¿Cuáles son las etapas del proceso de lavado de dinero y cómo funcionan?

por Florian Tanant
Si tu empresa utiliza Google Analytics, es probable que hayas recibido una serie de correos electrónicos en los que se te pide que actualices la configuración para los próximos cambios del GDPR.
Parecen bastante serios.
Google es solo uno de los muchos gigantes de internet que han estado desplegando nuevas condiciones de servicio antes de que entre en vigor la nueva normativa. En este post, veremos cómo afectarán estos cambios a tus negocios, con especial énfasis en tus Riesgos Operacionales y en la prevención del fraude en varios niveles.
Pero lo primero es lo primero:
El Reglamento General de Protección de Datos (GDPR) es una ley y un reglamento de protección de datos destinado a las personas de la Unión Europea. Se basa en anteriores medidas de privacidad de la UE, como el cumplimiento de la normativa PSD2, pero es mucho más estricto en varios aspectos
Si la explicación anterior no te da todas las respuestas, lee los términos citados directamente en los documentos del reglamento. Proporcionan fantásticas pistas sobre lo que está claramente definido y lo que da lugar a interpretación.
Por qué existe el GDPR:
«El tratamiento de datos personales debe estar concebido para servir a la humanidad» – Considerando 4
«La escala de la recogida y el intercambio de datos personales ha aumentado considerablemente. La tecnología permite tanto a las empresas privadas como a las autoridades públicas hacer uso de los datos personales a una escala sin precedentes para llevar a cabo sus actividades.» – Considerando 6
«Las personas físicas deben tener el control de sus propios datos personales». – Considerando 7
Cómo define el GDPR los datos personales:
«Cualquier información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador tal como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física» – Artículo 4 (1)
Qué se considera identificadores en línea:
«Las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de internet, identificadores de cookies u otros identificadores como etiquetas de identificación por radiofrecuencia. Esto puede dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas.» – Considerando 30
Un concepto importante del GDPR es el del consentimiento del usuario. Se define de la siguiente manera:
«Toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen» – Artículo 4 (11)
Por último, uno de los puntos más polémicos del GDPR, es la idea de que una base jurídica para el tratamiento de datos es la del interés legítimo. Así nos hacemos una mejor idea de lo que significa:
«podría existir un interés legítimo, por ejemplo, cuando existe una relación pertinente y adecuada entre el interesado y el responsable del tratamiento en situaciones como cuando el interesado es un cliente o está al servicio del responsable del tratamiento». – Considerando 47
«El tratamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del responsable del tratamiento en cuestión. El tratamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo.» – Considerando 47
Sin embargo, hay algunas advertencias:
«siempre que no prevalezcan los intereses o los derechos y «libertades fundamentales del interesado»
«el interesado pueda esperar razonablemente, en el momento y en el contexto de la recogida de los datos personales, que se produzca un tratamiento para ese fin» – Considerando 47
La detección de fraude y las operaciones de riesgo no pueden existir sin los datos de los usuarios. Algunas plataformas heredadas han construido todo su sistema sobre la capacidad de compartir los datos de los estafadores para prevenir sus próximas acciones. Esto es así tanto si quieres protegerte del fraude en las pasarelas de pago, como si quieres evitar el fraude de contracargo.
En resumen, si aún no has elegido una herramienta antifraude, deberías considerar seriamente los siguientes puntos:
Cómo y por qué se recogen los datos:
Aquí estamos hablando realmente de la calidad de los datos. ¿Son relevantes, y están justificados? ¿Se meterá tu empresa en problemas por compartir información con el proveedor de fraude si se considera necesario?
¿Son las condiciones del servicio claras y transparentes?
Las condiciones de servicio de tu empresa deben actualizarse. ¿Pero qué pasa con las del proveedor de fraude? ¿Tienen en cuenta el derecho de acceso sin sacrificar la eficacia?
¿Cuál es el periodo de conservación?
En cumplimiento del «derecho al olvido», los datos no pueden conservarse indefinidamente. Las organizaciones deben asegurarse de que la información no relacionada directamente con el fraude no se conserve más tiempo del necesario.
Cómo de seguros son los datos:
Solo porque la detección del fraude se incluya en el ámbito de la ciberseguridad no significa que la empresa emplee las mejores prácticas. ¿Pueden garantizar también la prevención de infracciones?
En SEON, hemos sido plenamente conscientes del GDPR y de otras normativas como la PSD2 desde su creación. Esto nos ha permitido planificar en consecuencia y asegurarnos de que toda nuestra solución estaba diseñada en torno al cumplimiento de esta nueva normativa.
A continuación se enumeran algunas de las preguntas frecuentes que hemos respondido para los clientes. No dudes en ponerte en contacto con nosotros para obtener cualquier información adicional.
Absolutamente. Nuestra infraestructura, incluidos los servidores y las bases de datos, tiene su sede en la UE (Dublín, Irlanda), lo que podemos confirmar mediante un certificado.
Sí. Estamos registrados como procesadores de datos en la Autoridad Nacional Húngara para la Protección de Datos, y verás que la detección del fraude es una base legal para el procesamiento de datos según el GDPR.
Recomendamos que tu TOS informe a sus clientes sobre el tratamiento de datos para los servicios de gestión del fraude. Estaremos encantados de ayudarte a redactar este documento si es necesario.
Dejamos muy claro que los datos de nuestros clientes se pueden almacenar hasta 1 año, y que se pueden purgar fácilmente si se solicita.
En SEON, estamos orgullosos de tener un responsable de seguridad de datos. Esta función supervisa la seguridad y garantiza que solo nuestro Jefe de Ingeniería tenga acceso a la base de datos de producción (a través de una VPN dedicada y con claves encriptadas).
En el improbable caso de que los datos sean pirateados, el acuerdo estándar de SEON incluye la asunción de la responsabilidad de la privacidad de los datos, para que puedas utilizar la plataforma con total tranquilidad.
Aunque el GDPR parece aumentar la privacidad online de los usuarios, inevitablemente plantea una serie de preguntas. ¿Tendrá realmente un efecto positivo? ¿Alargará las revisiones manuales? ¿Dificultará las cosas para las empresas, especialmente las pequeñas, que pueden caer en la trampa de los reguladores de la UE? ¿Y quién asumirá la culpa si se produce una filtración de datos entre diferentes servicios de intercambio de datos?
Sea cual sea el futuro, no hay duda de que el GDPR remodelará profundamente internet y la evaluación de riesgos tal y como la conocemos. Las empresas de todos los sectores tendrán que replantearse el modo en que operan a diario, especialmente los anunciantes, los editores y los vendedores de fraude.
Con suerte, tu solución ya ha tomado todas las medidas para garantizar el cumplimiento y formará a los gestores de fraude de forma adecuada; si no es así, solo podemos recomendarte que te mantengas lo más informado posible sobre el GDPR a medida que vaya entrando en vigor.
Mostrando todos los con `` etiqueta
Haz clic aquí
Florian Tanant es el Escritor de Contenido Senior de SEON. Con más de 10 años de experiencia escribiendo para líderes fintech y de ciberseguridad, su especialidad es desglosar conceptos técnicos para acercarlos a una audiencia amplia. Tiene dos hijos, así que esa es la excusa para las manchas de mantequilla de maní en su teclado.
Las mejores historias del mes directamente en tu bandeja de entrada