Por Stakeholders
Lectura de:
El Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), impuso dos multas al Banco de Crédito del Perú (BCP) por el uso indebido de datos biométricos faciales de usuarios. En total, la sanción asciende a S/ 289,800 (63 UIT), dividida en dos infracciones específicas.
La primera multa, de S/ 124,200 (27 UIT), fue por la recopilación excesiva y desproporcionada de datos biométricos faciales mediante el Libro de reclamaciones virtual del banco, donde los usuarios, fueran clientes o no, ingresaban para presentar quejas o reclamos. La segunda multa, de S/ 165,600 (36 UIT), se aplicó por el almacenamiento de dichos datos biométricos sin obtener el consentimiento válido de los usuarios. Ambas sanciones fueron confirmadas en segunda instancia.
Es válido precisar que las multas fueron calculadas en función del año en que se cometió la infracción, o fue detectada por la ANPD. En ese sentido, las infracciones fueron determinadas en 2022, cuando el valor de la UIT ascendía a S/ 4600.
¿Por qué son sensibles los datos biométricos?
La ANPD recordó que los datos biométricos, como los patrones faciales, son considerados una categoría especial de datos sensibles. Estos permiten identificar de manera única a una persona, ya que están basados en características físicas, fisiológicas o conductuales que no pueden alterarse. Por este motivo, están sujetos a una protección especial bajo la Ley y el Reglamento de Protección de Datos Personales.
El tratamiento indebido de estos datos representa un riesgo significativo para los derechos de los ciudadanos, pudiendo derivar en restricciones al acceso a servicios, afectaciones a la privacidad o usos no autorizados.
Medidas correctivas ordenadas al BCP
Además de las sanciones económicas, la ANPD ordenó al BCP implementar medidas correctivas inmediatas:
- Eliminar los patrones biométricos faciales obtenidos mediante el Libro de reclamaciones virtual.
- Cesar el almacenamiento y uso de dichos datos biométricos para futuras validaciones de identidad.
La entidad también instó al banco a evaluar alternativas menos intrusivas para autenticar la identidad de los usuarios, respetando los principios de necesidad, pertinencia y adecuación en el tratamiento de datos personales.
La obligación de minimizar el uso de datos
La ANPD enfatizó que las entidades financieras deben limitar el tratamiento de datos personales estrictamente a las finalidades necesarias y justificadas. Este principio de minimización de datos exige que solo se recopilen aquellos datos que sean adecuados y relevantes para cumplir un propósito concreto, explícito y lícito.
Asimismo, advirtió que la práctica de solicitar datos personales, incluso sensibles, sin una justificación adecuada, ha sido detectada en diversas fiscalizaciones. Por ello, se exhorta a todas las organizaciones a cumplir con la normativa vigente y proteger los derechos de los ciudadanos.
¿Qué pueden hacer los ciudadanos ante la vulneración de sus datos?
La ANPD recordó que cualquier ciudadano que considere que sus datos personales han sido vulnerados puede presentar una denuncia a través de la Mesa de Partes presencial o virtual (acceso aquí) o comunicarse al teléfono 204-8020, anexo 2410.
Este caso marca un precedente importante para garantizar el uso responsable y ético de los datos personales en el Perú, en un contexto donde la protección de la privacidad es una prioridad creciente.
