El uso de la biometría en el sector financiero

El 08 de enero de 2026, la Ilma. Corte de Apelaciones de Santiago acogió un recurso de protección (ROL 17779-2025) interpuesto por un cliente en situación de discapacidad en contra de un Banco, a propósito de la exigencia obligatoria de reconocimiento facial para reinstalar la aplicación móvil de la misma entidad.

Ghislaine Abarca

El caso se origina cuando el Banco condiciona el acceso a sus productos y servicios financieros (digitales y presenciales) a la validación de identidad a través de biometría facial del titular de la cuenta bancaria, lo cual le resultaba especialmente difícil en virtud de su situación. El recurrente argumentó que no se ofrecieron alternativas inmediatas y accesibles que permitieran validar su identidad, pese a que él ya utilizaba previamente otros métodos de autenticación (como BE Pass o códigos SMS), advirtiendo, incluso, la posibilidad de que se le restringiera el acceso a sus productos y servicios en caso de negativa a someterse a dicho mecanismo de autenticación.

Así, el recurrente interpone contra el banco un recurso de protección en la Ilustrísima Corte de Apelaciones de Santiago, por la vulneración de la garantía constitucional del respeto y protección a la vida privada y a los datos personales, consagrada en el artículo 19 N° 4 de la Constitución Política de la República, así como a lo dispuesto en los artículos 2, 4 y 9 de la Ley N° 19.628, sobre Protección de la Vida Privada, entre otras disposiciones legales aplicables. Y, principalmente, solicita:

— Que cese inmediatamente la exigencia de reconocimiento facial para acceder a los servicios bancarios.

— Que se restablezca el acceso pleno a sus productos financieros mediante los métodos de validación previos.

— Que el banco elimine toda información biométrica recolectada sin consentimiento válido.

Posterior a la interposición del recurso, funcionarios de la institución acudieron al domicilio del recurrente para ayudarlo a la reinstalación de la aplicación móvil, sin embargo, éstos no tuvieron éxito sino hasta después de 3 intentos fallidos de validación biométrica, momento en el que recién la aplicación permitió acceder a otros métodos de autenticación.

El banco recurrido señaló que esto responde a una obligación contenida en una Norma de Carácter General emitida por la Comisión para el Mercado Financiero (NCG N°538 CMF), norma que incorpora la obligación de una “autenticación reforzada” para la “autenticación, incorporación de dispositivos de confianza y para su reemplazo o eliminación” El banco señala, además, que esta exigencia sería solo para registrar la aplicación móvil y que, posteriormente, podrían seguir utilizando los métodos alternativos.

¿Qué resolvió la Ilma. Corte de Apelaciones de Santiago?

En el señalado fallo, Ilma. Corte determinó que:

— La autenticación reforzada exigida por la normativa sectorial (NCG N°538 CMF) no impone ni prescribe el uso exclusivo de biometría facial como único método de autenticación.

— La elección de dicho método de validación y activación no fue realizada libremente por el recurrente, y el acceder a mecanismos alternativos fue condicionado a 3 intentos previos de biometría fallidos.

— Existen otros mecanismos igualmente robustos y menos intrusivos, que cumplen con los estándares de seguridad exigidos, métodos que, por lo demás, serían accesibles para todos los usuarios.

— Imponer el reconocimiento facial como único método inicial, especialmente tratándose de una persona con discapacidad y de un tratamiento de datos biométricos, constituye un acto arbitrario e ilegal, sin que exista, al menos, un consentimiento informado.

— El banco, al ser un proveedor de servicios financieros esenciales, tiene el deber reforzado de garantizar universalidad y accesibilidad de sus servicios, incluyendo los digitales.

Como consecuencia, la Ilma. Corte no solo ordenó cesar la exigencia obligatoria de reconocimiento facial como único método excluyente de autenticación inicial para el acceso a los servicios del recurrente, sino que también restablecer el acceso por medios alternativos. Finalmente, ordenó al Banco adoptar en sus plataformas y procedimientos digitales ajustes razonables que garanticen servicios financieros universales y accesibles.

Una lectura en armonía con la nueva normativa de protección de los datos personales.

Aunque el fallo se dicta bajo la vigencia de la actual Ley N° 19.628, sin perjuicio de ello, su razonamiento dialoga directamente con las modificaciones introducidas por la Ley 21.719.

En particular, este fallo conversa con principios fundamentales para la protección de los datos personales, tales como:

— Principio de proporcionalidad y minimización: si la finalidad (seguridad y autenticación) puede lograrse mediante mecanismos menos intrusivos y universales, no resulta proporcional exigir biometría.

— Consentimiento libre e informado: Tratándose de datos biométricos, el consentimiento del titular debe ser previo, expreso, específico e informado, y no puede entenderse válidamente otorgado cuando la biometría se impone como requisito obligatorio o como mecanismo por defecto. La persona debe contar con una alternativa real, equivalente y no discriminatoria para acceder al servicio, de modo que su consentimiento no se vea viciado por una situación de dependencia, desequilibrio o falta de opciones razonables.

— Protección de datos desde el diseño y por defecto: Las plataformas digitales deben diseñarse considerando diversidad de usuarios, evitando exclusiones estructurales. La biometría no puede transformarse en la solución “por defecto”, sino que debe evaluarse caso a caso.

Así, por tanto, la Ilma. Corte resolvió alineada con estándares comparados y con el enfoque de gestión de riesgos que exigirá la nueva normativa nacional que, además, tiene en consideración que los sistemas automatizados, y que muchas veces introducen el uso de inteligencia artificial para su toma de decisiones, pueden generar barreras indirectas para ciertos grupos, lo que exige un análisis reforzado de riesgos.

Este fallo es relevante, ya que nos reafirma la idea de que, si existen alternativas menos intrusivas y más universales que permiten alcanzar el mismo nivel de seguridad, se debe optar por estas.

Tal como podemos desprender de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos dictada por la Agencia Española de Protección de Datos esta materia toma especial relevancia cuando nos encontramos frente a un desequilibrio de poder, como sería una institución bancaria v/s un cliente, ya que condiciona el consentimiento libre a circunstancias excepcionales, donde la decisión de dar o no ese consentimiento no conlleve consecuencias adversas. No obstante, es la misma guía de la AEPD la que señala que la existencia de tratamientos u opciones equivalentes, que impliquen menor riesgo para los derechos y libertades de las personas, implica que el tratamiento de datos biométricos deja de ser necesario.

Las instituciones bancarias y financieras se enfrentan actualmente a un aumento en el número de fraudes que exigen un deber reforzado en cuanto a la toma de medidas de seguridad reforzadas, pero que también exigen que la respuesta ante esta problemática no puede ser simplemente el “solicitar más datos” o “introducir controles más restrictivos”, sino una mejor gobernanza de los datos y mejores decisiones de diseño, en particular, cuando se utilicen métodos como la biometría facial que con llevan elevados riesgos para los derechos de los interesados.

Así las cosas, este fallo cuestiona el uso de biometría cuando se realiza de un modo excluyente y sin consideración al principio de proporcionalidad, lo que se convierte en una exigencia para el sector financiero (y probablemente para todos) de diseñar servicios digitales que sean seguros, pero a la vez proporcionales y verdaderamente universales.

Ghislaine Abarca es asociada del Área de Protección de Datos Personales y Compliance de ECIJA CHILE.

También te puede interesar:
— Protección de datos personales: ¿la norma puede quedarse anclado únicamente en el consentimiento?
— Una nueva institucionalidad para la protección de datos personales en Chile
— Qué aprender de Europa para la nueva Ley de Protección de Datos Personales de Chile