El Banco de Crédito del Perú (BCP) enfrenta un duro golpe tras ser sancionado por la Autoridad Nacional de Protección de Datos Personales (ANPD), organismo adscrito al Ministerio de Justicia y Derechos Humanos (Minjusdh). La entidad bancaria deberá pagar una multa de S/ 289,800 por infracciones graves relacionadas con la recolección y almacenamiento de datos biométricos faciales de sus usuarios sin el debido consentimiento.

La ANPD determinó que el BCP infringió la Ley de Protección de Datos Personales (LPDP) al solicitar datos biométricos faciales de los usuarios al momento de realizar reclamos a través de su plataforma virtual. Esta práctica fue calificada como excesiva e innecesaria, ya que no guarda relación directa con la finalidad del trámite. Por esta infracción, se impuso una multa de S/ 124,200, equivalente a 27 Unidades Impositivas Tributarias (UIT).

Además, el banco fue sancionado con S/ 165,600 (36 UIT) por almacenar dichos datos biométricos sin contar con el consentimiento válido de los usuarios. Según la ANPD, esta acción expuso a los usuarios a riesgos de privacidad y violó los principios de consentimiento y finalidad establecidos en la LPDP. La entidad utilizó los datos para propósitos distintos a los inicialmente previstos, contraviniendo la normativa vigente.

El Banco de Crédito del Perú (BCP) recolectaba datos biométricos faciales a través de su Libro de Reclamaciones virtual. Este tipo de información incluye características únicas del rostro, como la geometría facial, patrones faciales específicos, y otras características físicas que permiten identificar de manera inequívoca a una persona.

Características de los datos biométricos faciales registrados:

1. Geometría facial:
   Datos como la distancia entre los ojos, la forma de la mandíbula, la nariz, y otros rasgos específicos que permiten identificar a una persona.
2. Patrones faciales únicos:
   Información generada por sistemas de reconocimiento facial que traduce las características del rostro en patrones matemáticos o códigos digitales únicos.
3. Datos de autenticación:
   Estos datos se pueden usar para validar identidades en procesos de seguridad, aunque en este caso fueron recolectados sin un propósito explícito y sin el consentimiento de los usuarios.

Los datos biométricos son considerados sensibles por su naturaleza única e inalterable, lo que los hace especialmente vulnerables a usos indebidos. En este caso, los datos fueron recopilados de usuarios, clientes o no, al presentar quejas o reclamos en el Libro de Reclamaciones virtual del BCP.

La ANPD ha ordenado al banco eliminar los patrones biométricos recolectados y cesar su uso para validaciones futuras. El plazo otorgado para cumplir estas medidas es de 55 días hábiles, reducido a 40 en caso de que el banco presente un recurso impugnatorio.

La autoridad recordó que las entidades financieras tienen la responsabilidad de implementar mecanismos de seguridad menos intrusivos para validar la identidad de sus usuarios. El uso de datos sensibles como los biométricos debe limitarse a casos estrictamente necesarios, pertinentes y adecuados a la finalidad del tratamiento, garantizando siempre la privacidad y seguridad de los ciudadanos.