La Autoridad Nacional de Protección de Datos Personales (ANPDP, por sus siglas), a través de la Resolución Directoral N.º 110–2024–JUS/DGTAIPD de 27 de diciembre de 2024, confirmó la Resolución Directoral N.º 2271–2024–JUS/DGTAIPD–DPDP, que—en primera instancia administrativa—sancionó al Banco de Crédito del Perú (BCP) por el excesivo e inadecuado tratamiento de datos biométricos faciales de los usuarios que, siendo clientes o no, utilizaban su libro de reclamaciones virtual.
Las multas impuestas al BCP ascendieron a 63 unidades impositivas tributarias (UIT, equivalente a aproximadamente USD 78.000), calculadas en base al valor de la UIT en 2022. Estas se desglosan en 27 UIT “por haber efectuado el tratamiento de datos sensibles (datos biométricos) que resultan excesivos, no necesarios, adecuados, ni pertinentes para el uso de su libro de reclamaciones virtual”, y 36 UIT “por haber efectuado el tratamiento de datos sensibles (datos biométricos) de los usuarios de su libro de reclamaciones virtual, sin su consentimiento válido”. Además, se impusieron medidas correctivas que incluyeron la eliminación de los patrones biométricos faciales almacenados en la base de datos BIOM obtenidos mediante la validación biométrica realizada a través de su libro de reclamaciones virtual y la cesación del almacenamiento y uso de estos patrones biométricos obtenidos a partir de las imágenes faciales de usuarios del libro de reclamaciones.
Los hechos
Mediante escrito con fecha 2 de agosto de 2022, la denunciante reportó que cuando tuvo que generar una hoja de reclamación virtual en el sitio web del BCP, se le exigió que, además de consignar su número de cuenta bancaria, proporcionara una imagen facial para reconocimiento y una imagen de su Documento Nacional de Identificación (DNI), las cuales no son exigidas en el Reglamento del Libro de Reclamaciones y cuya exigencia es contraria a lo dispuesto por la Ley de Protección de Datos Personales (LPDP).
El BCP, al ser requerido, señaló—entre otros—que “dichos datos personales son recolectados con la finalidad de poder verificar y validar a través del Registro Nacional de Identificación y Estado Civil (Reniec) la identidad del usuario que presenta el reclamo a través de un medio digital” y que los datos eran almacenados “con la finalidad de poder sustentar que se ha realizado la correcta verificación de la identidad para poder registrar un reclamo”. También mencionó que las medidas cumplían con las exigencias del Reglamento de la Gestión de Seguridad de la Información y Ciberseguridad de la Superintendencia de Banca, Seguros y AFP (SBS).
Una vez realizadas las investigaciones y visitas de fiscalización correspondientes, la Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DFI) resolvió iniciar un procedimiento administrativo sancionador en contra del BCP, con base en lo siguiente:
- Infracción grave por el incumplimiento de lo establecido en los artículos 7 y 28.3, de la LPDP por el tratamiento desproporcionado (inadecuado, innecesario e impertinente) de datos personales sensibles en su libro de reclamaciones virtual, al requerir tanto imágenes del DNI como capturas faciales para validación biométrica.
- Infracción grave por el incumplimiento de lo establecido en los artículos 5 y 13 de la LPDP, y de los artículos 7 y 12 de su reglamento por el almacenamiento de datos biométricos faciales de los reclamantes en bases de datos propias, sin haber obtenido válidamente un consentimiento informado de sus titulares.
Cabe señalar que, en el Perú, el Libro de Reclamaciones es una herramienta obligatoria establecida por el Código de Protección y Defensa del Consumidor, y creada para que los consumidores puedan presentar quejas o reclamos por servicios o productos ofrecidos por proveedores con un establecimiento comercial, ya sea físico o virtual. Si bien su reglamento establece como uno de los requisitos de validez del reclamo la identificación del consumidor reclamante, no especifica el uso de datos biométricos para este fin.
La defensa del BCP
En el transcurso del procedimiento administrativo, la defensa del BCP se centró en justificar la necesidad y proporcionalidad del tratamiento de datos biométricos, presentando argumentos en tres aspectos principales:
- La seguridad de la información y productos financieros de sus usuarios (sin fines publicitarios), señalando haber implementado todas las medidas de seguridad recomendadas en la Opinión Consultiva N.º 32–2017–JUS/DGTAIPD (debió decir N.º 32–2021) en atención a la sensibilidad de la información tratada.
- El cumplimiento del principio de calidad de datos de la LPDP para mantener la actualidad de datos previamente obtenidos de sus clientes.
- Las exigencias regulatorias propias del sistema financiero.
Otro punto resaltante es que el BCP argumentó que no requerían del consentimiento de los usuarios que presentaban reclamaciones para el tratamiento de sus datos personales “puesto que dicha actividad se encuadra en las excepciones del artículo 14 de la LPDP al tratase de datos necesarios para la ejecución contractual y que solo se utilizan para la validación de la identidad del reclamante”.
