Recientemente, se publicó el borrador de un proyecto de Circular Externa emitida por la SIC que busca establecer lineamientos claros sobre el tratamiento de datos personales en la industria fintech. Un aspecto especialmente relevante (y que ha generado amplio debate) es el tratamiento de datos biométricos, regulado específicamente en los numerales 6 y 7 del documento.
En este blog, hacemos nuestros comentarios sobre este punto, especialmente en lo que se refiere a los límites de la voluntariedad, la proporcionalidad del tratamiento y la claridad normativa en torno al uso de datos sensibles.
La regulación vigente reconoce que los datos biométricos son datos personales sensibles, y por tanto su tratamiento está sujeto a una protección reforzada. El principio de voluntariedad prohíbe condicionar el acceso a servicios financieros al suministro de este tipo de datos. Sin embargo, este principio no impide que, en ciertos contextos, el tratamiento de datos biométricos pueda ser considerado necesario, adecuado y proporcional.
Específicamente, el uso de estos datos puede constituir un mecanismo legítimo de mitigación de riesgos, en escenarios donde exista una amenaza real de suplantación de identidad, fraude digital o acceso indebido a información confidencial. En actividades financieras de alto riesgo, como la celebración de contratos de crédito, la autenticación mediante firma electrónica avanzada o el acceso a activos digitales, el tratamiento de datos biométricos puede ser una medida técnica eficaz y razonablemente exigible, en el marco de esquemas de autenticación multifactor.
En estos casos, el uso de datos biométricos no debe entenderse como una imposición arbitraria, sino como una respuesta técnica proporcional al nivel de riesgo, siempre que se cumplan ciertas condiciones:
En conclusión, si bien el uso de datos biométricos no debe ser obligatorio por defecto, sí puede ser exigible en casos excepcionales y debidamente justificados, como mecanismo para proteger la integridad de los servicios financieros y prevenir delitos tecnológicos que afectan tanto a las entidades como a los usuarios.
Esta visión busca un equilibrio entre el derecho a la protección de datos personales y la necesidad de adoptar medidas razonables de seguridad en un entorno digital cada vez más expuesto al riesgo de fraude e intrusiones.
Un aspecto adicional que merece atención es que el texto del proyecto señala que, en caso de tratamiento de datos personales sensibles (en particular biométricos), el responsable deberá implementar “medidas de seguridad adicionales que garanticen la protección de la información”. No obstante, el documento no define ni enumera dichas medidas, lo que genera un grado considerable de indeterminación normativa y riesgo de inseguridad jurídica, tanto para los responsables del tratamiento como para los propios titulares.
Igualmente, el proyecto introduce el concepto de “diligencia reforzada” en la recolección y tratamiento de estos datos sensibles. Sin embargo, no se precisa en qué consiste este estándar, ni cómo debe aplicarse, lo cual deja un vacío normativo que podría dificultar la supervisión por parte de las autoridades y el cumplimiento por parte de las empresas del sector.
Es fundamental que estos conceptos (“medidas de seguridad adicionales” y “diligencia reforzada”) sean reglamentados o interpretados mediante lineamientos técnicos claros, que brinden certeza jurídica a todos los actores del ecosistema: entidades financieras, desarrolladores tecnológicos, plataformas fintech y, por supuesto, los titulares de los datos. Solo así será posible proteger efectivamente los derechos de las personas, sin frenar la innovación en servicios financieros digitales.
