Centro de Confianza AML

Transparencia total para
Sujetos Obligados

Qué listas consultamos, cómo procesamos los datos personales, cuánto tiempo los conservamos y qué normativa cumplimos. Sin letra pequeña.

Ley 10/2010RD 304/20146AMLD (UE)GAFI/FATFRGPDLOPDGDD
Sección 1

Listas de Sanciones y PEPs

Actualizamos automáticamente más de 20 fuentes de sanciones y listas de personas políticamente expuestas. La sincronización de sanciones se ejecuta cada 12 horas; las listas PEP, cada lunes a las 03:00. Los cambios se detectan mediante hash SHA-256: si la fuente no ha cambiado, no se reprocesa.

Listas de Sanciones (sincronización cada 12 h)

Unión Europea

  • EU Consolidated Sanctions List (Consejo de la UE)
  • EU ESMA (European Securities and Markets Authority)

Estados Unidos

  • OFAC SDN List (US Treasury)
  • FinCEN Section 311 (US Treasury)
  • US FINRA
  • US SEC PAUSE
  • US SAM Exclusions

Organismos Internacionales

  • UN Security Council Consolidated List
  • Interpol Red Notices
  • Europol Most Wanted

España

  • CNMV — Advertencias sobre entidades
  • Guardia Civil — Personas buscadas
  • Policía Nacional (CNP Wanted)

Otros países

  • UK OFSI Sanctions List
  • Canada SEMA
  • Ukraine NSDC
  • Israel MoD Terrorists
  • France AMF
  • UK COH Disqualified Directors
  • Norway NBIM Exclusions

Listas de Personas Políticamente Expuestas (PEPs) (sincronización semanal, lunes 03:00)

OpenSanctions PEP Dataset

Conjunto consolidado: más de 901.000 personas políticamente expuestas de 84 fuentes internacionales, incluyendo Wikidata. Actualizado semanalmente.

Parlamento Español

Congreso de los Diputados y Senado. Datos vía OpenSanctions. 611 objetivos activos. Actualización semanal.

Alcaldes y Concejales de España

Más de 75.000 cargos locales. Datos vía OpenSanctions. Actualización semanal.

CIA World Leaders

Líderes mundiales actuales vía OpenSanctions. Actualización semanal.

Países de Alto Riesgo GAFI/FATF

Los países sujetos a monitorización reforzada o lista negra del GAFI se sincronizan el día 1 de cada mes a las 04:00. La plataforma compara la nacionalidad de cada cliente con estas listas en cada screening (Art. 11-16 Ley 10/2010).

Personas Relacionadas con PEPs (RCA)

La plataforma identifica también a los familiares y allegados de PEPs conforme al Art. 14.2 Ley 10/2010. Cada match indica si la persona es un PEP directo o un RCA, y a qué PEP está vinculada.

Titulares Reales (UBO) — Personas Jurídicas (Art. 4.2 Ley 10/2010)

Cuando el cliente es una persona jurídica, cada Titular Real es sometido individualmente al screening completo de sanciones y PEPs. Los resultados quedan vinculados al expediente del cliente y al propio Titular Real.

Sección 2

Motor de Matching — Cómo buscamos coincidencias

El motor aplica 4 estrategias simultáneas para detectar coincidencias incluso con variaciones de nombre, errores tipográficos, transliteraciones y nombres en alfabetos no latinos (árabe, cirílico, etc.). Cada match se puntúa y los resultados se consolidan y deduplican para presentar solo coincidencias únicas.

Similitud difusa (Fuzzy)

PostgreSQL pg_trgm — trigram similarity. Detecta variantes de nombre, abreviaciones y errores tipográficos.

Matching fonético

Apache Commons Codec Double Metaphone. Identifica nombres fonéticamente similares escritos de forma diferente.

Transliteración entre alfabetos

ICU4J — convierte nombres en árabe, cirílico, chino, etc. a su equivalente latino para compararlos con la base de datos.

Número de documento exacto

Coincidencia exacta de passaporte, DNI/NIE u otros identificadores. Score automático 1.0 = match confirmado.

Resolución asistida por IA (Vertex AI EU)

Para perfiles que generan coincidencias, el sistema puede invocar a Gemini vía Google Cloud Vertex AI región europe-west4 (Países Bajos)para analizar automáticamente si la coincidencia es un falso positivo. Cada decisión automática queda registrada en el log de auditoría con la justificación legal ("Descarte validado conforme al Art. 17 Ley 10/2010") y los datos del modelo utilizado.

Residencia: la inferencia se ejecuta en la UE, sin transferencia internacional. Mistral AI (Francia) está disponible como proveedor alternativo configurable por tenant para clientes que requieran proveedor EU-nativo.

Importante: La IA actúa antes de que el operador vea el resultado. Los descartes automáticos son auditables y revisables en cualquier momento desde el panel de cumplimiento.

Documentación profunda del motor: umbrales por sector, scoring multi-campo y filtros anti-falsos-positivos.

Ver documento técnico
Sección 3

Tratamiento de Datos Personales KYC

Los datos que la plataforma recoge sobre sus clientes finales son datos de terceros (los clientes de tu negocio). A continuación, la información relevante según el RGPD y la Ley 10/2010.

¿Qué base legal ampara el tratamiento?
Obligación legal (Art. 6.1.c RGPD): el sujeto obligado está legalmente obligado a identificar a sus clientes y verificar su identidad según el Art. 3 de la Ley 10/2010. El tratamiento no requiere consentimiento del cliente final, pero el sujeto obligado debe informarle conforme al Art. 13 RGPD.
¿Datos biométricos? (DNI, pasaporte)
Las imágenes de documentos de identidad (anverso y reverso) se consideran datos biométricos bajo el Art. 9 RGPD. Su tratamiento está amparado por la excepción del Art. 9.2(b): obligación legal impuesta por la Ley 10/2010. Los documentos se almacenan cifrados en Amazon S3 con AES-256 y se eliminan junto con el resto del expediente al confirmar la supresión tras el período de retención legal.
¿Se realizan transferencias internacionales de datos?
Los datos de expedientes se almacenan en la infraestructura de OVHcloud ubicada en Gravelines (GRA6), Francia — dentro del Espacio Económico Europeo.

La función de resolución de coincidencias mediante IA (Gemini en Google Cloud Vertex AI región europe-west4, Países Bajos) implica el envío puntual de datos del expediente (nombre, fecha de nacimiento, nacionalidad).No hay transferencia internacional: la inferencia se procesa dentro del EEE. Google actúa como encargado del tratamiento (Art. 28 RGPD) bajo el Google Cloud DPA.

Como alternativa configurable por tenant ofrecemos Mistral AI (proveedor EU-nativo, infraestructura en Francia) para clientes con políticas que requieran proveedor europeo. La IA en cualquiera de los dos proveedores es opcional y desactivable.
¿Quién tiene acceso a los datos?
El acceso está controlado por roles de usuario (RBAC): ADMIN, SUPERVISOR y AGENT. Cada acción sobre un expediente queda registrada en el log de auditoría con el ID de usuario, la IP de origen, la fecha y la acción realizada. El personal de CiberGuardIA no accede al contenido de los expedientes de los clientes.
¿La plataforma actúa como responsable o encargado?
CiberGuardIA actúa como encargado del tratamiento (Art. 28 RGPD). El sujeto obligado (tu negocio) es el responsable del tratamiento. La plataforma facilita la generación del Acuerdo de Tratamiento de Datos (DPA)listo para firmar, que regula la relación entre ambas partes conforme al Art. 28 RGPD.
Sección 4

Retención de Datos y Derecho al Olvido

10 años de conservación obligatoria

El Art. 25 de la Ley 10/2010 impone la conservación de toda la documentación obtenida en aplicación de las medidas de diligencia debida durante 10 añosdesde la finalización de la relación de negocios o de la operación ocasional.

Revisión mensual automática

El día 1 de cada mes, la plataforma escanea los expedientes cuya relación finalizó hace más de 10 años. Para cada uno se genera una alerta de revisión en el panel de cumplimiento. La supresión no es automática: requiere la confirmación expresa de un administrador.

Anonimización total con certificado PDF

Al confirmar la supresión, se anonimizan todos los datos de identificación personal (nombre, DNI, dirección, fecha de nacimiento) y se eliminan los documentos almacenados en S3 (imágenes de DNI/pasaporte). Se genera automáticamente un certificado de supresión en PDF con número de referencia único (SUP-{tenant}-{fecha}-{uuid}) que queda registrado en el log de auditoría (Art. 12.3 RGPD y Art. 5.1.e RGPD).

Comunicaciones SEPBLAC: conservación íntegra perpetua

Las comunicaciones de operaciones sospechosas enviadas al SEPBLAC (Art. 18 Ley 10/2010) no pueden ser suprimidas. Si un expediente tiene comunicaciones SEPBLAC registradas, solo se eliminarán los datos de contacto opcionales; los registros de sanciones, alertas y el historial de screening se conservan en su integridad (Art. 17.3.b RGPD).

Derecho al olvido anticipado (Art. 17 RGPD)

Si el período de 10 años aún no ha expirado, solo se suprimen los datos de contacto opcionales (email, teléfono, dirección). Los datos de identificación y el expediente AML se mantienen por obligación legal. El certificado PDF documenta el alcance (PARCIAL) y la fecha en que expirará la retención obligatoria.

Sección 5

Infraestructura

Los datos de los expedientes, documentos y logs de auditoría se alojan exclusivamente en servidores europeos.

Alojamiento en la UE

Proveedor: OVHcloud
Región: Gravelines (GRA6), Francia
El dato nunca sale del territorio del EEE.

Certificaciones OVHcloud

ISO/IEC 27001
SOC 1 Type II
SOC 2 Type II

Seguridad del dato

Cifrado en reposo: AES-256
Cifrado en tránsito: TLS 1.2+
Documentos en Amazon S3 con acceso firmado.

Lista pública de subencargados (Art. 28.4 RGPD): proveedores nombrados que tratan datos en nuestro nombre.

Ver lista completa
Sección 6

Marco Normativo Aplicable

La plataforma no crea sus propias reglas: implementa directamente los artículos de la normativa vigente. A continuación, las referencias legislativas exactas utilizadas en el código.

Ley 10/2010

Prevención del Blanqueo de Capitales y FT

  • Art. 3 — Diligencia debida en la identificación de clientes
  • Art. 4.2 — Identificación de Titulares Reales (UBO)
  • Art. 11-16 — Diligencia debida reforzada para perfiles de riesgo MEDIO y ALTO
  • Art. 14.2 — Personas Relacionadas con Cargos de Alta Responsabilidad (RCA)
  • Art. 17 — Registro de medidas aplicadas y decisiones
  • Art. 25 — Conservación de documentos: 10 años desde el fin de la relación
RD 304/2014

Reglamento de la Ley 10/2010

  • Art. 7 — Procedimientos de identificación
  • Art. 26-43 — Medidas de diligencia debida
  • Art. 65 — Manual interno de control (PBC)
RGPD (UE) 2016/679

Reglamento General de Protección de Datos

  • Art. 5(1)(e) — Limitación del plazo de conservación
  • Art. 6.1(c) — Tratamiento necesario para cumplir obligación legal
  • Art. 9 — Tratamiento de datos biométricos (excepción obligación legal)
  • Art. 17 — Derecho de supresión (con limitaciones por retención AML)
  • Art. 28 — Acuerdo de tratamiento de datos con encargado
LOPDGDD 3/2018

Ley Orgánica de Protección de Datos española

  • Art. 7 — Consentimiento para tratamiento de datos
  • Arts. 15-22 — Derechos ARSOPOL (Acceso, Rectificación, Supresión, etc.)

¿Tu SEPBLAC o auditor interno te pide documentación sobre la herramienta?

Podemos proporcionarte el certificado de infraestructura OVHcloud, la política de seguridad del servicio, la arquitectura de datos y el Acuerdo de Tratamiento de Datos (Art. 28 RGPD) listo para firmar.

Solicitar Pack Auditoría SEPBLAC

Contacto directo: contacto@ciberguardia.com · Datasheet 2 páginas

La información de esta página se actualiza cuando se publican nuevas fuentes normativas o cambios técnicos significativos. Esta documentación recoge el estado actual de la plataforma pero no constituye asesoramiento legal. Responsable del tratamiento de datos de este sitio web: CiberGuardIA AML, S.L.U. — NIF B27620996 — Calle Eulalia Sauquillo, 20, 28991 Madrid. Contacto DPO: contacto@ciberguardia.comPolítica de PrivacidadAviso Legal

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información