El banco también citó la Opinión Consultiva N.º 32–2021–JUS/DGTAIPD para mencionar que la autoridad reconoció que “es proporcional el uso de la información biométrica para la identificación de contratantes de créditos, lo que hace que su caso sea válido, toda vez que el libro de reclamaciones es parte de sus servicios”. Finalmente señaló que la autoridad instructora no había propuesto alternativas menos intrusivas, pero igual de eficaces y seguras.
La resolución de la ANPDP
- Sobre el principio de proporcionalidad en el tratamiento de datos biométricos
La ANPDP concluyó que ni la ley, ni el Reglamento del Libro de Reclamaciones establecen expresamente la validación biométrica o la carga de imágenes del DNI como requisitos para presentar un reclamo, sea por canal físico o virtual. Que, si bien estas medidas están contempladas para servicios financieros según la normativa de la SBS, su implementación en libro de reclamaciones requiere un análisis específico de necesidad, pertinencia y adecuación, considerando que los reclamantes pueden ser clientes, potenciales clientes, o incluso terceros que actúen en su representación, y el Banco no ha satisfecho ninguno de esos exámenes.
Específicamente, la ANPDP señaló que, respecto al examen de necesidad, la resolución impugnada enfatizó la falta de justificación del BCP para la recopilación de datos biométricos puesto que existían otros medios para la verificación de la identidad de los usuarios del libro de reclamaciones virtual, más aún cuando se había comprobado que el mismo requisito no era exigido cuando se presentaba un reclamo por vía telefónica.
Al respecto, citó el análisis de la Dirección de Protección de Datos Personales (DPDP) en su resolución apelada, que se centra en los principios de Finalidad y Proporcionalidad de los artículos 6 y 7 de la LPDP, y las obligaciones del titular y el encargado de tratamiento de datos personales especificadas en el artículo 28, resaltando la trascendencia de estos principios en el tratamiento de datos personales sensibles, en la medida que “la minimización de la cantidad de datos personales y de acciones de tratamiento contribuyen a evitar situaciones riesgosas que, con esta clase de datos, conllevan un riesgo mayor para sus titulares”.
También evaluó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad de la SBS y citó el análisis de la primera instancia, mencionando que, si bien la validación biométrica está permitida por la normativa sectorial, no es el único método válido para verificar identidades. Que en el caso de clientes portadores de tarjetas, el banco pudo haber utilizado factores de autenticación ya existentes como aquello que solo el usuario tiene (número de tarjeta) y un elemento que solo el usuario conoce (la contraseña) y, en el caso de no ser clientes (o de ser clientes intermitentes), la simple consignación del DNI sería suficiente, ya que generalmente sus reclamos no implican transacciones financieras, por lo que la validación biométrica facial solo debería requerirse en casos excepcionales donde exista riesgo para la información patrimonial o la privacidad del usuario.
Finalmente aclaró que el caso se centró en evaluar específicamente el principio de proporcionalidad respecto a la recopilación de datos biométricos para el libro de reclamaciones virtual.
2. Sobre la necesidad de obtener el consentimiento previo antes del tratamiento de datos biométricos
La ANPDP concluyó que el BCP era responsable de haber realizado un tratamiento de datos biométricos sin el consentimiento de sus titulares, puesto que, por la naturaleza del Libro de Reclamaciones—que es un registro obligatorio para recibir quejas y reclamos y no un servicio en sí mismo o una condición necesaria para la ejecución contractual—no aplican las excepciones al consentimiento alegadas del artículo 14 de la LPDP.
En efecto, la ANPD señala que, durante el proceso de generar un reclamo en el Libro de Reclamaciones Virtual, el BCP condicionaba dicho reclamo a la validación facial, y si bien es cierto informaba sobre la finalidad, plazo de conservación y no transferencia de tales datos biométricos, no ofrecía la posibilidad de denegar expresamente tal consentimiento.
Tampoco informaba adecuadamente sobre el uso de la base de datos BIOM, puesto que solo hacía mención al contraste con la información que almacena RENIEC. Entonces, el BCP no podría alegar que obtuvo el consentimiento informado, libre y expreso de los titulares de los datos personales, evidenciándose su responsabilidad en este hecho imputado.
En conclusión, esta Resolución nos ofrece lecciones importantes para el tratamiento de datos personales en el sector financiero. Si bien el cumplimiento de las normas de la SBS es esencial para empresas de este sector, dichas regulaciones están diseñadas para garantizar la seguridad de las transacciones financieras y no justifican automáticamente el uso de datos biométricos en otros contextos, como la atención al cliente o de reclamos. Al ser datos sensibles, los datos biométricos solo deben ser recolectados y tratados en contextos de alto riesgo y respaldado con evidencia concreta que respalde su necesidad, no basándose únicamente en argumentos genéricos de seguridad. Finalmente, esta decisión nos recuerda que el cumplimiento de normas sectoriales no exime del cumplimiento de la LPDP y su reglamento.
Catherine Escobedo es Of-Counsel (consejera jurídica) de BARLAW Barrera y Asociados.
