BCP es sancionado por el inadecuado tratamiento de datos biométricos faciales de sus usuarios

Fuente: http://www.stakeholders.com.pe

I. Introducción

En una época en la cual la tecnología es un gran avance para la sociedad, de la cual podemos desprender el amplio desarrollo de la misma, acontece una situación que puede ser de gran preocupación para quienes deciden ser usuarios de una entidad financiara que habría estado actuando de manera negligente hacia su propio público.

Es por esto mismo que la Autoridad Nacional de Protección de Datos Personales (ANPD), entidad vinculada al Ministerio de Justicia y Derechos Humanos (MINJUSDH), ha impuesto multas que superan los S/ 300,000 al Banco de Crédito del Perú (BCP). La recopilación indebida de datos biométricos faciales, y su almacenamiento en una base propia sin el previo consentimiento de los usuarios, ha sido la causa de la sanción.

II. Riesgo informático

2.1. Los datos biométricos

Los datos biométricos son información sensible que contienen características físicas y conductuales únicas e inalterables que pueden utilizarse para identificar a una persona. Ejemplos comunes incluyen huellas dactilares, reconocimiento facial, patrones de iris, voz y dinámica de la firma. Es por ello que su gestión solo debe llevarse a cabo con el permiso explícito de los individuos implicados y en circunstancias estrictamente requeridas.

Un manejo inadecuado puede implicar peligros considerables para la privacidad y vulnerar otros derechos de los individuos, por lo que debido al alto riesgo que implica su tratamiento, esta información está particularmente resguardada por la Ley N°29733, actualizada en noviembre del año pasado, que tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen, además del Código de Protección de Datos Personales que cuenta con el mismo objetivo.

2.2. Núcleo de la sanción

La Autoridad Nacional de Protección de Datos Personales (ANPD) sancionó al Banco de Crédito del Perú (BCP) con una multa total que sobrepasa los S/ 300,000. La multa se segmenta en dos divisiones: la primera comprende la desproporcionada y excesiva recolección de datos biométricos faciales, obtenidos a través de la detección de la cámara de los diferentes dispositivos tecnológicos al momento de la validación de identidad digital por parte de los usuarios al utilizar el libro de reclamaciones virtual; y la segunda de S/ 165.600 (36 UIT) fue impuesta por conservar estos datos en un almacenamiento propio, sin el permiso necesario de los usuarios. Esta sanción se confirmó en segunda instancia, con un cálculo sustentado por esta entidad debido a una infracción similar detectada en 2022.

Dichos datos se recolectaron datos biométricos a partir de que los usuarios, sin importar si eran clientes o no, utilizaron el libro de reclamaciones virtual para interponer reclamos o quejas.

III. Repercusiones

3.1. Eliminación de datos

Simultáneamente, el Ministerio de Justicia y Derechos Humanos (MINJUSDH) instruyó al BCP a poner en marcha acciones correctivas, tales como la supresión de los patrones biométricos faciales adquiridos mediante la utilización del libro de reclamaciones virtual y la interrupción inmediata del almacenamiento y utilización de estos patrones.

3.2. Medidas correctivas

Aunque la legislación demanda la reducción en el uso de datos personales, la ANPD indicó que, a través de sus procesos de inspección ha observado que diversas entidades requieren información delicada sin justificar de manera adecuada su necesidad, por lo que mencionó que estas deben limitar el tratamiento de datos personales a la realización de sus operaciones, vinculadas a un fin concreto, explícito y lícito.

IV. Apreciación personal

Considero apropiado señalar que no me encuentro sorprendido por esta situación referente a la incorrecta utilización de datos sensibles de una entidad sobre sus usuarios e incluso aquellas personas que ni tan siquiera son clientes. Está claro que existen empresas y/o entidades que disponen y emplean esta información delicada de manera innecesaria e incluso, sin un previo consentimiento, ya sea para generar una base de datos más amplia, generar spam fastidioso a manera de publicidad e incluso poder llegar a utilizarse de manera ilícita comprometiendo los derechos fundamentales de las personas como su privacidad.

En buena cuenta, este caso establece un precedente relevante respecto a las garantías de un uso responsable y ético de la información personal en Perú, en un escenario donde la salvaguarda de la privacidad es crucial y el uso de dicha información está en crecimiento.

VI. Referencias

Castillo, Viyú. 2025. “Multan al BCP con más de S/300.000 por recopilar datos biométricos de usuarios sin autorización”. Lima: https://acortar.link/z23P8Y