Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 13 de març del 2026

Article 17 del RGPD: L'equilibri entre el dret d'esborrat i les necessitats AML (CA)

Navegar el dret d'esborrat del RGPD (Article 17) alhora que es compleixen les obligacions de registre de la Lluita contra el Blanqueig de Capitals (AML) presenta un repte significatiu per a les empreses.

Per DiditActualitzat el
gdpr-article-17-aml-record-keeping.png

El dilema RGPD-AMLEquilibrar el dret d'esborrat d'un subjecte de dades segons l'Article 17 del RGPD amb els períodes obligatoris de retenció de registres AML requereix una profunda comprensió de les bases legals i la gestió del cicle de vida de les dades.

Bases Legals per a la Retenció de DadesLes organitzacions han d'identificar i documentar les obligacions legals específiques o els interessos legítims que justifiquen la retenció de dades personals més enllà de la sol·licitud d'esborrat d'un subjecte de dades, especialment per al compliment de l'AML.

Minimització Estratègica de DadesLa implementació d'una estratègia de minimització de dades, juntament amb polítiques clares de retenció de dades i protocols d'eliminació segura, és essencial per mitigar riscos i garantir el compliment tant del RGPD com de les regulacions AML.

Solucions Complertes de DiditLa plataforma modular i nativa d'IA de Didit, que inclou un robust Screening i Monitoratge AML i una API flexible per a l'eliminació de dades, permet a les empreses navegar per aquests complexos paisatges reguladors de manera eficient i segura, garantint el compliment alhora que es manté l'eficàcia operativa.

Entenent l'Article 17 del RGPD: El Dret d'Esborrat

L'Article 17 del RGPD, sovint conegut com el 'Dret a l'Oblit' o el 'Dret d'Esborrat', concedeix als individus el dret a sol·licitar la supressió de les seves dades personals sota certes circumstàncies. Aquestes circumstàncies inclouen quan les dades ja no són necessàries per a la finalitat per a la qual van ser recollides, quan es retira el consentiment, o quan les dades han estat processades il·lícitament. Per a les empreses, respondre a aquestes sol·licituds de manera ràpida i efectiva és un principi fonamental del compliment del RGPD.

No obstant això, el dret d'esborrat no és absolut. L'Article 17(3) descriu diverses exempcions, una de les més significatives és la necessitat de processament per complir amb una obligació legal. Aquí és on la intersecció amb les regulacions de Lluita contra el Blanqueig de Capitals (AML) esdevé particularment complexa. Les institucions financeres i altres entitats regulades estan obligades per llei a retenir certes dades dels clients durant períodes específics, sovint de cinc a deu anys, per prevenir i detectar el crim financer.

Per exemple, si un client que ha passat per una verificació d'identitat sol·licita la supressió de dades, una institució financera no pot complir immediatament si aquestes dades són necessàries per al manteniment continuat de registres AML. El repte rau en identificar la base legal precisa per a la retenció i comunicar-ho clarament al subjecte de dades. La documentació adequada de la base legal per al processament i la retenció és primordial per demostrar el compliment tant del RGPD com dels requisits AML.

L'Imperatiu del Manteniment de Registres AML

Les regulacions AML, com les derivades de les recomanacions del GAFI i les lleis nacionals, imposen obligacions estrictes a les entitats regulades per recollir i retenir dades d'identificació de clients, registres de transaccions i altra informació rellevant. Aquests registres són crucials per dur a terme la diligència deguda, monitoritzar transaccions per a activitats sospitoses i ajudar les forces de l'ordre en les investigacions. El període de retenció típic per a aquestes dades sol ser de cinc anys des de la finalització de la relació comercial, tot i que això pot variar segons la jurisdicció i les circumstàncies específiques.

La finalitat del manteniment de registres AML és salvaguardar el sistema financer d'activitats il·lícites com el blanqueig de capitals i el finançament del terrorisme. Aquest objectiu d'interès públic sovint preval sobre el dret d'esborrat d'un individu quan hi ha un conflicte directe. Per exemple, si el Screening i Monitoratge AML de Didit identifica una possible coincidència en una llista de sancions, les dades associades a aquest individu s'han de retenir durant el període legalment obligatori, independentment d'una sol·licitud d'esborrat.

La clau per a les empreses és tenir sistemes robustos que puguin diferenciar entre les dades que s'han de retenir per a fins AML i les dades que es poden esborrar. Això requereix una governança de dades meticulosa, calendaris clars de retenció de dades i una comprensió de com els diferents punts de dades contribueixen a diverses obligacions de compliment.

