La Agencia Española de Protección de Datos concluye que las entidades están en su derecho de ofrecer esta tecnología para validar operaciones, pero solo cuando los usuarios den su consentimiento
Las entidades bancarias podrán seguir usando los datos biométricos de
sus clientes, como la huella dactilar o el reconocimiento facial, como método
de autenticación para realizar operaciones. Pero en ningún caso tendrán derecho
a exigir esa información en el momento de abrir una cuenta. Así lo concluye la
Agencia Española de Protección de Datos (AEPD) en un informe presentado el
viernes por su gabinete jurídico, en el que se deja claro que dichos datos solo
se podrán solicitar con carácter voluntario.
Según ha podido saber EL PAÍS, el citado informe responde a un proyecto
presentado en el marco del llamado sandbox o banco de pruebas para la
transformación digital del sector financiero, un entorno seguro para probar
innovaciones tecnológicas en el ámbito de las fintech antes de su
comercialización puesto en marcha el año pasado por el Gobierno y en el que
participa la AEPD. Una entidad bancaria, cuya identidad no puede revelar la
agencia, planteó “el tratamiento de datos de reconocimiento facial en el
momento del alta de clientes en la oficina o a través de un canal online con el
objetivo de verificar su identidad y así realizar las verificaciones oportunas
(...) de prevención del blanqueo de capitales y de la financiación del
terrorismo (...), así como del control del fraude”, lee el informe.
La respuesta es contundente. Como a fecha de hoy no hay una ley que
especifique los supuestos en los que cabe apelar al interés general para
solicitar datos biométricos, ni que fije las garantías y salvaguardas
necesarias, debe primar la privacidad de los ciudadanos. “La propuesta de
tratamiento de datos basados en el reconocimiento facial con fines de
identificación (...) carece de base de legitimación (...) y es contraria a los
principios de necesidad, proporcionalidad y minimización”. En plata: no se
puede pedir a los clientes que aporten sus datos biométricos si ellos no
quieren.
Los informes del gabinete jurídico de la AEPD marcan el criterio que
seguirá la agencia en caso de conflicto. En otras palabras, es un aviso a
navegantes de que si hay una denuncia sobre este tema en particular, la entidad
afectada tendrá las de perder.
Los argumentos esgrimidos por la AEPD son similares a los expuestos en
la sentencia del Tribunal Constitucional que tumbó la normativa que permitía a
los partidos políticos crear perfiles ideológicos de los ciudadanos. “El
Constitucional ya dijo que aunque hay una prohibición general de tratar datos
biométricos, en caso de que hubiera un interés público esencial podría hacerse.
Pero tendrían que fijarse muy claramente por ley los supuestos, las medidas
organizativas para proteger los datos, las garantías, etcétera”, subraya Borja
Adsuara, experto en Derecho Digital y uno de los impulsores del citado recurso
ante el Constitucional. El recurso se ganó: la sentencia tardó solo dos meses
en publicarse y tumbó la normativa por unanimidad de los magistrados.
El informe de la AEPD cita también el caso de Mercadona. La cadena de
supermercados puso en marcha el año pasado en 40 establecimientos de Mallorca,
Valencia y Zaragoza una red de cámaras de vigilancia dotados de un sistema de
reconocimiento facial. Su objetivo, según reveló a posteriori la compañía, era
identificar a delincuentes fichados. La Audiencia Provincial de Barcelona
resolvió en febrero de este año que “el nivel de intrusión en la vida de los
interesados” era desproporcionado. Se instó a la compañía a retirar el sistema.
“Los mismos que interpusimos el recurso ante el Tribunal Constitucional por los
partidos políticos dijimos que nos parecía excesivo lo de Mercadona: para
identificar a cuatro rateros no hace falta tomar los datos biométricos de todos
los clientes. Eso olía mal. Y nos han dado la razón”, sostiene Adsuara.
Identificación facial y huella dactilar
Las aplicaciones móviles de los bancos cada vez le roban más
protagonismo a las sucursales bancarias. Casi todo se puede hacer hoy desde el
móvil. Para agilizar los trámites y ahorrarle a los clientes la memorización de
contraseñas, algunas entidades ofrecen a día de hoy la opción de entrar en sus
respectivas apps con su huella dactilar o con el reconocimiento de su rostro.
Ambos métodos son posibles gracias a los sensores que incorporan los teléfonos
inteligentes de última generación y su uso va a más, tanto en el sector
bancario como en otros.
El BBVA se convirtió en junio en el primer banco que permite firmar
operaciones por la cara. Otras entidades, como Banco Santander, incorporan el
reconocimiento de huella dactilar como medida adicional de seguridad para
realizar algunas operaciones, entre ellas validar compras online. Todo esto
podrá seguir haciéndose de forma voluntaria: lo que especifica el informe de la
AEPD es que no se pueda obligar a los clientes a aportar datos biométricos.
Fuente: El Pais.com