Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 6 de març del 2026

La LGPD al Brasil: Bones pràctiques per a la retenció de dades d'identitat (CA)

La LGPD del Brasil imposa normes estrictes per a les dades personals, incloses les de verificació d'identitat. Les empreses han d'implementar polítiques de retenció de dades robustes, entendre els seus rols com a.

Per DiditActualitzat el
brazils-lgpd-identity-data-retention-best-practices.png

El compliment de la LGPD és fonamentalLa Llei General de Protecció de Dades (LGPD) del Brasil imposa requisits estrictes sobre com les organitzacions recopilen, processen i emmagatzemen dades personals, incloses les dades recollides durant els processos de verificació d'identitat. L'incompliment pot comportar multes significatives i danys a la reputació.

Minimització de dades i limitació de finalitatLes organitzacions només han de recollir les dades estrictament necessàries per a una finalitat específica i legítima, i conservar-les només durant el període requerit per complir aquesta finalitat o les obligacions legals. Aquest principi és fonamental per al compliment de la LGPD.

Polítiques de retenció de dades robustesLa implementació de polítiques de retenció de dades clares i configurables és essencial per gestionar les dades de verificació d'identitat. Això inclou capacitats d'eliminació automàtica i manual, garantint que les dades s'eliminin una vegada que la seva necessitat legal o operativa expiri.

Didit simplifica el complimentLa plataforma de Didit proporciona configuracions de retenció de dades configurables, eliminació manual de sessions i un paper clar de processador de dades, cosa que permet a les empreses complir els requisits de la LGPD de manera eficient mentre utilitzen solucions de verificació d'identitat basades en IA.

Entendre la LGPD i el seu impacte en les dades d'identitat

La Llei General de Protecció de Dades Personals (LGPD) del Brasil, vigent des de setembre de 2020, ha remodelat significativament la manera com es gestionen les dades personals al Brasil. Similar al GDPR europeu, la LGPD estableix un marc integral per a la protecció de la privadesa de les persones, atorgant-los un major control sobre la seva informació personal. Per a les empreses que operen al Brasil o hi tenen connexions, això significa un canvi fonamental en les pràctiques de gestió de dades, especialment pel que fa a les dades de verificació d'identitat.

Els processos de verificació d'identitat, com els que utilitzen la verificació d'identitat de Didit, la prova de vida passiva i activa o la concordança facial 1:1, impliquen inherentment la recollida i el processament de dades personals sensibles. Això inclou noms, dates de naixement, números de document, dades biomètriques i més. Sota la LGPD, les organitzacions han de tenir una base legal per processar aquestes dades, com ara el consentiment explícit, l'interès legítim o el compliment d'una obligació legal. A més, els principis de minimització de dades i limitació de finalitat són primordials: només cal recollir el que és absolutament necessari per a una finalitat definida i no conservar-ho més del que es requereix.

L'incompliment de la LGPD pot comportar sancions greus, incloses multes de fins al 2% dels ingressos d'una empresa al Brasil, amb un límit de 50 milions de R$ per infracció, juntament amb altres sancions administratives. Més enllà de les repercussions financeres, l'incompliment pot danyar greument la confiança del client i la reputació de la marca, fent de la governança de dades robusta un imperatiu empresarial.

Establiment de polítiques de retenció de dades efectives per a la LGPD

Un dels pilars del compliment de la LGPD, especialment per a les dades d'identitat, és la implementació de polítiques de retenció de dades sòlides. Aquestes polítiques dicten quant de temps es poden emmagatzemar les dades personals, una vegada recollides. L'objectiu és equilibrar les necessitats empresarials —com la prevenció del frau o el compliment de les regulacions contra el blanqueig de diners (AML), que el cribratge i la supervisió AML de Didit poden ajudar a abordar— amb el dret de l'individu a la privadesa i la minimització de dades.

En definir els períodes de retenció, les empreses han de considerar diversos factors:

  • Obligacions legals i reguladores: Algunes indústries (p. ex., serveis financers) poden tenir lleis específiques que dicten quant de temps s'han de conservar les dades dels clients, inclosos els registres KYC/AML.
  • Requisits contractuals: Els acords amb clients o socis podrien especificar períodes de retenció de dades.
  • Necessitats empresarials: Les dades podrien ser necessàries per a la resolució de disputes, auditories o per millorar els serveis. Tanmateix, aquestes necessitats han de ser justificables i equilibrades amb les preocupacions de privadesa.
  • Tipus de dades: Diferents tipus de dades (p. ex., dades biomètriques vs. dades transaccionals) podrien justificar diferents períodes de retenció.

Les bones pràctiques suggereixen que les dades s'han d'anonimitzar o eliminar de forma segura una vegada que s'hagi complert la seva finalitat i s'hagin satisfet totes les obligacions legals. La gestió proactiva del cicle de vida de les dades, en lloc de l'eliminació reactiva, és clau per demostrar el compliment i minimitzar el risc. Això inclou revisions periòdiques de les dades i processos automatitzats per eliminar les dades que hagin superat el seu termini de retenció.

