Minjusdh multa con cerca de S/ 289 800 a entidad financiera por requerir esa información para fines de validación de identidad en el uso del libro de reclamaciones virtual
El Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), sancionó al Banco de Crédito del Perú (BCP) con una multa de S/ 124,200 (27 UIT) por la recopilación excesiva y desproporcionada de datos biométricos faciales de sus usuarios.
Además, impuso otra multa de S/ 165,600 (36 UIT) por almacenar en una base de datos propia los datos biométricos faciales sin obtener el consentimiento válido de los usuarios. Ambas sanciones fueron confirmadas en segunda instancia. La multa se calculó en función del año en que se cometió la infracción o fue detectada por la ANPD (S/ 4600 en 2022).
Según detalló el Minjusdh, esos datos personales eran obtenidos cuando los usuarios, sean o no clientes de la entidad financiera, utilizaban el libro de reclamaciones virtual, con la finalidad de presentar sus quejas o reclamos.
¿Qué es el libro de reclamaciones?
El libro de reclamaciones es una plataforma que permite a los ciudadanos registrar su insatisfacción o disconformidad ante la entidad pública o empresa privada que le brindó atención o le prestó un bien o servicio, e igualmente, hacer seguimiento de su caso.
El artículo 150 de la Ley Nº 29571, Código de Protección y Defensa del Consumidor, dispone que los establecimientos comerciales deben contar con un libro de reclamaciones, en forma física o virtual. Igualmente establece lo que se debe consignar en la hoja de reclamación. Su uso es obligatorio y debe estar en la web de la empresa o entidad así como en un lugar visible de sus instalaciones.
¿Qué son los datos biométricos?
Los datos biométricos son una categoría especial de datos sensibles, ya que son únicos e inalterables, obtenidos a partir de un tratamiento técnico específico, relacionados a las características físicas, fisiológicas o conductuales de una persona física, que permiten identificarlas o autenticar su identidad.
Debido a los altos riesgos que su tratamiento implica para los derechos de las personas (como el acceso restringido a servicios, afectación a la privacidad o el uso legítimo de los mismos), reciben una protección especial bajo la Ley de Protección de Datos Personales y su Reglamento.
MEDIDAS CORRECTIVAS
La ANPD ordenó al BCP implementar medidas correctivas que incluyen la eliminación de los patrones biométricos faciales obtenidos a través del uso del Libro de reclamaciones virtual; asimismo, se dispuso el cese inmediato del almacenamiento y uso de dichos patrones biométricos faciales para futuras validaciones de la identidad de los usuarios.
La ANPD afirma que reconoce la importancia de implementar mecanismos de seguridad para validar o autenticar la identidad de los usuarios en las operaciones financieras; sin embargo, esta obligación no exonera a las entidades financieras de evaluar mecanismos alternativos, menos intrusivos e igualmente efectivos para verificar la identidad de los usuarios, limitando el tratamiento de datos personales biométricos a las situaciones en las que sea estrictamente necesarios, pertinentes y adecuados para la finalidad del tratamiento.
Pese a la obligación de minimización en el tratamiento de datos personales, la ANPD, en las distintas actuaciones de fiscalización, ha podido verificar que diversas entidades requieren datos personales, incluso datos sensibles, sin que exista una necesidad real y justificada para su tratamiento.
La ANPD recuerda que el tratamiento de datos personales que efectúen las entidades debe limitarse estrictamente a la realización de sus operaciones, y tiene que estar vinculado a un fin concreto, explícito y lícito. Esto implica que solo deben ser objeto de tratamiento los datos personales necesarios, adecuados y relevantes en relación a las finalidades para las que se hayan obtenido.
Resolución Directoral N.° PAS: Banco de Crédito del Perú (EXP. 122-2023): https://acortar.link/yPh3mI