Introducción: Esta política define el enfoque estructurado de Rintral para gestionar solicitudes de supresión de datos garantizando el cumplimiento total del RGPD, AML, MICA y DORA. Establece prácticas de eliminación de datos seguras, auditables y legalmente válidas, especialmente para registros financieros y relacionados con blockchain, donde la eliminación completa puede no ser posible por exigencias normativas.
Base legal para conservar datos KYC: Según el artículo 17(3)(b) del RGPD, se puede denegar la solicitud de supresión de un interesado cuando el tratamiento es necesario para cumplir una obligación legal que exige conservar los datos. Los registros KYC suelen estar sujetos a leyes contra el blanqueo de capitales (AML), regulaciones financieras u otras obligaciones legales que exigen su conservación por un periodo determinado.
Pseudonimización como solución: Una opción para reconciliar la necesidad de conservar datos KYC con el derecho de supresión del RGPD es la pseudonimización. El artículo 4(5) del RGPD la define como el tratamiento de datos personales de modo que ya no puedan atribuirse a un interesado sin utilizar información adicional, que debe conservarse por separado y estar sujeta a medidas técnicas y organizativas que impidan su atribución. Este enfoque minimiza riesgos de privacidad y mantiene el cumplimiento de las exigencias AML, MICA y de auditoría financiera.
1. Recepción y autenticación de la solicitud (Para el equipo de atención al cliente)
Al recibir una solicitud de supresión de datos, el equipo de atención al cliente debe verificar primero que la solicitud proviene del propio interesado o de un representante legalmente autorizado. Para evitar eliminaciones no autorizadas o fraudulentas, el solicitante debe pasar por un proceso de verificación de identidad, proporcionando un documento oficial o prueba legalmente válida.
Una vez verificado, el equipo debe documentar inmediatamente la solicitud en el Registro de Supresión de Datos, asegurando la trazabilidad completa. La entrada en el registro debe incluir:
• ID de solicitud (identificador único de seguimiento).
• Fecha y hora de recepción (para cumplir el plazo de un mes según el artículo 12(3) del RGPD).
• Identidad del solicitante (nombre o identificador único).
• Alcance de la solicitud (datos específicos a suprimir).
Posteriormente, el equipo debe escalar la solicitud al Delegado de Protección de Datos (DPO) para su evaluación legal.
2. Revisión legal por el DPO
El DPO debe realizar una evaluación legal para determinar si la solicitud cumple con los criterios de supresión total según el artículo 17 del RGPD o si existen exenciones legales que obligan a conservar los datos bajo leyes y regulaciones aplicables.
Se evaluará conforme a marcos legales clave:
• Bajo regulaciones AML, los datos KYC, transacciones financieras y registros de verificación de identidad deben conservarse durante períodos obligatorios.
• La normativa MICA prohíbe eliminar transacciones blockchain, pero exige pseudonimizar metadatos asociados.
• DORA requiere la conservación de registros de seguridad, informes de incidentes y trazas de auditoría.
Si se requiere la conservación, el solicitante será notificado con una justificación legal clara y se detallarán las medidas de pseudonimización aplicadas (tokenización, hashing irreversible o cifrado AES-256).
3. Revisión de obligaciones legales y requisitos de conservación de datos
Los requisitos de conservación de datos deben evaluarse cuidadosamente para asegurar el cumplimiento con las normativas aplicables. Los datos KYC, incluidos historiales de transacciones, documentos de verificación de identidad y registros financieros, están sujetos a períodos obligatorios de conservación bajo leyes AML, regulaciones financieras y obligaciones legales.
Los datos personales que no puedan suprimirse deben ser pseudonimizados usando técnicas de cifrado, hashing o tokenización. Esto garantiza que los datos estén protegidos mientras se cumplen las obligaciones legales. La pseudonimización debe aplicarse a identificadores personales, datos de contacto e información financiera sensible que no requiera identificación directa.
Si una solicitud incluye datos que deben conservarse, se debe enviar una respuesta formal explicando la base legal de la conservación, citando regulaciones específicas como el cumplimiento AML, las exenciones del artículo 17(3) del RGPD o los requisitos de DORA. También deben detallarse los métodos de pseudonimización aplicados y el período de retención.
Todas las decisiones deben documentarse en el registro de supresión de datos, incluyendo la justificación de la conservación, las medidas aplicadas para proteger los datos y la fecha prevista de eliminación.
