Los datos biométricos son una categoría especial de datos sensibles, ya que son únicos e inalterables, relacionados a las características físicas, fisiológicas o conductuales de una persona, que permiten identificarlas o autenticar su identidad. A poco de haber iniciado el año se conoció que el Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), sancionó al Banco de Crédito del Perú (BCP) con una multa de S/ 124,200 (27 UIT) por la recopilación excesiva y desproporcionada de datos biométricos faciales de sus usuarios.
Estos datos personales eran obtenidos cuando los usuarios, sean o no clientes de la entidad financiera, utilizaban el Libro de Reclamaciones Virtual, con la finalidad de presentar sus quejas o reclamos.
Abel Revoredo Palacios, abogado especializado en Negocios Digitales, Tecnologías de la Información y de las Telecomunicaciones, comentó a Gestión que todas las empresas están obligadas a cumplir con lo que indica la Ley de Protección de Datos Personales, “y los bancos tienen además una norma especial sobre ciberseguridad”.
“Como informacional personal tenemos a cualquier dato que identifique o pueda hacer identificable a una persona, es decir, su nombre, correo electrónico, así como la información biométrica, (el iris del ojo, la huella digital, el rostro). Todas las empresas del Perú que quieran guardar, utilizar o generar negocios utilizando datos personales, tienen una serie de obligaciones que cumplir, entre ellas, la autorización de cada personas que está en la base de datos”, explicó.
Lo anterior implica que la empresa tenga formularios -físicos o virtuales- donde las personas autoricen guardar la información.
“Otra obligación importante es registrar datos personales ante la ANPD. Otra obligación es tener una ventanilla ARCO, (Acceso, Rectificación, Cancelación y Oposición), donde se atienden las solicitudes de los ciudadanos en relación a sus datos personales”, sostuvo.
No obstante, para el socio del Estudio Revoredo, la obligación más importante son las de seguridad. “Las personas nos están entregando sus datos y tenemos que cuidarlos, y ello implica evitar que accedan a esa información personas no autorizadas; y para eso hay que aplicar una serie de medidas técnicas y legales”.
En el lado técnico implica seguridad en los sistemas: controles de cables, niveles de acceso. Mientras que, desde el punto legal está el consentimiento, los disclaimer de cookies.
Los errores más comunes al implementar biometría
Para Revoredo Palacios el error más comunes que comenten las empresas -además de no tener el consentimiento de los usuarios para guardar sus datos- es excederse en la finalidad.
“Si tengo una pizzería y le pido su correo al comensal para enviarle promociones, no puedo enviarle información de otra cosa. No puedo usar sus datos para otras cosas distintas. El tema de la finalidad es importante, porque muchas empresas dicen: ya que tengo el correo, lo voy a usar para otros productos que tengo”, subrayó.
Agregó también que hay sanciones por uso de imágenes de menores, de colegios y universidades. “En salud también hay sanciones, porque son datos sensibles y como tal, requieren de un consentimiento especial”.
Cabe precisar que los datos sensibles son aquellos que puede afectar la ‘esfera íntima de la persona’. Es decir, los relacionados con la salud, orientación sexual, afiliación política o creencias religiosas.
Por su parte, Alberto Juárez, vicepresidente de verificación de identidad en Sovos, indicó que “uno de los principales es no informar adecuadamente a los usuarios sobre cómo y para qué se utilizarán sus datos biométricos, lo que genera desconfianza y posibles incumplimientos legales”.
De otro lado, dijo que hay otras organizaciones que carecen de medidas de almacenamiento seguras, dejando los datos vulnerables a ciberataques, o utilizan tecnologías desactualizadas que fallan en los procesos de verificación.
Otro error común -menciona el especialista- es la falta de un propósito claro para el uso de la biometría, recurriendo incluso a la captura indiscriminada de datos sin evaluar cuáles son estrictamente necesarios, lo que puede generar fricciones adicionales. “A esto se suma la ausencia de pruebas extensivas y monitoreo constante, factores clave para garantizar el correcto funcionamiento del sistema”.
Biometría en Perú
El vicepresidente de verificación de identidad en Sovos, empresa de soluciones tecnológicas para la identidad digital, comentó que la adopción de la biometría digital en Perú ha crecido significativamente, duplicándose en el último año y con un prometedor incremento del 50% en la verificación facial proyectado.
Sin embargo, el país enfrenta desafíos clave: la limitada conectividad, el desconocimiento tecnológico y una regulación menos robusta en comparación con otros países de la región.
Además, menciona que la falta de capacitación adecuada en biometría entre empleados y directivos frena su implementación efectiva, mientras que las preocupaciones sobre seguridad y privacidad agravan la reticencia de las empresas.
¿Cómo debe aplicarse el manejo de los datos personales?
Para garantizar el correcto manejo de los datos biométricos, las organizaciones deben cumplir con lineamientos normativos esenciales que prioricen la protección y seguridad de la información.
“Esto comienza con el consentimiento informado, asegurando que los usuarios comprendan y aprueben explícitamente el uso de sus datos. Además, es fundamental definir un propósito claro para el tratamiento de datos. Almacenar los datos en entornos seguros utilizando estándares internacionales como ISO 27001, y establecer límites específicos para el tiempo de retención”, comenta Juárez.
La implementación de auditorías regulares ayuda a identificar posibles brechas y prevenir sanciones, mientras que la capacitación continua del personal asegura el cumplimiento de normativas locales e internacionales. Estas medidas fortalecen la confianza de los usuarios y minimizan riesgos operativos.
Recomendaciones de buenas prácticas
La implementación de biometría en los procesos empresariales es una oportunidad para aumentar la seguridad, mejorar la experiencia del usuario y optimizar operaciones. Sin embargo, para garantizar su éxito, es crucial adoptar un enfoque estratégico que combine tecnología avanzada, cumplimiento normativo y un diseño centrado en el usuario.
El ejecutivo de Sovos señala algunas de las mejores prácticas esenciales:
- Diseño centrado en el usuario: Facilitar la comprensión del proceso de registro y uso de biometría. Brindar transparencia sobre la finalidad del uso de los datos biométricos.
- Cumplir normativas desde el inicio: Integrar medidas de protección de datos desde la fase de diseño de las soluciones biométricas. Garantizar el cumplimiento de leyes locales e internacionales desde el primer momento.
- Implementar seguridad robusta: Cifrar los datos biométricos durante su almacenamiento y transmisión.
- Capacitación al equipo: Educar a los empleados sobre cómo operar, mantener y garantizar el correcto funcionamiento de las soluciones biométricas.
- Realizar auditorías externas: Contratar especialistas en protección de datos para validar el cumplimiento normativo y garantizar la integridad del sistema.
- Simular casos de uso: Probar la tecnología en escenarios reales para asegurar su eficacia y precisión, anticipando posibles fallos o desafíos operativos.
- Evaluar proveedores: Trabajar con proveedores confiables que cumplan con altos estándares de calidad, seguridad y ética en el desarrollo e implementación de tecnología biométrica.
Dato
La ANPD recuerda que el tratamiento de datos personales que efectúen las entidades debe limitarse estrictamente a la realización de sus operaciones, y tiene que estar vinculado a un fin concreto, explícito y lícito. Esto implica que solo deben ser objeto de tratamiento los datos personales necesarios, adecuados y relevantes en relación a las finalidades para las que se hayan obtenido.
Editora digital. Licenciada en Ciencias de la Comunicación, con especialización en periodismo. Experiencia en prensa escrita, digital y TV.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
