detectar cambios significativos en las circunstancias del cliente y cuando no haya vencido el plazo establecido por la autoridad competente de los Estados miembros para tomar nuevas medidas de seguimiento, y si es aplicable dicha obligación solamente en relación con clientes a los que se haya atribuido un alto riesgo.

114.

Tal cuestión fue planteada por cuanto en el procedimiento principal la VID constató una infracción por parte de Rodl & Partner de la Ley Antiblanqueo Letona, la cual prevé que la entidad obligada debe actualizar periódicamente y, en cualquier caso, como mínimo una vez cada 18 meses, la información relativa a sus clientes. ( 46 ) Sin embargo, cuando la VID procedió a efectuar el control en Rodl & Partner, todavía no habían transcurrido 18 meses desde el momento en que RBA Consulting se había convertido en su cliente.

115.

El artículo 14, apartado 5, de la Directiva 2015/849 exige a las entidades obligadas que apliquen las medidas de diligencia debida con respecto al cliente no solo a todos los clientes nuevos, sino también, en el momento oportuno, a los clientes existentes, en función del riesgo, en particular cuando cambien las circunstancias del cliente (o en otras situaciones añadidas por las modificaciones introducidas por la Directiva 2018/843).

116.

En este sentido cabe recordar que, a los efectos de la interpretación de una disposición del Derecho de la Unión, no solo hay que tener en cuenta su redacción, sino también el contexto en el que se inscribe y los objetivos que persigue la normativa de la que forma parte. ( 47 )

117.

Desde el punto de vista literal, del artículo 14, apartado 5, de la Directiva 2015/849 se desprende que las entidades obligadas tienen la obligación de aplicar las medidas de diligencia debida a los clientes existentes en el «momento oportuno», en «función del riesgo». Asimismo, se desprende que uno de los casos en los que es oportuno, pero no el único, es el caso de «cambio de las circunstancias del cliente». Por otra parte, la Directiva 2015/849 no aporta aclaraciones en cuanto a lo que se deba entender por «momento oportuno». Sin embargo, de la letra de la disposición se deriva que la entidad obligada debe aplicar o actualizar las medidas de diligencia debida no solo cuando resulte necesario, sino también cuando resulte oportuno, en relación con la evaluación del riesgo de blanqueo de capitales vinculado al cliente, la cual, como ya se ha visto, depende de un análisis de todos los factores pertinentes. Además, siempre desde el punto de vista literal, cabe observar que la disposición en cuestión no circunscribe tal obligación únicamente a aquellos clientes a los que se les atribuye un nivel de alto riesgo.

118.

Dicha interpretación de la disposición en cuestión queda corroborada por el punto de vista sistemático. Por un lado, cabe recordar que el artículo 14, apartado 5, de la Directiva 2015/849, está incluido en la Sección I, titulada «Disposiciones generales», del capítulo II de la misma Directiva, que versa sobre las obligaciones de diligencia debida con respecto al cliente. De ahí se deriva que la obligación que incumbe a las entidades obligadas en virtud de tal disposición se aplica a todos los clientes, con independencia del hecho de que presenten un riesgo de nivel normal, bajo o alto.

119.

Por otro lado, como ya se ha indicado en el punto 63 anterior, en el sistema de la Directiva 2015/849, la evaluación de riesgo es un proceso dinámico y, en la medida de lo razonable, continuo. Por consiguiente, las entidades obligadas en principio tienen que ejercer un control permanente, en los límites de lo razonable de las operaciones de sus clientes. De ahí que, en caso de que tengan conocimiento de elementos, como operaciones comerciales, que potencialmente pudieran influir en la evaluación del riesgo con respecto al cliente, deberán tenerlos en cuenta y, cuando sea oportuno, revisar el análisis del riesgo y, eventualmente, el nivel de las medidas de diligencia debida aplicadas a dicho cliente.

120.

Una interpretación amplia, dentro de los límites de lo razonable, de la disposición objeto de discusión es por lo demás, en mi opinión, conforme con el objetivo principal de la Directiva 2015/849, que se recuerda en el punto 31.

121.

En cuanto al caso que nos ocupa, observo, ante todo, que como puso de manifiesto el Gobierno letón y el propio órgano jurisdiccional remitente, el Derecho letón establece la obligación para la entidad obligada de actualizar periódicamente la información relativa a sus clientes, constituyendo el plazo de 18 meses tan solo el plazo máximo dentro del cual debe llevarse a cabo dicha actualización. Una interpretación de tal disposición conforme al artículo 14, apartado 5, de la Directiva 2015/849 supone, a mi entender, que no puede entenderse en el sentido de que no existe una obligación de la entidad obligada de revisar y eventualmente modificar su análisis del riesgo con respecto a un cliente y consiguientemente, cuando sea oportuno, adaptar las medidas que se le apliquen, siempre que tenga conocimiento de elementos que potencialmente puedan influir en dicha evaluación del riesgo.

122.

Compete al órgano jurisdiccional remitente comprobar si las operaciones concluidas entre RBA Consulting y la sociedad vinculada al país con alto riesgo de corrupción, de las cuales no se cuestiona que Rodl & Partner tuviera conocimiento, constituían operaciones de tal índole que hicieran considerar oportuno, en cuanto a la valoración del riesgo con respecto a RBA Consulting, a la luz de tales operaciones, que Rodl & Partner debiera actualizar dicha evaluación y eventualmente modificar las medidas de diligencia debida con respecto a su cliente, con independencia del transcurso del plazo máximo de 18 meses previsto por la normativa letona.

123.

A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a la cuestión prejudicial quinta como se indica en el punto 4) de la Sección IV de las presentes conclusiones.

124.

Mediante la sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta si debe interpretarse el artículo 60, apartados 1 y 2, de la Directiva 2015/849 en el sentido de que, al publicar información sobre una decisión que imponga una sanción o medida administrativa por incumplimiento de las disposiciones nacionales de transposición de dicha Directiva, la autoridad competente tiene la obligación de garantizar la conformidad exacta de la información publicada con la información contenida en la decisión.

125.

En este sentido, procede desestimar antes de nada las alegaciones del Gobierno letón, según las cuales tal cuestión sería hipotética y, por lo tanto, inadmisible. ( 48 ) En efecto, por un lado, el simple hecho de preguntar al Tribunal de Justicia acerca de la interpretación tanto del apartado 1 como del apartado 2 del artículo 60 de la Directiva 2015/849, los cuales, a la luz del texto del último de dichos apartados, están relacionados, no hace que la cuestión sea hipotética. Por otro lado, en la resolución de remisión se indica explícitamente que también, en el momento de adoptar tales decisiones, existían inexactitudes en la publicación de la decisión recurrida.

126.

En este caso, el texto del apartado 2 del artículo 60 establece que es la información contenida en las decisiones contra las que se presentó el recurso la que fue publicada en internet. Dicha información, por lo tanto, debe corresponder con la que se contiene en las citadas decisiones. Por consiguiente, propongo al Tribunal de Justicia que responda a la sexta cuestión prejudicial como se indica en el punto 5), de la Sección IV de las presentes conclusiones.

127.

Habida cuenta del conjunto de consideraciones anteriores, propongo que el Tribunal de Justicia responda a las cuestiones prejudiciales planteadas por el Administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso‑Administrativo, Letonia) del siguiente modo: