Tornar a les notícies
Contingut educatiu

Compartició de dades de client i KYC: què està permès i què no

Compartició de dades de client i KYC: què està permès i què no

El compartir KYC no és compartir responsabilitats de LML: una distinció legal que importa en cada transacció immobiliària

En les transaccions immobiliàries amb múltiples parts — on agents, promotors, advocats i notaris tenen cadascun obligacions independents de lluita contra el blanqueig de capitals — una qüestió de creixent urgència pràctica és la permissibilitat de compartir informació KYC entre les entitats obligades. La posició jurídica d'acord amb el Reglament (UE) 2024/1624 (AMLR) sovint es malinterpreta en la pràctica, i les conseqüències d'aquest malentès van en ambdues direccions: alguns professionals es neguen a compartir dades que la regulació permet —i fins i tot fomenta— que es comparteixin; altres assumeixen que rebre dades KYC d'un tercer els eximeix de les seves pròpies obligacions de compliment normatiu, cosa que no fa.

La posició jurídica correcta és tant clara com amb conseqüències importants. Aquest article l'exposa.

El marc legal: què diu realment l'AMLR

L'AMLR estableix tres principis fonamentals rellevants per al compartir dades KYC en el sector immobiliari:

1. Cada entitat obligada té responsabilitat independent en la DDC. Independentment del que hagi fet qualsevol altra part en una transacció, cada entitat obligada —l'agent, el promotor, el notari i l'advocat— continua sent responsable de manera independent de la seva pròpia diligència deguda envers el client. La responsabilitat no és transferible.

2. Es permet confiar en una altra entitat obligada, sota condicions. Les disposicions de l'AMLR sobre la confiança en tercers permeten que una entitat obligada confïi en la diligència deguda (CDD) realitzada per una altra, però l'entitat que confia en l'altra manté la plena responsabilitat legal de complir amb el seu propi supervisor. La confiança és una facilitació procedimental, no una exempció.

3. El lliurament d'informació està permès dins dels marcs legals definits. El preàmbul 147 de l'AMLR estableix explícitament: «Les entitats obligades i les autoritats competents haurien de poder intercanviar informació en el marc d'una associació per al lliurament d'informació». El mateix considerant deixa igualment clar que les entitats obligades «no haurien de basar-se únicament en la informació rebuda a través de l'intercanvi d'informació per extreure conclusions sobre el risc de blanqueig de capitals i finançament del terrorisme del client».

Aquests tres principis defineixen amb precisió la línia divisòria legal: es poden compartir documents i dades fàctiques verificades; però no avaluacions de risc, determinacions d'EDD, decisions d'informe i obligacions de seguiment en curs.

On sorgeix el malentès en la pràctica

En una transacció immobiliària típica que implica un agent, un promotor, un advocat i un notari, cada part pot intercanviar legalment les dades d'identificació del client, la informació sobre els beneficiaris efectius, la documentació de la propietat societària, les proves de l'origen dels fons i els resultats de la comprovació — subjecte a les garanties aplicables del RGPD, de confidencialitat i de lluita contra el blanqueig de capitals.

El que cap d'aquestes parts pot fer és tractar la recepció d'aquesta informació com a substitut de les seves pròpies obligacions independents. Un notari que accepta un arxiu KYC d'un agent immobiliari sense dur a terme la seva pròpia avaluació de riscos no ha complert l'AMLR: s'ha basat, sense verificació independent, en el criteri d'una altra part. Un promotor que es fia de les comprovacions prèvies d'un advocat sense aplicar la seva pròpia classificació de riscos ha incomplert la seva pròpia obligació de supervisió.

Com confirma l'anàlisi de DLA Piper de les disposicions de l'AMLR sobre l'intercanvi d'informació: «Com a membres d'associacions per a l'intercanvi d'informació, les entitats obligades poden compartir informació amb la finalitat de la diligència deguda envers els clients i la notificació de sospites a les FIU». El nou paquet AML avança cap a una major cooperació entre les entitats obligades, i no cap a un únic punt de responsabilitat de compliment.

La llei no prohibeix compartir. Prohibeix la transferència de responsabilitat.

La distinció estructural: una arquitectura de dues capes

La posició jurídica descrita anteriorment es correspon de manera natural amb una arquitectura de dos nivells per a qualsevol model de compartició de KYC que compleixi la normativa:

Capa bàsica permesa — compartida entre les entitats obligades:

  • Verificació d'identitat i adreça

  • Identificació i verificació del beneficiari efectiu final (UBO)

  • Estructures de propietat corporativa

  • Documentació de l'origen dels fons

  • Historial de transaccions de propietat

  • Sancions, PEP i resultats de filtratge advers dels mitjans de comunicació

Capa específica de l'entitat — no compartible, determinada de manera independent per cada entitat obligada:

  • Qualificació i classificació de risc

  • Requisits i resultats de la diligència deguda reforçada

  • Avaluació de sospites i decisions de presentació de SAR/STR

  • Paràmetres i resultats de seguiment continu

  • Informació a la Unitat d'Intel·ligència Financera nacional

Aquesta és l'arquitectura cap a la qual s'orienta l'AMLR: recollir les dades del client una sola vegada, avaluar el risc moltes vegades — de manera independent, per cada entitat obligada, d'acord amb les seves pròpies obligacions reguladores.

El requisit tecnològic: per què les plataformes KYC estàndard no poden oferir-ho

La distinció legal anterior crea un requisit tecnològic precís que la majoria de les plataformes KYC del mercat són estructuralment incapaços de complir. Les solucions estàndard de verificació d'identitat i KYC estan dissenyades per recollir i compartir dades. No estan dissenyades per aplicar la separació legal entre les dades objectives compartides del client i les obligacions independents i no compartibles d'avaluació de riscos que cada entitat obligada ha de complir per a si mateixa.

Una plataforma KYC genèrica que recull documents i els comparteix entre les parts només gestiona la primera capa. No proporciona cap mecanisme estructurat perquè cada part dugui a terme i registri de manera independent la seva pròpia classificació de risc, la determinació de l'EDD o l'avaluació de sospites dins del mateix entorn. Les dades i l'obligació de compliment es desacoblen, i no existeix el registre regulador necessari per demostrar el compliment independent de cada entitat obligada.

Això no és una bretxa operativa menor. Segons la normativa AMLR, la incapacitat de demostrar una avaluació de risc independent per part de cada entitat obligada és un incompliment per a totes les parts que hagin rebut dades compartides sense produir la seva pròpia avaluació documentada.

Immosurance: l'única plataforma que ofereix ambdues capes en un únic entorn compatible amb el RGPD

Immosurance és l'única plataforma de compliment de la normativa AML a Europa dissenyada específicament per al sector immobiliari que ofereix les dues capes de l'arquitectura de compartició de KYC conforme a la normativa dins d'un únic entorn integrat i compatible amb el RGPD.

La capa bàsica —verificació d'identitat, mapeig dels UBO, documentació de la propietat corporativa, prova de l'origen dels fons i filtratge continu de sancions, PEP i mitjans de comunicació adversos— es pot recollir una sola vegada i posar a disposició de múltiples entitats obligades dins del marc legal i de protecció de dades permès. Això elimina la duplicació que ha caracteritzat el compliment normatiu en les operacions immobiliàries amb múltiples parts i redueix la càrrega per als clients, als quals històricament se'ls ha demanat que repeteixin el mateix procés de verificació amb cada part de la seva transacció.

La capa específica de l'entitat s'aplica de manera estructuralment separada dins de la plataforma. Cada entitat obligada que utilitza Immosurance manté el seu propi expedient de compliment normatiu independent, la seva pròpia avaluació de riscos documentada, el seu propi flux de treball de DE (Diligent Diligència) i el seu propi registre d'informes, cap dels quals és accessible ni es comparteix amb altres parts. L'arquitectura d'accés basada en rols garanteix que allò que la llei exigeix a cada entitat obligada a determinar de manera independent es determini, per disseny, de manera independent.

Cap proveïdor KYC genèric, servei de verificació d'identitat ni plataforma d'intercanvi de documents del mercat ofereix aquesta combinació. La separació de les dades de client compartibles de l'obligació d'avaluació de riscos no compartible —totes dues aplicades dins de la mateixa plataforma, totes dues conformes amb el RGPD i totes dues preparades per a auditories— és única a Immosurance.

Aquesta no és una capacitat futura. Immosurance ja està operativa avui, disponible per a agents immobiliaris, promotors, advocats i notaris de tota Europa, en 14 idiomes, amb l'arquitectura de compartició de KYC legalment alineada amb la direcció que ha confirmat l'AMLR.

La distinció legal és clara. El requisit tecnològic que crea és exigent. Immosurance és la resposta.

Tots els articles
Oferta d'última hora

CONDICIONS D'ENTRADA ANTICIPADA

Hi ha condicions excepcionals per als qui s'apuntin aviat, que aviat ja no estaran disponibles. Assegura't avui mateix del preu que prefereixes.
Veure preus