4. Identificación de categorías de datos susceptibles de supresión o pseudonimización
La evaluación de la elegibilidad para la supresión de datos debe realizarse considerando los requisitos legales de conservación. Ciertas categorías de datos personales pueden suprimirse, mientras que otras deben pseudonimizarse para cumplir con las normativas AML, financieras y de privacidad.
• Información de identificación personal (PII): Nombre completo, fecha de nacimiento, números de identificación nacional, etc., como parte de los datos KYC, serán pseudonimizados.
• Información de contacto: Correos electrónicos, números de teléfono y direcciones físicas como parte de los datos KYC serán pseudonimizados según lo requiera la ley.
• Información de cuenta: Nombre de usuario, ID de cuenta y contraseña. Se eliminarán. Si deben conservarse para futuras auditorías, serán pseudonimizados.
• Direcciones de monedero (datos de criptomonedas): Se eliminarán todas las direcciones de monedero vinculadas a usuarios. No se puede modificar ni eliminar el libro mayor de blockchain. Si se almacenan claves privadas, deben eliminarse de forma segura. Las transacciones blockchain son inmutables y no pueden modificarse ni eliminarse. Sin embargo, cualquier dato personal vinculado a transacciones blockchain (como metadatos identificables) puede y debe anonimizarse o pseudonimizarse cuando sea posible.
• Información financiera: Los datos no pueden suprimirse debido a exigencias regulatorias y serán pseudonimizados mediante técnicas de cifrado y hashing (explicadas más adelante). Para las transacciones financieras (tanto directas como indirectas) que deben conservarse (pseudonimizadas) por motivos de cumplimiento (auditorías, AML), esto implica eliminar u ocultar completamente cualquier información personal identificable relacionada con el cliente, asegurando que las transacciones no puedan vincularse al individuo.
Información financiera directa | Información financiera indirecta |
Números de tarjetas de crédito/débito | Historiales de transacciones |
Números de cuentas bancarias | Fechas de pago, montos
y proveedores |
Códigos IBAN, SWIFT |
|
Métodos de pago vinculados (por
ejemplo, PayPal,
monederos de criptomonedas) |
|
• Eliminar datos financieros innecesarios:
Detalles de pago almacenados | Información bancaria directa |
Números de tarjeta de crédito, códigos
CVV | Números de cuenta bancaria
(locales o IBAN) |
Fechas de caducidad de tarjetas | Códigos de ruta bancaria
(SWIFT/BIC) |
Nombre del titular de la tarjeta | Nombre del titular de la cuenta |
Tokens de tarjeta almacenados innecesarios | Métodos de pago vinculados (PayPal, cripto) |
Dirección de
facturación | Detalles bancarios usados para pagos
recurrentes |
Para todos los datos pseudonimizados, las técnicas de cifrado
y hashing aplicadas deben estar alineadas con
los estándares de la industria y las mejores prácticas
de seguridad. La decisión de conservar o pseudonimizar los datos debe
documentarse, garantizando que todas las acciones
tomadas sean justificables y plenamente conformes con las normativas
aplicables. |
|
5. Proceso de pseudonimización
Para los datos que no pueden eliminarse debido a obligaciones legales o requisitos de cumplimiento, se aplicará la pseudonimización como medida de protección, garantizando al mismo tiempo la conformidad normativa. Cuando la conservación de los datos sea necesaria por motivos de auditorías regulatorias, investigaciones legales o finalidades operativas, la pseudonimización minimiza los riesgos para la privacidad, permitiendo una reidentificación controlada si fuera necesario.
El método aplicado dependerá del tipo de datos y de sus requisitos de cumplimiento. Para los registros KYC y otros datos sujetos a regulación financiera, se implementará pseudonimización reversible mediante cifrado. Esto garantiza que los datos personales permanezcan protegidos, pero puedan restaurarse bajo controles de acceso estrictos cuando sea legalmente requerido.
La pseudonimización basada en cifrado permite a las organizaciones cumplir con las normativas AML, RGPD y MICA, asegurando que los datos sigan siendo accesibles para fines de auditoría y supervisión regulatoria. Las claves de cifrado necesarias para la reidentificación se almacenarán por separado y estarán protegidas conforme a estrictos protocolos de seguridad, evitando cualquier acceso no autorizado.
El método de pseudonimización, incluidos los algoritmos de cifrado utilizados, los controles de acceso y las políticas de conservación de datos, debe documentarse íntegramente para garantizar la conformidad y la auditabilidad.
