El Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), sancionó al Banco de Crédito del Perú (BCP) con una multa de S/ 124,200 (27 UIT) por la recopilación excesiva y desproporcionada de datos biométricos faciales de sus usuarios(*). Según informaron, estos datos personales eran obtenidos cuando los usuarios, sean o no clientes de la entidad financiera, utilizaban el Libro de reclamaciones virtual, con la finalidad de presentar sus quejas o reclamos.
Además, impuso otra multa de S/ 165,600 (36 UIT) por almacenar en una base de datos propia los datos biométricos faciales sin obtener el consentimiento válido de los usuarios. Ambas sanciones fueron confirmadas en segunda instancia. Valga aclarar que la multa la calculó la autoridad en función del año en que se cometió la infracción o fue detectada por la ANPD (S/ 4,600, en 2022). Si se extrapola al valor actual, solo como referencia, serían unos S/ 337 mil de multa.
La ANPD ordenó además al BCP implementar medidas correctivas que incluyen la eliminación de los patrones biométricos faciales obtenidos a través del uso del Libro de reclamaciones virtual y el cese inmediato del almacenamiento y uso de dichos patrones biométricos faciales para futuras validaciones de la identidad de los usuarios.
Los datos biométricos, explicaron, son una categoría especial de datos sensibles únicos e inalterables. Se obtienen a partir de un tratamiento técnico específico, relacionados a las características físicas, fisiológicas o conductuales de una persona y permiten identificarlas o autenticar su identidad.
«Debido a los altos riesgos que su tratamiento implica para los derechos de las personas (como el acceso restringido a servicios, afectación a la privacidad o el uso legítimo de los mismos), reciben una protección especial bajo la Ley y el Reglamento de Protección de Datos Personales», detallaron.
La ANPD señaló que reconoce la importancia de implementar mecanismos de seguridad para validar o autenticar la identidad de los usuarios en las operaciones financieras; sin embargo, esta obligación no exonera a las entidades financieras de evaluar mecanismos alternativos, menos intrusivos y limitar el tratamiento de datos personales biométricos a las situaciones en las que sea estrictamente necesarios.
Según informaron, estos datos personales eran obtenidos cuando los usuarios, sean o no clientes de la entidad financiera, utilizaban el Libro de reclamaciones virtual, con la finalidad de presentar sus quejas o reclamos.
La ANPD informó que en las distintas actuaciones de fiscalización ha podido verificar que diversas entidades requieren datos personales, incluso datos sensibles, sin que exista una necesidad real y justificada para su tratamiento.
Desde la promulgación de la Ley de Protección de Datos Personales (N.º 29733) hace casi 11 años, el sistema financiero ha sido uno de los sectores que ha tenido más sanciones. Las multas impuestas son por al menos 354.9 UIT, que al valor actual de la UIT equivaldrían a más de S/ 1.89 millones.
La falta más común ha sido no dar el tratamiento adecuado a las bases de datos de los clientes. Entre los sancionados están bancos, cooperativas, cajas municipales y una que otra aseguradora. En 2020 el BCP recibió una multa por 40 UIT por incumplir con resguardar la confidencialidad de los datos de sus clientes en el 2018 debido a dos brechas de seguridad. El Banco Ripley es la entidad financiera que ha recibido más sanciones a lo largo del tiempo (un total de 58.2 UIT). Interbank ha recibido sanciones en dos oportunidades. En 2016 le impusieron 4.5 UIT y en 2021 fueron 23.63 UIT.
* Resolución Directoral N.° PAS: Banco de Crédito del Perú (EXP. 122-2023)
