Recomendaciones sobre el “Motivo Legítimo”

El Dictamen, al igual que la normatividad mexicana, señala que el tratamiento de los datos biométricos debe basarse en “motivos legítimos”.

Esto compagina con el principio de finalidad de la LFPDPPP antes explicado, el cual se consigna que “el tratamiento únicamente deberá ser llevado a cabo en el ámbito de finalidades determinadas, explícitas y legítimas relacionadas con la actividad del responsable”¹³⁹.

El Dictamen el tratamiento de los datos biométricos deberá basarse en uno de los motivos legítimos previstos en el artículo 7 de la Directiva 95/46/CE.

Por lo anterior, a continuación se citan las recomendaciones sobre este rubro del Dictamen aplicables al “Proyecto”:

139 Dictamen de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, p. 32, Recuperado de:

http://www3.diputados.gob.mx/camara/content/download/231031/621446/file/Version_final_ley_prote ccion_datos_personales.pdf

Fecha de consulta: 16 de febrero de 2016.

125 2.1 Consentimiento

Respecto al consentimiento para el tratamiento de datos biométricos, el Dictamen señala:

“…el consentimiento debe ser una manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan. Debe quedar claro que este consentimiento no puede obtenerse libremente haciendo si se hace obligatoria la aceptación de los términos y condiciones generales, ni mediante posibilidades de exclusión voluntaria. Además, el consentimiento debe ser revocable. […]

En muchos casos en los que se tratan datos biométricos, sin una alternativa válida como una contraseña o una tarjeta de banda magnética, el consentimiento no puede ser otorgado libremente.

[…]”. (Énfasis añadido).

En el caso del “Proyecto”, la utilización de las datos biométricos (huellas dactilares) para la verificación de la identidad de los clientes y no otro medio de autenticación como NIP´s o tarjetas es necesario pues las personas que se presenten por primera vez a una sucursal bancaria no tienen una contraseña o tarjeta para autenticarse. Las huellas dactilares u otros datos biométricos son los únicos datos que una persona lleva consigo que permite que su identidad pueda ser cotejada con la identidad registrada en otra base de datos (en este caso la base del INE).

Para los persona que ya son clientes de la institución y que ya cuenten con una contraseña o NIP que pueda ser utilizada en sucursales como medio de autenticación, se recomienda que una vez superada la comprobación de la identidad del cliente en el primer contacto (cuando aún no es cliente de la institución), se permita al cliente elegir entre continuar con la autenticación por medio de sus huellas cada vez que acuda a una sucursal a realizar una operación o autenticarse por medio del NIP o contraseña designado.

126 En caso de que el cliente opte por ser autenticado con la contraseña o NIP, las huellas dactilares que se utilizaron en el primer contacto deben conservarse por el periodo mencionado en el principio de calidad, por ser información integrante de la contratación, no obstante que no se vayan a utilizar en eventos posteriores como medio de autenticación.

2.2 Contrato

Respecto a que le tratamiento de los datos biométricos se justifique al amparo un contrato, especialmente de prestación de servicios, el documento señala lo siguiente:

“El tratamiento de datos personales puede ser necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado. Sin embargo, cabe señalar que esto se aplica, en general, solo cuando se prestan servicios biométricos puros. Esta base jurídica no se puede utilizar para legitimar un servicio secundario consistente en registrar a una persona en un sistema biométrico. Si tal servicio puede separarse del servicio principal, el contrato por el servicio principal no puede legitimar el tratamiento de datos biométricos. Los datos personales no son bienes que puedan intercambiarse por un servicio, por lo que los contratos que prevean o que ofrezcan un servicio solo bajo la condición de que una persona consienta el tratamiento de sus datos biométricos para otro servicio no puede servir de base jurídica para dicho tratamiento”.

De lo anterior se puede interpretar que el condicionamiento de la prestación del servicio bancario al consentimiento del cliente del tratamiento de sus huellas dactilares es ilegitimo. Sin embargo, de acuerdo con el punto 2.4 siguiente, el condicionamiento del servicio a la verificación de la identidad por medio de biométricos encuentra su justificación por ser una actividad en interés legítimo del responsable del tratamiento como se detalla en dicho apartado.