6. AES-256 Encryption (para la pseudonimización reversible de datos)
Para garantizar el máximo nivel de seguridad y, al mismo tiempo, el cumplimiento del RGPD, AML y las regulaciones financieras, los datos sensibles que requieren pseudonimización reversible serán cifrados utilizando el algoritmo de cifrado AES-256. Este método asegura que los datos solo puedan ser descifrados mediante una clave de cifrado única, proporcionando acceso controlado para auditorías regulatorias o investigaciones legales, mientras se protege contra accesos no autorizados.
El cifrado AES-256 es ampliamente reconocido como un estándar de la industria para la protección de datos financieros, personales y relacionados con el cumplimiento normativo. Las claves de cifrado deben almacenarse por separado en un sistema seguro de gestión de claves, accesible únicamente para personal autorizado bajo estrictos controles de acceso.
Esta implementación garantiza que los datos cifrados no puedan ser accedidos sin la clave de descifrado correspondiente, reforzando la seguridad y el cumplimiento normativo. Todas las prácticas de cifrado y gestión de claves deben documentarse y auditarse periódicamente para asegurar el cumplimiento de los requisitos regulatorios.
7. Almacenamiento seguro de datos pseudonimizados
La pseudonimización reversible requiere controles de seguridad estrictos para garantizar que la correspondencia entre pseudónimos y los datos originales permanezca protegida. La tabla
de correspondencia debe almacenarse en una base de datos cifrada separada, asegurando que la reidentificación solo sea posible bajo condiciones autorizadas. Se deben aplicar métodos de cifrado como AES-256 tanto a los datos de correspondencia como a la base de datos en sí, con el fin de evitar accesos no autorizados.
Solo el personal autorizado con las debidas autorizaciones legales debe tener acceso a la tabla de correspondencia. Deben implementarse políticas de control de acceso estrictas para limitar dicho acceso al mínimo personal esencial. Los siguientes roles están autorizados bajo condiciones controladas:
• Delegado de Protección de Datos (DPO): Supervisa y gestiona el acceso a los datos pseudonimizados, asegurando el cumplimiento del RGPD y de las normativas de protección de datos.
• Responsables de Cumplimiento Normativo: Tienen acceso estrictamente para fines de auditoría y reporte regulatorio, garantizando que la organización cumpla con las obligaciones AML, KYC y de conformidad financiera.
• Equipo Legal: Puede requerir acceso al tratar reclamaciones legales, disputas o consultas regulatorias donde sea necesaria la reidentificación de individuos.
• Equipo de Seguridad Informática: Responsable de mantener las claves de cifrado, la infraestructura de pseudonimización y los controles de seguridad. Sin embargo, el acceso directo a datos personales debe limitarse estrictamente.
• Auditores Internos o Externos: Pueden obtener acceso temporal exclusivamente para auditorías financieras o regulatorias, a fin de verificar el cumplimiento de los requisitos legales de conservación.
• Comité TIC: Supervisa la seguridad de los datos, la gestión de accesos y las políticas de pseudonimización. Asegura que los protocolos de cifrado y los controles de acceso se alineen con las estrategias generales de ciberseguridad y resiliencia de la organización. Además, revisa y aprueba cualquier cambio en las medidas de protección de datos antes de su implementación.
Se debe aplicar un registro y monitoreo estricto de todo acceso a la tabla de correspondencia. Los registros de acceso deben mantenerse en un formato a prueba de manipulaciones, asegurando una trazabilidad completa en caso de revisiones regulatorias o auditorías internas.
8. Notificación a Encargados del Tratamiento de Terceros
De conformidad con nuestra política de protección de datos, todos los encargados del tratamiento de terceros que gestionen datos de clientes deben ser informados sobre cualquier requisito de supresión o pseudonimización de datos. Esto incluye plataformas de marketing, procesadores de pagos, proveedores de almacenamiento en la nube y cualquier otro proveedor de servicios que trate datos personales en nuestro nombre.
Una vez que una solicitud de supresión de datos haya sido validada y procesada internamente, los encargados de terceros deben ser notificados sin demora indebida para que eliminen los datos solicitados o apliquen las mismas técnicas de pseudonimización, en cumplimiento con el RGPD, AML y las regulaciones del sector.
