La AEPD ha emitido un informe desfavorable al uso de sistemas de reconocimiento facial como método de autenticación en entidades bancarias para cumplir con las obligaciones legales en materia de prevención de blanqueo de capitales y financiación del terrorismo (PBC/FT). En concreto, el proyecto que se planteó a la Agencia buscaba la posibilidad de legitimar este tratamiento en base al interés público como es la prevención de blanqueo de capitales y la financiación del terrorismo y así, que fuera de manera obligatoria.
En este sentido, la AEPD argumenta que la legislación sobre PBC/FT contiene la posibilidad de otros medios que también sirven de identificación, y es precisamente por este motivo, por el que se descarta el tratamiento de este dato especialmente protegido basándose en el 9.2.g) del interés público del RGPD.
Por otro lado, la Agencia también estudia la posibilidad de basar este tratamiento de datos biométricos en el consentimiento de los usuarios, en la que apuntó que dicho tratamiento si podría fundamentarse en esta base legitimadora siempre que se cumplan los requisitos exigidos por el artículo 7 del RGPD.
Por lo mencionado anteriormente, el informe concluye indicando que hacer uso de esta tecnología de manera obligatoria para cumplir con la ley de PBC/FT sería una medida desproporcionada, contraria a los principios de minimización del dato, proporcionalidad y necesidad. El uso del reconocimiento facial en este ámbito llevaría al tratamiento masivo de un dato que goza de especial protección en nuestro ordenamiento, que afectaría tanto a clientes como a potenciales clientes a pesar del riesgo para los derechos fundamentales que este tratamiento conlleva. Por ello, los bancos podrán seguir usando el sistema de reconocimiento facial o dactilar de sus clientes para autenticarse, pero no podrán exigir que sea obligatorio cuando los clientes deseen abrirse una cuenta bancaria.