Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 13 de março de 2026

GDPR e AML: O Equilíbrio entre o Direito ao Apagamento e as Necessidades de Conformidade (PT-PT)

Navegar pelo Direito ao Apagamento do RGPD (Artigo 17) enquanto se adere às obrigações de registo Anti-Branqueamento de Capitais (AML) representa um desafio significativo para as empresas.

Por DiditAtualizado
gdpr-article-17-aml-record-keeping.png

O Conundro RGPD-AML: Equilibrar o direito de um titular de dados ao apagamento, ao abrigo do Artigo 17 do RGPD, com os períodos obrigatórios de retenção de registos AML, exige uma compreensão aprofundada das bases legais e da gestão do ciclo de vida dos dados.

Bases Legais para a Retenção de Dados: As organizações devem identificar e documentar as obrigações legais específicas ou os interesses legítimos que justificam a retenção de dados pessoais para além de um pedido de apagamento do titular dos dados, particularmente para a conformidade AML.

Minimização Estratégica de Dados: A implementação de uma estratégia de minimização de dados, juntamente com políticas claras de retenção de dados e protocolos de eliminação segura, é essencial para mitigar riscos e garantir a conformidade com as regulamentações RGPD e AML.

Soluções Complacentes da Didit: A plataforma modular e nativa de IA da Didit, com o seu robusto Rastreio e Monitorização AML e uma API flexível para a eliminação de dados, capacita as empresas a navegar nestes complexos cenários regulatórios de forma eficiente e segura, garantindo a conformidade e mantendo a eficácia operacional.

Compreender o Artigo 17 do RGPD: O Direito ao Apagamento

O Artigo 17 do RGPD, frequentemente conhecido como o 'Direito a Ser Esquecido' ou o 'Direito ao Apagamento', concede aos indivíduos o direito de solicitar a eliminação dos seus dados pessoais em determinadas circunstâncias. Estas circunstâncias incluem quando os dados já não são necessários para o fim para o qual foram recolhidos, quando o consentimento é retirado, ou quando os dados foram processados ilegalmente. Para as empresas, responder a tais pedidos de forma pronta e eficaz é um princípio fundamental da conformidade com o RGPD.

No entanto, o direito ao apagamento não é absoluto. O Artigo 17(3) descreve várias exceções, sendo uma das mais significativas a necessidade de processamento para cumprir uma obrigação legal. É aqui que a intersecção com as regulamentações Anti-Branqueamento de Capitais (AML) se torna particularmente complexa. As instituições financeiras e outras entidades regulamentadas são legalmente obrigadas a reter certos dados de clientes por períodos específicos, frequentemente de cinco a dez anos, para prevenir e detetar crimes financeiros.

Por exemplo, se um cliente que passou por verificação de identidade solicitar a eliminação de dados, uma instituição financeira não pode cumprir imediatamente se esses dados forem necessários para a manutenção de registos AML em curso. O desafio reside em identificar a base legal precisa para a retenção e comunicá-la claramente ao titular dos dados. A documentação adequada da base legal para o processamento e retenção é primordial para demonstrar a conformidade com os requisitos do RGPD e AML.

O Imperativo da Manutenção de Registos AML

As regulamentações AML, como as que decorrem das recomendações do GAFI e das leis nacionais, impõem obrigações rigorosas às entidades regulamentadas para recolher e reter dados de identificação de clientes, registos de transações e outras informações relevantes. Estes registos são cruciais para a realização de diligência devida, monitorização de transações para atividades suspeitas e assistência às autoridades policiais em investigações. O período típico de retenção para esses dados é frequentemente de cinco anos a partir do fim da relação comercial, embora isso possa variar por jurisdição e circunstâncias específicas.

O objetivo da manutenção de registos AML é salvaguardar o sistema financeiro de atividades ilícitas como o branqueamento de capitais e o financiamento do terrorismo. Este objetivo de interesse público muitas vezes tem precedência sobre o direito individual ao apagamento quando há um conflito direto. Por exemplo, se o Rastreio e Monitorização AML da Didit identificar uma correspondência potencial numa lista de sanções, os dados associados a esse indivíduo devem ser retidos pelo período legalmente exigido, independentemente de um pedido de apagamento.

A chave para as empresas é ter sistemas robustos em vigor que possam diferenciar entre dados que devem ser retidos para fins AML e dados que podem ser apagados. Isso requer uma governação de dados meticulosa, cronogramas claros de retenção de dados e uma compreensão de como diferentes pontos de dados contribuem para várias obrigações de conformidade.

