BCP es sancionado con casi S/ 300,000 por recolectar y almacenar datos biométricos de usuarios sin permiso

El Ministerio de Justicia y Derechos Humanos sancionó al Banco de Crédito del Perú (BCP) con una multa de S/ 124,200 (27 UIT) por la recopilación excesiva y desproporcionada de datos biométricos faciales de sus usuarios, los cuales eran obtenidos cuando las personas, fueran o no clientes de la entidad financiera, utilizaban el libro de reclamaciones virtual para presentar quejas o reclamos.

A través de una nota de prensa difundida este lunes, el ministerio informó que la Autoridad Nacional de Protección de Datos Personales (ANPD) también impuso otra multa de S/ 165,600 (36 UIT) al banco por almacenar los datos biométricos faciales en su base de datos sin haber obtenido el consentimiento válido de los usuarios. Ambas sanciones fueron confirmadas en segunda instancia. El cálculo de las multas se basó en el valor de la UIT correspondiente al 2022 (S/ 4,600), cuando se detectaron las infracciones.

Los datos biométricos, como las características faciales, son considerados información sensible debido a su naturaleza única e inalterable, lo cual los convierte en un dato especialmente protegido por la Ley y el Reglamento de Protección de Datos Personales. Su tratamiento indebido puede comprometer la privacidad y los derechos fundamentales de las personas, lo que exige una regulación estricta en su manejo.

Además de las sanciones, la ANPD ordenó al BCP implementar medidas correctivas. Entre estas, dispuso la eliminación de los patrones biométricos faciales recolectados a través del libro de reclamaciones virtual, así como el cese inmediato del almacenamiento y uso de estos datos para futuras validaciones de identidad de los usuarios.

La ANPD reconoció la importancia de contar con mecanismos de seguridad para autenticar la identidad en operaciones financieras, pero enfatizó que las entidades deben evaluar métodos menos intrusivos que sean igualmente eficaces. También subrayó que el tratamiento de datos biométricos debe limitarse a lo estrictamente necesario, pertinente y adecuado para el fin específico declarado.

Durante sus fiscalizaciones, también constató que diversas entidades solicitan datos personales sensibles sin una justificación real o necesaria, lo que constituye una práctica irregular. En este contexto, recordó que el tratamiento de datos personales debe vincularse exclusivamente a operaciones concretas y vinculadas con un objetivo definido, explícito y legítimo.

El portafolio, presidido por el ministro Eduardo Arana, informó que los ciudadanos que consideren vulnerados sus derechos pueden presentar denuncias a través de la mesa de partes presencial o virtual del ministerio en este enlace o comunicarse al teléfono 204-8020, anexo 2410.

En mayo de 2024, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi) ya había sancionado al BCP por incumplir con el procedimiento establecido para el cierre de una cuenta de ahorros que permaneció inactiva por diez años. En julio del mismo año, los sistemas del banco presentaron una falla, lo que afectó los servicios de pago y los canales digitales disponibles para los clientes.

Como consecuencia, el organismo inició una investigación preliminar con el objetivo de evaluar posibles infracciones al Código de Protección y Defensa del Consumidor. Indecopi exhortó al BCP y a otras empresas a tomar medidas para prevenir errores operativos, garantizar una comunicación clara e implementar acciones oportunas para revertir los problemas ocasionados.

En octubre de 2024, el BCP fue nuevamente sancionado por un caso registrado en Chimbote, donde no garantizó la protección de una clienta frente a operaciones fraudulentas en su cuenta de ahorros. Según la resolución, se identificaron dos transferencias no autorizadas por montos de S/ 2,000 y S/ 1,914, además de un cargo erróneo de S/ 4,584. La afectada denunció la falta de una respuesta adecuada de la institución financiera, lo que derivó en la sanción.