Debe existir un proceso formal de notificación para asegurar que los terceros acusen recibo de la solicitud y confirmen el cumplimiento dentro de un plazo acordado. Esta confirmación debe incluir:
• Una declaración que verifique que los datos solicitados han sido suprimidos o pseudonimizados conforme a los requisitos legales aplicables.
• La fecha de cumplimiento y cualquier documentación justificativa relevante.
• Un registro de excepciones, si el tercero está legalmente obligado a conservar ciertos datos, junto con la justificación de dicha conservación.
El incumplimiento por parte de terceros de las obligaciones de supresión o pseudonimización de datos debe ser escalado al DPO y al Comité TIC para que adopten las medidas oportunas, incluyendo la posible revisión contractual o la notificación a las autoridades reguladoras si fuera necesario. Todas las comunicaciones y confirmaciones deben registrarse en el Registro de Procesamiento de Datos de Terceros para garantizar la completa trazabilidad.
9. Registro del proceso de supresión y pseudonimización
Debe mantenerse un registro detallado de todas las actividades de supresión y pseudonimización de datos para garantizar el cumplimiento con las regulaciones del RGPD, AML, MICA y DORA. Este registro constituye una constancia formal de las acciones realizadas, permitiendo su auditabilidad y supervisión regulatoria.
El registro debe incluir:
• Una lista de los datos suprimidos, especificando el tipo de dato y la fecha de eliminación.
• Un registro de los datos pseudonimizados, indicando el método aplicado (por ejemplo, cifrado AES-256, hashing irreversible o tokenización).
• La justificación de la pseudonimización, especialmente cuando los datos no pueden ser eliminados debido a requisitos legales de conservación como las leyes AML, el cumplimiento financiero o los mandatos de resiliencia operativa según DORA.
• La fecha de finalización del proceso de supresión o pseudonimización, asegurando que las solicitudes se tramiten dentro del plazo de un mes establecido por el RGPD.
Todos los registros deben almacenarse de forma segura y estar alineados con el artículo 6 del RAT de Rintral (Registro de Actividades de Tratamiento). Estos registros deben estar accesibles para el DPO, el equipo de cumplimiento normativo y el Comité TIC para su revisión y auditorías internas.
La falta de documentación precisa del proceso puede conllevar riesgos de incumplimiento y sanciones regulatorias. Deben realizarse auditorías internas periódicas para verificar que todas las acciones de supresión y pseudonimización se registren correctamente y estén en línea con los requisitos legales y de política interna.
10. Confirmación de la supresión y pseudonimización al cliente
Una vez finalizado el proceso de supresión o pseudonimización de datos, debe proporcionarse al cliente una confirmación formal. Esto garantiza la transparencia y el cumplimiento del principio de responsabilidad del RGPD, al tiempo que refuerza la confianza en las prácticas de protección de datos de la organización.
La confirmación debe incluir:
• Una declaración de finalización, indicando que los datos solicitados han sido suprimidos o pseudonimizados.
• Una referencia al identificador específico de la solicitud, garantizando una trazabilidad y auditabilidad adecuadas.
• Si ciertos datos no han podido ser eliminados por obligaciones legales, una explicación clara de la base jurídica de su conservación, haciendo referencia a normativas aplicables como las leyes AML, requisitos de información financiera o mandatos operativos conforme a DORA.
• Una descripción de las medidas de pseudonimización aplicadas a los datos conservados, detallando las técnicas empleadas como cifrado, hashing o tokenización.
También se debe informar al cliente de su derecho a escalar cualquier preocupación si considera que su solicitud no ha sido tratada conforme al RGPD. Cualquier disputa o consulta posterior debe registrarse y escalarse al DPO y al equipo de cumplimiento para su revisión.
Todas las confirmaciones deben documentarse y almacenarse en el Registro de Supresión de Datos, asegurando un registro completo de las acciones realizadas y el cumplimiento de las obligaciones regulatorias.
11. Lista de verificación específica para la pseudonimización
Debe seguirse un enfoque estructurado para determinar el método de supresión o pseudonimización adecuado según el tipo de datos. Esto garantiza el cumplimiento del RGPD, AML y las regulaciones financieras, minimizando al mismo tiempo los riesgos para la privacidad.
Cada acción de pseudonimización debe registrarse, detallando el método aplicado y la justificación de su uso. Las claves de cifrado y los datos de correspondencia deben almacenarse de forma segura y estar accesibles solo para el personal autorizado. Se deben realizar auditorías periódicas para garantizar el cumplimiento de las políticas de protección de datos y de los requisitos regulatorios.