La base de datos de clientes: calidad, proporcionalidad y seguridad operativa en tiempos de cumplimiento normativo

 

La base de datos de clientes: calidad, proporcionalidad y seguridad operativa en tiempos de cumplimiento normativo

💥La base de datos de clientes constituye un activo estratégico para cualquier organización. Su contenido debe cumplir con los principios de calidad, proporcionalidad y seguridad, exigidos por la legislación sobre protección de datos personales, prevención del fraude y blanqueo de capitales. En el entorno actual, estos principios se concretan mediante políticas operativas, herramientas tecnológicas y una gobernanza interdepartamental que garantice su correcta explotación.

1. Calidad y proporcionalidad: principios normativos

El artículo 5 del Reglamento General de Protección de Datos (RGPD) y el artículo 4 de la LOPDGDD 3/2018 establecen que los datos personales deben ser:

• Adecuados, pertinentes y no excesivos respecto a la finalidad del tratamiento.

• Exactos y actualizados, evitando datos obsoletos o erróneos.

• Limitados a la finalidad legítima para la que fueron recogidos.

Estos principios deben estar recogidos en la Política Expresa de Admisión de Clientes, que actúa como filtro normativo previo a la incorporación de datos al repositorio centralizado.

2. Seguridad informática y control de acceso

La base de datos debe estar informatizada y protegida mediante:

• Autenticación reforzada para el acceso por parte del personal autorizado.

• Trazabilidad de accesos y modificaciones.

• Integridad y disponibilidad garantizadas por el departamento de seguridad informática.

En entornos complejos, esta seguridad se articula mediante plataformas SIEM (Security Information and Event Management), bajo la supervisión del CISO, quien asegura la explotación conforme a las políticas corporativas.

3. Filtros de exclusión y control normativo

Antes de incorporar datos al repositorio, deben aplicarse filtros que excluyan:

• Personas físicas o jurídicas con prohibiciones legales o administrativas.

• Clientes con riesgo no asumible por la empresa.

• Casos detectados por plataformas de prevención del fraude o del blanqueo.

Estas exclusiones deben estar documentadas en la política de admisión y coordinadas por los departamentos de cumplimiento, fraude y seguridad informática.

4. Contenido operativo del repositorio KYC

La base de datos debe contener información estructurada según los criterios KYC (Know Your Customer):

• Información pasiva: recogida al inicio de la relación (identificación formal, titular real, propósito de la relación).

• Información activa: generada por el cliente durante sus operaciones, capturada por plataformas de monitoreo.

• Información derivada: obtenida mediante análisis y control normativo.

Este repositorio centralizado permite la explotación por parte de los departamentos de negocio, cumplimiento y control, cada uno con sus propias herramientas tecnológicas.

5. Plataformas tecnológicas y explotación selectiva

Cada departamento debe definir:

• Sus propios factores de riesgo.

• Los tipos de clientes que representan un riesgo superior al promedio.

• Las reglas de actuación ante cada grupo de riesgo.

Las plataformas deben estar diseñadas con participación de los usuarios finales, trabajar con datos de calidad y ser programadas por los departamentos responsables de su explotación.

📌 Esta entrada actualiza el análisis publicado en octubre de 2017 sobre las cualidades de la base de datos de clientes. Para quienes deseen contrastar ambos enfoques, pueden consultar la publicación original aquí.