Navegant el Conflicte: Estratègies per al Compliment

Equilibrar amb èxit l'Article 17 del RGPD amb el manteniment de registres AML requereix un enfocament multifacètic. Aquí hi ha estratègies clau:

  1. Identificar les Bases Legals Clarament: Per a cada dada personal recollida, documentar la base legal específica per al seu processament i retenció. Per a les dades relacionades amb AML, la base de l'obligació legal és primària. Articular clarament quines dades queden subjectes als requisits de retenció AML i durant quant de temps.
  2. Minimització de Dades i Limitació de la Finalitat: Només recollir i retenir les dades estrictament necessàries per a la seva finalitat prevista. Evitar conservar dades 'per si de cas'. Això redueix l'abast de les dades personals subjectes a sol·licituds d'esborrat i simplifica el compliment. L'arquitectura modular de Didit ho admet permetent a les empreses seleccionar només els components de verificació d'identitat que necessiten.
  3. Gestió Granular de Dades: Implementar sistemes que permetin la supressió selectiva de dades. No totes les dades recollides durant un procés de verificació d'identitat poden estar subjectes a la retenció AML. Per exemple, algunes dades biomètriques utilitzades per a la detecció de vivacitat podrien ser suprimides abans que els documents d'identitat principals. L'API de Didit, específicament l'endpoint Eliminar Sessió, permet la supressió permanent de sessions de verificació i totes les dades associades, proporcionant la flexibilitat necessària per a un compliment granular.
  4. Comunicació Transparent: Quan un subjecte de dades sol·licita l'esborrat, explicar de manera clara i concisa per què certes dades s'han de retenir a causa de les obligacions AML, citant les disposicions legals pertinents. La transparència genera confiança i ajuda a gestionar les expectatives.
  5. Polítiques Automatitzades de Retenció de Dades: Implementar sistemes automatitzats que puguin aplicar polítiques de retenció de dades basades en els requisits legals. Un cop expirat el període de retenció AML, les dades s'han de marcar automàticament per a la supressió o anonimització, d'acord amb el principi de 'limitació de l'emmagatzematge'.
  6. Auditories i Revisions Periòdiques: Revisar periòdicament les polítiques i pràctiques de retenció de dades per assegurar que segueixen complint amb les regulacions en evolució del RGPD i AML. Això inclou avaluar la necessitat de retenir certes categories de dades.

Com Ajuda Didit

Didit, com a plataforma d'identitat nativa d'IA i centrada en el desenvolupador, està posicionada de manera única per ajudar les empreses a navegar per les complexitats de l'Article 17 del RGPD i el manteniment de registres AML. La nostra arquitectura modular permet un control precís sobre la recollida i retenció de dades, permetent-te complir amb les diverses demandes reguladores.

El producte de Screening i Monitoratge AML de Didit proporciona capacitats robustes per identificar individus i entitats d'alt risc, assegurant que compleixes les teves obligacions legals. El nostre sistema genera registres detallats per al compliment AML, que són crucials per a auditories i investigacions. Críticament, la plataforma de Didit està dissenyada tenint en compte el compliment. Estem certificats ISO 27001, complim amb el RGPD i estem preparats per a la Llei d'IA de la UE, assegurant que la nostra infraestructura i processos compleixen els estàndards internacionals més alts en seguretat de la informació i privadesa de dades.

Les nostres API flexibles, inclòs l'endpoint Eliminar Sessió, et permeten gestionar programàticament el cicle de vida de les dades, permetent-te suprimir permanentment sessions de verificació i totes les dades associades, incloent biometria i documents, d'acord amb les teves polítiques de retenció de dades i les sol·licituds d'esborrat del RGPD, tot respectant els períodes de retenció AML. Aquest control granular és essencial per trobar l'equilibri correcte.

Amb Didit, et beneficies de:

  • KYC Bàsic Gratuït: Comença a verificar identitats sense costos inicials, assegurant el compliment essencial des del primer dia.
  • Arquitectura Modular: Utilitza i retén només els components de verificació d'identitat que necessites, donant suport als principis de minimització de dades.
  • Solucions Natives d'IA: Aprofita la IA avançada per a una verificació precisa i un screening AML, reduint la revisió manual i millorant l'eficiència.
  • Sense Costos d'Instal·lació: Comença ràpidament i integra't sense problemes, centrant-te en el compliment sense barreres financeres.

Didit proporciona les eines per orquestrar fluxos de treball de verificació, gestionar riscos i automatitzar la confiança, tot mantenint un compliment rigorós amb les regulacions globals de protecció de dades i crim financer.

Llest per Començar?

Llest per veure Didit en acció? Demana una demostració gratuïta avui mateix.

Comença a verificar identitats de manera gratuïta amb el nivell gratuït de Didit.

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
RGPD Article 17: Dret d'Esborrat vs. Registres AML.