El 27 de diciembre de 2024, la Dirección General de Transparencia, Acceso a la Información Pública y Datos Personales del Ministerio de Justicia (en adelante, la “Autoridad”) emitió la Resolución Directoral Nº 110-2024-JUS/DGTAIPD (en adelante, la “Resolución”) mediante la cual sancionó a una entidad bancaria por los siguientes hechos:
Aplicación de técnicas de reconocimiento facial y constatación del DNI de los usuarios que buscaban hacer uso del Libro de Reclamaciones Virtual
Con relación a este punto, la Autoridad señaló que los patrones biométricos faciales constituyen datos sensibles y que el tratamiento que venía realizando el banco era excesivo y desproporcionado para cumplir con la finalidad de registro de quejas y reclamos.
Además, mencionó que, aun cuando la intención del banco hubiera sido cumplir con los mecanismos de autenticación y validación de identidad de los usuarios que establece la normativa sectorial, lo cierto es que esta únicamente aplica para la provisión de servicios financieros a través de canales digitales, lo que no se verifica con el Libro de Reclamaciones Virtual.
Por lo anterior, la Autoridad encontró responsabilidad en la entidad bancaria, le impuso una multa a de 27 UIT (S/ 124,200.00 Soles considerando el valor de la UIT en el año de comisión de la infracción), y le ordenó la eliminación definitiva de los patrones biométricos faciales capturados. Además, puso en conocimiento de la SBS lo sucedido debido a que, a su parecer, podrían existir vulneraciones a los derechos de los clientes y a la normativa sectorial.
Creación de una base de datos propia con los datos biométricos faciales capturados
Sobre este extremo, la Autoridad detectó que cuando una persona realizaba una transacción, operación o reclamo con validación biométrica facial por segunda vez (es decir, cuando ya había superado por una validación biométrica previa), el banco ya no recurría a los servicios de consulta provistos por RENIEC, sino a una base de datos propia que contenía las imágenes de las personas y/o imágenes del documento de identidad de los usuarios debidamente encriptados, sin que estos hubieran brindado previamente su consentimiento en los términos exigidos por la normativa.
Al respecto, la Autoridad señaló que, esta práctica no se encuentra avalada por las excepciones al consentimiento contemplados en la normativa de protección de datos personales y que, en ningún punto del proceso, el banco cumplió con informar al titular de los datos sobre las condiciones que aplicaría al tratamiento de su información ni recolectó su consentimiento.
Por esta infracción, la Autoridad impuso a la entidad bancaria una multa de 36 UIT (S/ 65,600.00 considerando el valor de la UIT en el año de comisión de la infracción), y le ordenó, como medida correctiva, suprimir los patrones biométricos faciales almacenados en la base de datos propia obtenidos mediante la validación biométrica realizada a través del Libro de Reclamaciones Virtual.
Contactos:
- Jessica Hondermann – jessica.hondermann@santivanez.com.pe
- Percy Samaniego – percy.samaniego@santivanez.com.pe