La Autoridad Nacional de Protección de Datos Personales (ANPD), adscrita al Ministerio de Justicia y Derechos Humanos (Minjusdh), ha impuesto una multa significativa al Banco de Crédito del Perú (BCP) por recopilar y almacenar datos biométricos sin contar con el consentimiento de los usuarios. Esta sanción, que supera los S/300,000, establece un precedente en el manejo de datos sensibles en el país.
Detalles de la Multa y Contexto de la Sanción
Desglose de la Multa
El BCP recibió dos multas específicas:
- S/124,200 (27 UIT): Por la recolección indebida de datos biométricos faciales.
- S/165,600 (36 UIT): Por almacenar estos datos en una base propia sin el consentimiento adecuado de los usuarios.
El incidente ocurrió cuando usuarios, tanto clientes como no clientes, interactuaron con el Libro de reclamaciones virtual y se les solicitó validar su identidad mediante reconocimiento facial. Este procedimiento fue identificado como una violación directa a las normativas de protección de datos personales.
El Rol de la ANPD
La ANPD también ordenó al BCP eliminar de forma inmediata todos los patrones biométricos recolectados y suspender su uso para verificaciones futuras. Según esta entidad, el tratamiento de datos personales debe ser limitado a lo estrictamente necesario y realizado siempre bajo el consentimiento explícito del usuario.
El Marco Legal en la Protección de Datos Personales
En Perú, los datos biométricos están clasificados como información sensible, según la Ley de Protección de Datos Personales y su reglamento. Estas normativas buscan garantizar que las instituciones utilicen esta información únicamente con propósitos legítimos y bajo estrictos estándares de seguridad.
Requisitos para el Uso de Datos Biométricos
Cualquier tratamiento de datos biométricos en el país debe cumplir con los siguientes principios:
- Consentimiento Informado: El usuario debe estar plenamente informado sobre cómo y para qué serán utilizados sus datos.
- Minimización de Datos: Recopilar únicamente los datos necesarios para cumplir con un propósito específico.
- Seguridad: Garantizar la protección contra accesos no autorizados o usos indebidos.
En el caso del BCP, la ANPD determinó que estos principios fueron incumplidos, lo que resultó en la imposición de la multa.
Implicaciones del Caso para el Sector Financiero
Repercusión en la Industria Bancaria
Este caso pone de manifiesto la necesidad de un manejo más responsable de la información sensible por parte de las entidades financieras. Además, podría incentivar a otras instituciones a revisar y ajustar sus políticas de tratamiento de datos personales para evitar sanciones similares.
Confianza del Usuario
La recolección indebida de datos biométricos afecta la confianza de los usuarios en las instituciones financieras, especialmente en un contexto donde la digitalización de servicios requiere mayores garantías de privacidad y seguridad.
El Valor de los Datos Biométricos y Sus Riesgos
¿Qué Son los Datos Biométricos?
Los datos biométricos son características físicas o comportamentales únicas de una persona, como huellas dactilares, rasgos faciales o patrones de voz. Su principal uso es autenticar identidades en sistemas digitales.
Riesgos Asociados
El manejo inadecuado de estos datos puede generar riesgos significativos, como:
- Robo de Identidad: Si los datos son vulnerados, podrían ser utilizados para suplantaciones.
- Discriminación: Malas prácticas en el uso de datos biométricos pueden dar lugar a discriminación basada en rasgos físicos.
- Pérdida de Privacidad: El almacenamiento masivo de datos sensibles sin las medidas de seguridad adecuadas expone a los usuarios a múltiples vulnerabilidades.
Medidas Correctivas y Preventivas para los Usuarios
Derechos de los Ciudadanos
Los ciudadanos que consideren que sus datos personales han sido vulnerados pueden presentar una denuncia ante el Minjusdh a través de las siguientes vías:
- Portal Virtual: sgd.minjus.gob.pe
- Línea Telefónica: 204-8020, extensión 2410.
Consejos para Proteger Tu Información
- Infórmate: Lee los términos y condiciones antes de proporcionar datos personales.
- Denuncia Irregularidades: Reporta cualquier uso indebido de tu información.
- Utiliza Plataformas Seguras: Asegúrate de interactuar únicamente con sitios web oficiales y confiables.
El Camino hacia una Regulación Más Estricta
El caso del BCP refleja la necesidad de fortalecer la supervisión y regulación en el tratamiento de datos personales. La ANPD ha subrayado que la recopilación de información sensible debe estar justificada y alineada con propósitos claros y legítimos. En un contexto donde la digitalización avanza rápidamente, garantizar la protección de los datos personales es más crucial que nunca.