El paper de controlador de dades vs. processador de dades

Sota la LGPD, és crucial entendre la distinció entre un controlador de dades i un processador de dades. El controlador de dades és l'entitat que determina els propòsits i els mitjans del processament de dades personals. Aquesta és típicament l'empresa que interactua directament amb l'usuari final (p. ex., un banc, una plataforma de comerç electrònic o una empresa de jocs que utilitza l'estimació d'edat). El processador de dades, d'altra banda, processa dades personals en nom del controlador. Els proveïdors de verificació d'identitat com Didit actuen típicament com a processadors de dades.

Com a processador de dades, Didit es compromet a donar suport als seus clients en el compliment de les seves obligacions LGPD. Didit processa les dades de verificació d'identitat d'acord amb les instruccions del controlador de dades i implementa mesures de seguretat robustes. Per defecte, Didit processa les dades a la UE, donant suport al GDPR i als règims locals de protecció de dades. Per als comptes empresarials, es pot habilitar el processament al país (residència de dades local), ajudant encara més amb requisits reguladors específics. Aquesta clara delimitació de rols, combinada amb les configuracions de retenció configurables de Didit, permet a les empreses mantenir el control sobre la seva estratègia de governança de dades.

Implementació d'estratègies pràctiques de gestió de dades

Per gestionar eficaçment la retenció de dades d'identitat sota la LGPD, les organitzacions haurien d'adoptar un enfocament multifacètic:

  1. Inventariar i mapejar les dades: Comprendre quines dades d'identitat es recopilen, on s'emmagatzemen i amb quina finalitat. Això inclou dades de verificació d'identitat, prova de vida passiva i activa i altres passos de verificació.
  2. Definir períodes de retenció: Per a cada categoria de dades d'identitat, establir períodes de retenció clars i justificables basats en els requisits legals i la necessitat empresarial.
  3. Automatitzar l'eliminació: Sempre que sigui possible, implementar sistemes automatitzats per eliminar o anonimitzar les dades una vegada que expiri el seu període de retenció. Això redueix el risc d'error humà i garanteix un compliment coherent.
  4. Habilitar capacitats d'eliminació manual: Proporcionar mecanismes per a l'eliminació manual de registres específics quan sigui necessari, com ara en resposta a una sol·licitud d'accés del subjecte de dades (DSAR) o una investigació.
  5. Protegir les dades en repòs i en trànsit: Assegurar que totes les dades d'identitat estiguin protegides amb mesures de seguretat tècniques i organitzatives adequades, independentment del seu estat de retenció.
  6. Auditories i revisions periòdiques: Revisar periòdicament les polítiques i pràctiques de retenció de dades per assegurar-se que segueixen complint amb les regulacions en evolució i les necessitats empresarials.

Aquestes estratègies, quan es combinen amb una plataforma de verificació d'identitat flexible i compliant, creen una base sòlida per a l'adhesió a la LGPD. L'arquitectura modular de Didit permet a les empreses integrar controls d'identitat específics segons sigui necessari, garantint la minimització de dades mitjançant la recollida només de la informació rellevant per a cada flux de treball de verificació.

Com ajuda Didit

Didit, com a plataforma d'identitat nativa d'IA i orientada al desenvolupador, està dissenyada per ajudar les empreses a navegar per les complexitats de les regulacions de privadesa de dades com la LGPD del Brasil. La nostra arquitectura modular i les nostres funcions robustes us permeten implementar les millors pràctiques per a la retenció de dades d'identitat i el compliment.

Didit actua com a processador de dades, donant-vos a vosaltres, el controlador de dades, un control complet sobre les vostres dades. La nostra plataforma us permet configurar polítiques de retenció de dades directament des de la Consola de Negoci. Podeu seleccionar finestres de retenció d'1 mes a 10 anys, o fins i tot configurar-les com a 'il·limitades' si ho requereixen obligacions legals específiques, garantint la flexibilitat per satisfer diverses demandes reguladores. Aquestes polítiques s'apliquen a totes les entrades, sortides, resultats derivats i metadades operatives de verificació emmagatzemades per Didit.

Per a situacions que requereixen l'eliminació immediata de dades, Didit proporciona capacitats d'eliminació manual. Podeu eliminar fàcilment sessions de verificació individuals i totes les dades associades, incloses les dades biomètriques i els documents, directament des del Tauler de la Consola. Aquesta funció és crucial per respondre ràpidament a les sol·licituds d'accés del subjecte de dades o gestionar preocupacions de privadesa específiques, donant suport directament al compliment del GDPR i la LGPD.

Les nostres solucions, inclosa la verificació d'identitat, la prova de vida passiva i activa i la concordança facial 1:1, estan construïdes amb la privadesa des del disseny. Oferim KYC bàsic gratuït, que us permet començar a verificar identitats amb eines robustes i conformes. Sense tarifes de configuració i un model de pagament per comprovació reeixida, Didit facilita la integració d'una verificació d'identitat segura i compliant a les vostres operacions, minimitzant l'exposició de dades alhora que maximitza la confiança i la seguretat.

Llest per començar?

Voleu veure Didit en acció? Obteniu una demostració gratuïta avui.

Comenceu a verificar identitats de forma gratuïta amb el nivell gratuït de Didit.

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
LGPD Brasil: Retenció de Dades d'Identitat i Bones.