Este sitio utiliza cookies para mejorar su experiencia de usuario y para lograr estadísticas de audiencia.
AceptoMe niego a aceptarPara saber más sobre el tema
en fr
en fr
Menu

¿Cuáles son los retos y la normativa de las soluciones KYC en materia de protección de datos?

KYC et protection des données

La digitalización de los procesos empresariales en los sectores regulados está creciendo rápidamente. Por lo tanto, los reguladores han reforzado y aclarado naturalmente sus requisitos en toda Europa. Por supuesto, estas empresas están obligadas legalmente a conocer a sus clientes (KYC). Hoy en día, la entrada en una relación en línea debe hacerse con una solución de confianza y medios de autenticación. Sin embargo, la verificación de la identidad implica el tratamiento de datos personales y sensibles. En este contexto, la normativa ya exige, y exigirá aún más, el uso de soluciones que cumplan los requisitos de seguridad y protección de datos. 

 

¿Cuáles son los retos de las soluciones KYC en términos de protección de datos personales?

 

Hoy en día, cada vez más empresas necesitan implantar un proceso KYC (Know Your Customer) para cumplir con los requisitos normativos. Este proceso consiste en verificar la identidad de los clientes, la mayoría de las veces cuando se suscriben a un servicio físico o remoto. En efecto, para beneficiarse de un servicio o un producto, el cliente debe crear una cuenta. Y es durante esta creación de la cuenta que se requiere la verificación de la identidad. El KYC es un proceso que puede ser esencial de varias maneras: para cumplir con la normativa, como la directiva contra el blanqueo de capitales, para combatir los actos fraudulentos, para verificar la edad del abonado al servicio o para mejorar la experiencia del cliente y simplemente extraer datos.

Con la explosión de Internet y los servicios a distancia, el proceso KYC ha evolucionado y se ha reforzado considerablemente. Para controlar mejor la identidad de un cliente, las soluciones deben recoger información personal de un documento de identidad para su análisis. Además, se suele añadir un proceso de reconocimiento facial biométrico para garantizar que la persona remota es quien dice ser. Esta combinación de verificación de identidad y reconocimiento facial por vídeo es explosiva en términos de sensibilidad de los datos personales. 

Por lo tanto, a la hora de implantar una solución KYC, es esencial asegurarse de que los datos recibidos de sus clientes, ya sean datos personales biométricos o no biométricos, estén protegidos y no corran riesgo de filtración. Para evitarlo, asegúrese de elegir un proveedor que cumpla los requisitos normativos sobre protección de datos. Pero, ¿cuáles son exactamente estos requisitos? 

 

RGPD, Cloud Act, eIDAS: ¿qué dice hoy la normativa sobre protección de datos personales?  

 

Hoy en día, la cuestión de la recogida, gestión y almacenamiento de datos ya no es un detalle. La protección de los datos de la empresa debe estar pensada y responder a un plan rigurosamente aplicado. Tras la llegada del Cloud Act adoptado en 2018 -una ley federal en Estados Unidos sobre el acceso a los datos de comunicación (datos personales), especialmente operados en el Cloud- la cuestión de la protección de datos se pone entonces en cuestión. De hecho, una empresa que aloja sus datos en una plataforma estadounidense no puede declararse conforme al RGPD hoy en día. Por ello, algunos proveedores de servicios optan por la soberanía europea, es decir, por almacenar sus datos en Europa bajo el control de empresas no establecidas en Estados Unidos. Sin embargo, hay una tercera solución: en ARIADNEXT somos soberanos por diseño. Esto significa que tenemos un control total sobre los datos que procesamos y evitamos los posibles riesgos asociados a la nube soberana. Cuando la actividad principal de una empresa implica el manejo diario de datos sensibles y personales, los proveedores de soluciones KYC pueden optar por operar sus propias infraestructuras. 

El mercado europeo se rige por numerosas normativas a las que las empresas deben someterse, entre ellas las cuestiones relacionadas con la protección de datos y, por tanto, el cumplimiento del RGPD (Reglamento General de Protección de Datos). Este reglamento europeo pretende regular el tratamiento de datos personales en el territorio de la Unión Europea y, por tanto, exige a las empresas que protejan los datos personales que manejan y la privacidad de los ciudadanos de la UE. Por lo tanto, el RGPD afecta a todas las transacciones que tienen lugar en Europa y también a todas las entidades que tratan datos personales pertenecientes a residentes de la UE. En estas condiciones, las empresas que no cumplan la normativa pueden enfrentarse a fuertes multas. De hecho, la sanción puede ser de hasta el 4% de la facturación anual.

