Con el desarrollo de la tecnología se hace cada vez más común el uso de datos biométricos, como son la huella dactilar y el reconocimiento del iris o la retina de los ojos. Los datos biométricos constituyen datos referentes a las características físicas, fisiológicas o de conducta de una persona. Por ende, los datos biométricos pueden constituir datos de carácter personal en aquellos supuestos en que son tratados con el fin de identificar de forma única e inequívoca a una persona.
Los datos biométricos son utilizados para múltiples propósitos prácticos como el control de acceso a edificios corporativos por los empleados de una empresa o el acceso a productos y servicios financieros. En el ámbito de los servicios financieros estos datos juegan un rol importante para que las entidades de intermediación financiera (EIF) y las fintech puedan ofrecer servicios financieros de manera más ágil, eficiente y segura contribuyendo a la vez a la inclusión financiera.
En el año 2022, la Superintendencia de Bancos de la República Dominicana dictó la Circular Núm. 017/22 que contempla los lineamientos para el tratamiento de los datos biométricos de los usuarios de los servicios financieros viabilizando la verificación de la identidad de los usuarios financieros. Entre los principales lineamientos que se contemplan se establece la necesidad de recabar el consentimiento informado y expreso del interesado, el tratamiento de los datos bajo el principio de transparencia, trato equitativo, no discriminatorio o abusivo, pudiendo utilizar los datos solamente para la finalidad que fueron captados. Asimismo, se establece una prohibición a las EIF de almacenar, divulgar o vender los datos a terceros o empresas vinculadas.
Recientemente se dictó la Ley Núm. 4-23 Orgánica de los Actos del Estado Civil (“Ley Núm. 4-23”). Esta pieza legislativa procura una reforma integral en la materia adaptando el Registro Civil a las nuevas tecnologías. Si bien esta ley constituye un importante paso de avance en materia de Registro Civil, la norma crea incertidumbre con relación al régimen jurídico aplicable a los datos biométricos.
Por un lado, la Ley Núm. 4-23 establece que la Junta Central Electoral (JCE) será la encargada de manera exclusiva de recaudar, almacenar y tratar los datos biométricos y proveerá a instituciones de la Administración Pública o entidades privadas el servicio de autenticación y certificación de la identidad de las personas en base a los datos biométricos recopilados.[1] Por otro lado, la ley autoriza a las entidades privadas a recopilar, capturar, procesar y utilizar datos biométricos en caso de que el interesado ofrezca su consentimiento para el tratamiento y en caso de que se le informe a la persona oportunamente que se recopilan sus datos indicando el propósito y el plazo. ¿Cómo conciliar esta facultad exclusiva que la ley otorga a la JCE de recaudar, almacenar o tratar datos biométricos con la posibilidad que tiene el sector privado de recopilar datos biométricos según el artículo 58 de la misma ley?[2]
La mayor confusión se crea cuando la referida Ley Núm. 4-23 indica en su artículo 216 que las instituciones que recauden datos biométricos, o que tengan base de datos biométricos, tendrán un plazo de 60 días luego de la entrada en vigor de la ley -el 18 de enero de 2023- para eliminar esos registros. Esta disposición afecta significativamente los negocios y en especial a las fintech, bajo el entendido de que gran parte de estas empresas utilizan datos biométricos para el desarrollo de sus negocios.
Si bien los datos biométricos constituyen datos especialmente sensibles, lo cual amerita una protección especial, imponer trabas injustificadas para que el sector privado pueda tratar estos datos no parece satisfactorio. La JCE debe dictar un reglamento que estaría llamado a aclarar el régimen jurídico aplicable a los datos biométricos, el cual se espera que brinde una solución equilibrada.
[1] Artículo 59. Captura y custodia de datos biométricos. La JCE está encargada de manera exclusiva de la recaudación, almacenamiento, tratamiento y procesamiento de los datos biométricos de las personas, los cuales se harán de la manera determinada por los reglamentos de aplicación subsiguientes a esta ley. [2] Artículo 58. Prohibición en el uso de datos. Ninguna entidad privada puede recopilar, capturar, procesar y utilizar los datos biométricos de una persona y de un cliente a menos que se cumplan las condiciones siguientes: 1) Informe a la persona, por escrito o mediante medios electrónicos, que se recopila o almacenan sus datos biométricos; 2) Informe a la persona, por escrito o mediante medios, sobre el propósito específico y la duración del plazo para el cual se recopilan, almacenan y utilizan sus datos biométricos; 3) La persona otorgue su consentimiento explícito, libre, específico, informado e inequívoco para el tratamiento de dichos datos biométricos.