Los bancos no podrán exigir a los clientes sus datos biométricos
Los datos biométricos se utilizan habitualmente con fines de seguridad y de autenticación.
Estas son las finalidades más habitualmente perseguidas por los bancos, ya que mucha de la información personal que tratan de sus usuarios revisten una especial sensibilidad, al tratarse de datos bancarios y financieros sobre las personas, cuya protección es de vital importancia para la mayoría de usuarios.
Con este objetivo los bancos habitualmente utilizan los datos biométricos con la finalidad de permitir a sus usuarios la autenticación por medio de sus rasgos físicos, de forma que puedan identificarse con mayor seguridad a la hora de acceder a su información bancaria.
Asimismo, los bancos utilizan también los datos biométricos de sus clientes con la finalidad de prevenir el fraude en las operaciones, el blanqueo de capitales y la financiación del terrorismo.
Sin embargo, ¿es legal que los bancos obliguen a sus clientes a proporcionar sus datos biométricos? En este artículo te explicamos la posición de la AEPD al respecto.
¿Qué son los datos biométricos?
Según la definición del Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.
Así, por ejemplo, las imágenes faciales o huellas dactilares son datos biométricos de acuerdo con la definición anterior.
Datos biométricos son, por tanto, aquellos que posibiliten la identificación de una persona física a través de procesos técnicos que recopilen información relativa al aspecto físico, corporal o conductual de una persona.
Con la aprobación del RGPD hace ya algunos años, los datos biométricos obtuvieron la condición de categorías especiales de datos, lo que significa que disfrutan de una mayor protección y que su tratamiento está sometido a mayores exigencias.
Utilizables pero no exigibles, concluye la AEPD
La Agencia Española de Protección de Datos (AEPD) se ha pronunciado recientemente sobre la utilización de datos biométricos por parte de las entidades bancarias.
A este respecto, la AEPD determina que los bancos podrán seguir usando los datos biométricos de sus clientes, como la huella dactilar o el reconocimiento facial, como método de autenticación para realizar operaciones, pero en ningún caso tendrán derecho a exigir esa información en el momento de abrir una cuenta, dejando claro la AEPD que dichos datos solo se podrán solicitar con carácter voluntario.
El informe de la AEPD se dictado en respuesta a una consulta proveniente de una entidad bancaria que planteaba “el tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas (…) de prevención del blanqueo de capitales y de la financiación del terrorismo (…), así como del control del fraude”.
Dado que actualmente no existe una ley que regule los casos en los que cabe apoyarse en el interés general para el tratamiento de datos biométricos, ni que fije las garantías y salvaguardas necesarias, debe prevalecer la privacidad de los ciudadanos. La respuesta de la AEPD es tajante: “La propuesta de tratamiento de datos basados en el reconocimiento facial con fines de identificación (…) carece de base de legitimación (…) y es contraria a los principios de necesidad, proporcionalidad y minimización”.
En definitiva, no es lícito solicitar a los clientes que aporten sus datos biométricos si ellos no quieren.
Argumentos esgrimidos por la AEPD
Los argumentos utilizados por la AEPD son parecidos a los expuestos en la sentencia del Tribunal Constitucional que acabó con la normativa que permitía a los partidos políticos crear perfiles ideológicos de los ciudadanos. Como ya estableciera el Tribunal Constitucional en su día, aunque hay una prohibición general de tratar datos biométricos, su tratamiento podría llevarse a cabo en caso de que existiera un interés público esencial que debiese prevalecer sobre la privacidad de dichos datos. No obstante, el Constitucional señalaba que fijarse muy claramente por ley los supuestos, las medidas organizativas para proteger los datos, las garantías y otras salvaguardas necesarias.
El informe de la AEPD cita también el caso de Mercadona, que puso en marcha el año pasado en algunos establecimientos una red de cámaras de vigilancia dotadas de un sistema de reconocimiento facial.
Según argumentaba la compañía, su objetivo era identificar a delincuentes fichados. Sobre este caso se pronunció la Audiencia Provincial de Barcelona, que consideró que la injerencia en la vida y en la privacidad de los interesados era desproporcionado, ya que para identificar a potenciales delincuentes no era necesario realizar un tratamiento masivo de los datos biométricos de todos sus clientes.
Con una lógica similar al caso de Mercadona, la AEPD ha determinado en este caso que los bancos pueden tratar datos biométricos de sus clientes con determinados fines, pero únicamente en aquellos casos en los que dichos clientes hayan accedido voluntariamente a proporcionarlos.
José María Baños es el socio fundador de Letslaw y abogado multidisciplinar.
Está especializado en derecho mercantil, derecho procesal y en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.