Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos es el marco jurídico europeo que regula la recogida, el tratamiento y la conservación de datos personales. En vigor desde el 25 de mayo de 2018, se aplica a cualquier organización que trate datos de residentes europeos, con multas de hasta el 4 % de la facturación mundial anual.
El RGPD ha transformado profundamente la forma en que las empresas gestionan los datos personales en Europa y más allá. Establece seis principios fundamentales: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad. Cada organización debe poder demostrar su cumplimiento en todo momento.
Para los profesionales del KYC y la conformidad normativa, el RGPD crea un delicado equilibrio entre la obligación de verificar la identidad de los clientes (impuesta por las directivas contra el blanqueo de capitales) y la necesidad de proteger sus datos personales. Las empresas deben establecer bases jurídicas claras para cada tratamiento, implementar plazos de conservación proporcionados y garantizar los derechos de los interesados.
Las autoridades de protección de datos (AEPD en España, CNIL en Francia, BfDI en Alemania) supervisan la aplicación del reglamento y pueden imponer sanciones considerables. En 2023, Meta recibió una multa récord de 1.200 millones de euros por la transferencia ilegal de datos a Estados Unidos, lo que ilustra el alcance extraterritorial del texto.
Regulaciones
Ejemplos concretos
- 1.Un banco online debe obtener el consentimiento explícito de sus clientes antes de compartir sus datos KYC con un proveedor externo de verificación de identidad, y documentar esta base jurídica en su registro de actividades de tratamiento.
- 2.Una aseguradora recibe una solicitud de acceso a datos de un cliente: debe proporcionar una copia completa de toda la información conservada en un plazo de un mes, incluidos los resultados de verificación de identidad.
- 3.Una fintech detecta una brecha de datos que afecta a 5.000 usuarios: dispone de 72 horas para notificar a la autoridad de control e informar a las personas afectadas si el riesgo es elevado.