En el marco de un proceso KYC, los datos recogidos relativos a la identidad (apellidos, nombre, fecha de nacimiento, etc.) entran claramente en esta categoría de datos a proteger. Además, los datos biométricos, que son características físicas o biológicas que permiten identificar a una persona, también están sujetos a este reglamento. Pueden ser huellas dactilares, reconocimiento facial, etc.  En este contexto, el proveedor de soluciones KYC que elija para trabajar debe cumplir plenamente con el Reglamento General de Protección de Datos. 

Para aumentar la confianza en las transacciones electrónicas dentro del mercado interior, se impone otra normativa a todos los proveedores de servicios de confianza o Autoridades de Certificación: el Reglamento eIDAS. Este reglamento ha definido tres niveles de fiabilidad y garantía para los procesos de identificación. El nivel «bajo» se refiere a un medio electrónico de identificación que reduce el riesgo de usurpación, pero con un nivel de confianza limitado (un identificador y una contraseña son suficientes). El nivel «sustancial» se refiere a un medio de identificación electrónico que pretende mejorar la postura ante los riesgos de alteración de la identidad. A continuación, el firmante debe disponer de un documento de identidad expedido por un Estado miembro y haber demostrado su posesión. Y, por último, el nivel «alto» requiere que la persona esté en posesión de un elemento de identificación fotográfico o biométrico reconocido por el Estado miembro en el que se solicita el medio de identidad electrónico y que dicho elemento se corresponda con la identidad alegada.

En la actualidad, Francia se ha inspirado en el reglamento eIDAS para la transposición de la 5ª Directiva ALD/CFT. Entre varios requisitos, esta directiva pide a las empresas que utilicen un nivel importante de proveedor de verificación de identidad para luchar eficazmente contra los riesgos de fraude. 

Si quiere saber cómo de fiable es su proveedor de soluciones KYC, no dude en confiar en los 3 niveles definidos en el reglamento eIDAS. 

 

¿Cómo responden las soluciones KYC a los retos actuales de la protección de datos?

 

El KYC es hoy el punto de entrada de la relación entre el cliente y el proveedor de soluciones, su papel es establecer la confianza necesaria entre las dos partes y debe responder a las diferentes cuestiones. Para ser un actor de confianza, los proveedores de soluciones de verificación de la identidad deben ahora abogar por el pleno cumplimiento de los requisitos sobre el tratamiento de datos personales. Esto incluye el análisis, el almacenamiento y el archivo de los datos sensibles procesados en el marco de un proceso KYC.  

En cuanto al análisis, hoy en día algunos proveedores de soluciones ofrecen una verificación del documento de identidad en menos de 10 segundos. Durante este tiempo, el software procesa la información, verifica su autenticidad y devuelve un veredicto al cliente. A continuación, los datos recogidos se destruyen para evitar cualquier riesgo de fuga. A veces ocurre que durante una identificación remota el usuario no tiene necesariamente los documentos en ese momento. En este caso, el proveedor de la solución KYC puede decidir almacenar temporalmente estos datos hasta que se valide el recorrido final del cliente.

Cuando la verificación automatizada no puede completarse o está incompleta, se realiza una verificación manual. Expertos formados en la detección de fraudes completan la verificación. Tanto si el documento se procesa de forma automática como manual, es importante saber dónde se transmiten y almacenan los datos del cliente. En el caso de la verificación manual, también es importante garantizar que los datos recogidos se procesen en un centro de Europa. 

 

protections données personnelles

 

Además de la forma en que se procesan los datos, también es importante fijarse en el nivel de confianza general de la empresa que se elige como proveedor de soluciones KYC: sus valores, sus certificaciones (ISO 27001 por ejemplo, o muy pronto el cumplimiento del marco de referencia de la ANSSI para los proveedores de servicios de verificación de identidad a distancia PVID, o FIDO para la biometría), así como las auditorías (pruebas de penetración, cumplimiento del RGPD, etc.) a las que puede estar sometida, por obligación o por elección, y que pueden justificar el grado de fiabilidad de la empresa. El objetivo de estas diferentes auditorías es comprobar la fiabilidad de los sistemas de información y los procesos asociados para encontrar posibles vulnerabilidades. 

En ARIADNEXT, como proveedor de soluciones KYC, garantizamos meticulosamente el cumplimiento de los principios fundamentales del Reglamento General de Protección de Datos y del Reglamento eIDAS. Estamos trabajando activamente para conseguir el cumplimiento del PVID (Proveedor de Verificación de Identidad Remota) y aspiramos a estar entre los primeros en obtener esta certificación. De este modo, garantizamos la total confidencialidad y protección de todos los análisis para ofrecer a nuestros clientes un servicio que se ajuste plenamente a las exigencias del mercado.

¿Quiere saber más?

Estaremos encantados de hablar de su proyecto.

Compartir esta publicación

Share on facebook
Share on linkedin
Share on twitter
Share on email

Artículos relacionados

¡Síganos!