Informe jurídico sobre la Resolución Directoral N.° 110-2024- JUS/DGTAIPD La necesidad de fortalecer el programa de prevención de riesgos que fortalece la protección de datos personales: estudio del caso BCP y el uso de biometría en el Libro de Reclamaciones Virtual

Abstract

La resolución analizada trata sobre el uso de verificación biométrica facial que el BCP aplicaba para que los usuarios pudieran presentar reclamos en el Libro de Reclamaciones Virtual. Aunque los bancos deben cumplir la Resolución 504- 2021-SBS, que exige autenticación reforzada para operaciones financieras, la ANPD señaló que esa obligación no alcanza a la presentación de reclamos. El motivo es que este procedimiento no es una operación ni un servicio financiero que justifique controles tan intrusivos, salvo que se vea comprometida información patrimonial o la privacidad del usuario. Por eso, el uso de biometría fue considerado innecesario y desproporcionado; así como la falta de consentimiento válidos, constituyendo una infracción grave a la Ley 29733 y derivando en una multa de 63 UIT. A partir de ello, el problema es determinar qué elementos deberían incluirse en un Programa de Prevención de Riesgos para evitar tratamientos excesivos o injustificados de datos sensibles. Por tanto, se concluye que el criterio de proporcionalidad debe incorporarse en la evaluación de riesgos para lo que se propone un Test de Proporcionalidad obligatorio antes de aplicar mecanismos biométricos o tratar datos sensibles, de modo que estas medidas solo se utilicen cuando realmente sean necesarias y no exista una alternativa menos intrusiva. Asimismo, de forma posterior debe realizarse una Evaluación de Impactos de Protección de Datos que permitirá que se determine qué riesgos pueden ser asumidos por las entidades financieras, si deben ser modificadas sus medidas o erradicados.

The analyzed resolution concerns the use of facial biometric verification that BCP required for users to submit complaints through the Virtual Complaints Book. Although banks must comply with Resolution 504-2021-SBS, which mandates reinforced authentication for financial operations, the ANPD stated that this obligation does not apply to the submission of complaints. This is because such a procedure is not a financial operation or service that would justify intrusive controls, unless the user’s patrimonial information or privacy is at risk. For this reason, the use of biometrics was considered unnecessary and disproportionate, as well as lacking valid consent, constituting a serious violation of Law 29733 and resulting in a fine of 63 UIT. Based on this, the issue is to determine which elements should be included in a Risk Prevention Program to avoid excessive or unjustified processing of sensitive data. Therefore, it is concluded that the proportionality criterion must be incorporated into the risk assessment, for which a mandatory Proportionality Test is proposed before implementing biometric mechanisms or processing sensitive data, ensuring that such measures are used only when truly necessary and when no less intrusive alternative exists. Additionally, a subsequent Data Protection Impact Assessment should be conducted to determine which risks can be assumed by financial institutions, and whether their measures must be modified or eliminated.