Los bancos no podrán exigir a los clientes sus datos biométricos
La Agencia Española de Protección de Datos concluye que las entidades están en su derecho de ofrecer esta tecnología para validar operaciones, pero solo cuando los usuarios den su consentimiento
Las entidades bancarias podrán seguir usando los datos biométricos de sus clientes, como la huella dactilar o el reconocimiento facial, como método de autenticación para realizar operaciones. Pero en ningún caso tendrán derecho a exigir esa información en el momento de abrir una cuenta. Así lo concluye la Agencia Española de Protección de Datos (AEPD) en un informe presentado el viernes por su gabinete jurídico, en el que se deja claro que dichos datos solo se podrán solicitar con carácter voluntario.
Según ha podido saber EL ...
Las entidades bancarias podrán seguir usando los datos biométricos de sus clientes, como la huella dactilar o el reconocimiento facial, como método de autenticación para realizar operaciones. Pero en ningún caso tendrán derecho a exigir esa información en el momento de abrir una cuenta. Así lo concluye la Agencia Española de Protección de Datos (AEPD) en un informe presentado el viernes por su gabinete jurídico, en el que se deja claro que dichos datos solo se podrán solicitar con carácter voluntario.
Según ha podido saber EL PAÍS, el citado informe responde a un proyecto presentado en el marco del llamado sandbox o banco de pruebas para la transformación digital del sector financiero, un entorno seguro para probar innovaciones tecnológicas en el ámbito de las fintech antes de su comercialización puesto en marcha el año pasado por el Gobierno y en el que participa la AEPD. Una entidad bancaria, cuya identidad no puede revelar la agencia, planteó “el tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas (...) de prevención del blanqueo de capitales y de la financiación del terrorismo (...), así como del control del fraude”, lee el informe.
La respuesta es contundente. Como a fecha de hoy no hay una ley que especifique los supuestos en los que cabe apelar al interés general para solicitar datos biométricos, ni que fije las garantías y salvaguardas necesarias, debe primar la privacidad de los ciudadanos. “La propuesta de tratamiento de datos basados en el reconocimiento facial con fines de identificación (...) carece de base de legitimación (...) y es contraria a los principios de necesidad, proporcionalidad y minimización”. En plata: no se puede pedir a los clientes que aporten sus datos biométricos si ellos no quieren.
Los informes del gabinete jurídico de la AEPD marcan el criterio que seguirá la agencia en caso de conflicto. En otras palabras, es un aviso a navegantes de que si hay una denuncia sobre este tema en particular, la entidad afectada tendrá las de perder.
Los argumentos esgrimidos por la AEPD son similares a los expuestos en la sentencia del Tribunal Constitucional que tumbó la normativa que permitía a los partidos políticos crear perfiles ideológicos de los ciudadanos. “El Constitucional ya dijo que aunque hay una prohibición general de tratar datos biométricos, en caso de que hubiera un interés público esencial podría hacerse. Pero tendrían que fijarse muy claramente por ley los supuestos, las medidas organizativas para proteger los datos, las garantías, etcétera”, subraya Borja Adsuara, experto en Derecho Digital y uno de los impulsores del citado recurso ante el Constitucional. El recurso se ganó: la sentencia tardó solo dos meses en publicarse y tumbó la normativa por unanimidad de los magistrados.
El informe de la AEPD cita también el caso de Mercadona. La cadena de supermercados puso en marcha el año pasado en 40 establecimientos de Mallorca, Valencia y Zaragoza una red de cámaras de vigilancia dotados de un sistema de reconocimiento facial. Su objetivo, según reveló a posteriori la compañía, era identificar a delincuentes fichados. La Audiencia Provincial de Barcelona resolvió en febrero de este año que “el nivel de intrusión en la vida de los interesados” era desproporcionado. Se instó a la compañía a retirar el sistema. “Los mismos que interpusimos el recurso ante el Tribunal Constitucional por los partidos políticos dijimos que nos parecía excesivo lo de Mercadona: para identificar a cuatro rateros no hace falta tomar los datos biométricos de todos los clientes. Eso olía mal. Y nos han dado la razón”, sostiene Adsuara.
Identificación facial y huella dactilar
Las aplicaciones móviles de los bancos cada vez le roban más protagonismo a las sucursales bancarias. Casi todo se puede hacer hoy desde el móvil. Para agilizar los trámites y ahorrarle a los clientes la memorización de contraseñas, algunas entidades ofrecen a día de hoy la opción de entrar en sus respectivas apps con su huella dactilar o con el reconocimiento de su rostro. Ambos métodos son posibles gracias a los sensores que incorporan los teléfonos inteligentes de última generación y su uso va a más, tanto en el sector bancario como en otros.
El BBVA se convirtió en junio en el primer banco que permite firmar operaciones con la cara. Otras entidades, como Banco Santander, incorporan el reconocimiento de huella dactilar como medida adicional de seguridad para realizar algunas operaciones, entre ellas validar compras online. Todo esto podrá seguir haciéndose de forma voluntaria: lo que especifica el informe de la AEPD es que no se pueda obligar a los clientes a aportar datos biométricos.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.