Navegar no Conflito: Estratégias para a Conformidade

Equilibrar com sucesso o Artigo 17 do RGPD com a manutenção de registos AML requer uma abordagem multifacetada. Aqui estão as principais estratégias:

  1. Identificar Claramente as Bases Legais: Para cada dado pessoal recolhido, documentar a base legal específica para o seu processamento e retenção. Para dados relacionados com AML, a base de obrigação legal é primária. Articular claramente quais os dados que se enquadram nos requisitos de retenção AML e por quanto tempo.
  2. Minimização de Dados e Limitação de Finalidade: Apenas recolher e reter dados que sejam estritamente necessários para o seu fim pretendido. Evitar reter dados 'por precaução'. Isto reduz o âmbito dos dados pessoais sujeitos a pedidos de apagamento e simplifica a conformidade. A arquitetura modular da Didit apoia isto, permitindo que as empresas selecionem apenas os componentes de verificação de identidade de que necessitam.
  3. Gestão Granular de Dados: Implementar sistemas que permitam a eliminação seletiva de dados. Nem todos os dados recolhidos durante um processo de verificação de identidade podem estar sujeitos à retenção AML. Por exemplo, alguns dados biométricos utilizados para deteção de vivacidade podem ser eliminados mais cedo do que os documentos de identidade principais. A API da Didit, especificamente o endpoint Eliminar Sessão, permite a eliminação permanente de sessões de verificação e de todos os dados associados, proporcionando a flexibilidade necessária para uma conformidade granular.
  4. Comunicação Transparente: Quando um titular de dados solicita o apagamento, explicar clara e concisamente porque é que certos dados devem ser retidos devido a obrigações AML, citando as disposições legais relevantes. A transparência constrói confiança e ajuda a gerir expectativas.
  5. Políticas Automatizadas de Retenção de Dados: Implementar sistemas automatizados que possam aplicar políticas de retenção de dados com base em requisitos legais. Assim que o período de retenção AML expirar, os dados devem ser automaticamente assinalados para eliminação ou anonimização, alinhando-se com o princípio da 'limitação da conservação'.
  6. Auditorias e Revisões Regulares: Rever periodicamente as políticas e práticas de retenção de dados para garantir que permanecem em conformidade com as regulamentações RGPD e AML em evolução. Isto inclui avaliar a necessidade de reter certas categorias de dados.

Como a Didit Ajuda

A Didit, como uma plataforma de identidade nativa de IA e focada no desenvolvedor, está numa posição única para ajudar as empresas a navegar pelas complexidades do Artigo 17 do RGPD e da manutenção de registos AML. A nossa arquitetura modular permite um controlo preciso sobre a recolha e retenção de dados, capacitando-o a satisfazer diversas exigências regulamentares.

O produto de Rastreio e Monitorização AML da Didit oferece capacidades robustas para identificar indivíduos e entidades de alto risco, garantindo que cumpre as suas obrigações legais. O nosso sistema gera registos detalhados para a conformidade AML, que são cruciais para auditorias e investigações. Criticamente, a plataforma da Didit foi concebida a pensar na conformidade. Somos certificados ISO 27001, em conformidade com o RGPD e prontos para a Lei da IA da UE, garantindo que a nossa infraestrutura e processos cumprem os mais altos padrões internacionais de segurança da informação e privacidade de dados.

As nossas APIs flexíveis, incluindo o endpoint Eliminar Sessão, permitem-lhe gerir programaticamente o ciclo de vida dos dados, permitindo-lhe eliminar permanentemente sessões de verificação e todos os dados associados, incluindo biometria e documentos, de acordo com as suas políticas de retenção de dados e pedidos de apagamento do RGPD, respeitando ainda os períodos de retenção AML. Este controlo granular é essencial para encontrar o equilíbrio certo.

Com a Didit, beneficia de:

  • KYC Básico Gratuito: Comece a verificar identidades sem custos iniciais, garantindo a conformidade essencial desde o primeiro dia.
  • Arquitetura Modular: Utilize e retenha apenas os componentes de verificação de identidade de que necessita, apoiando os princípios de minimização de dados.
  • Soluções Nativas de IA: Aproveite a IA avançada para verificação precisa e rastreio AML, reduzindo a revisão manual e aumentando a eficiência.
  • Sem Taxas de Configuração: Comece rapidamente e integre-se perfeitamente, focando-se na conformidade sem barreiras financeiras.

A Didit fornece as ferramentas para orquestrar fluxos de trabalho de verificação, gerir riscos e automatizar a confiança, tudo enquanto mantém uma conformidade rigorosa com as regulamentações globais de proteção de dados e crimes financeiros.

Pronto para Começar?

Pronto para ver a Didit em ação? Obtenha uma demonstração gratuita hoje.

Comece a verificar identidades gratuitamente com o nível gratuito da Didit.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
RGPD Artigo 17: Direito ao Apagamento vs. AML.