127 2.3 Obligación jurídica

Sobre este motivo legítimo, el Dictamen señala:

“Otra base jurídica para el tratamiento de datos personales es que este sea necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del mismo. Es el caso, por ejemplo, en algunos países alexpedir o utilizar los pasaportes¹⁴⁰y los visados¹⁴¹.”

Al respecto, es importante mencionar que las instituciones financieras solo están obligadas por ley a recabar de sus clientes para su identificación los datos señalados en las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito señalados el apartado “Facultades de las instituciones financieras para el tratamiento de las huellas dactilares de los clientes como segundo medio de identificación” en cuyo listado no se encuentran las huellas dactilares, de lo que resulta que la recolección de las huellas dactilares no es una obligación jurídica a la que se encuentren sujetas estas instituciones.

140 Las impresiones dactilares se han integrado en los pasaportes, en cumplimiento de lo dispuesto en el Reglamento UE nº 2252/2004 del Consejo, de 13 de diciembre de 2004, y en los permisos de residencia, de conformidad con lo dispuesto en el Reglamento UE nº 1030/2002 del Consejo, de 13 de junio de 2002.

141 El registro de identificadores biométricos en el Sistema de Información de Visados (VIS) fue creado por el Reglamento (CE) nº 767/2008, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS). Véase también el Dictamen n° 3/2007 sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica la Instrucción consular común dirigida a las misiones diplomáticas y oficinas consulares de carrera en relación con la introducción de datos biométricos y se incluyen disposiciones sobre la organización de la recepción y la tramitación de las solicitudes de visado [COM (2006) 269 final]. WP134, Dictamen 2/2005 sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros [COM (2004) 835 final] WP 110; Dictamen 7/2004 sobre la inclusión de elementos biométricos en los permisos de residencia y visados teniendo en cuenta la creación del Sistema de Información de Visados (VIS) WP 96.

128 Por lo anterior, las instituciones financieras no podrían justificar el tratamiento de las huellas dactilares bajo este motivo señalado por el Dictamen.

2.4 Interés legítimo perseguido por el responsable del tratamiento Como tercer motivo legítimo el Dictamen señala el “interés legítimo perseguido por el responsable del tratamiento”, respecto del cual plantea lo siguiente:

“…el tratamiento de datos biométricos también puede justificarse cuando sea «necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado.

Esto significa que hay casos en que la utilización de los sistemas biométricos es del interés legítimo del responsable del tratamiento de los datos. Este interés, no obstante, solo es legítimo cuando el responsable del tratamiento puede demostrar que su interés prevalece objetivamente sobre el derecho de los interesados a no estar registrados en un sistema biométrico. Por ejemplo, cuando la seguridad de zonas de riesgo elevado debe garantizarse específicamente mediante un mecanismo que pueda verificar con precisión si las personas tienen derecho de acceso a estas zonas, la utilización de un sistema biométrico puede ser del interés legítimo del responsable del tratamiento de datos”. (Énfasis añadido).

Al respecto, es importante mencionar que el tratamiento de las huellas dactilares en el “Proyecto” se realizará con el objeto de reforzar el proceso de verificación de identidad de sus clientes, a efecto de evitar el acceso o la operación de las cuentas bancarias de un cliente a un tercero no autorizado, como es el caso de los defraudadores, pues de esto se podría derivar controversias judiciales entre el cliente y la institución, las cuales generarían gastos y costas en los procesos judiciales para las instituciones, pérdidas económicas por los reembolsos que tendrá que realizar a los usuarios cuyas procesos judiciales o administrativos prosperen, así como el eventual desprestigio en la reputación de la institución en caso de que la suplantación

129 de identidad y el engaño a los ejecutivos de sus sucursales se convirtiera en

una práctica habitual, y actualmente no existe un medio alternativo menos invasivo para verificar la originalidad de la credencial para votar al momento en que el cliente o el usuario se presentara en sucursal. Por lo anterior, se concluye que el tratamiento de datos biométricos del “Proyecto” redunda en un interés legítimo de las instituciones financieras, lo cual es un motivo legítimo para el tratamiento de las huellas dactilares.