La Superintendencia de Industria y Comercio (SIC) ha impuesto una sanción de $214,4 millones a Mercado Libre Colombia por infringir las normas de protección de datos personales. La multa surge después de que la autoridad comprobó que la plataforma de comercio electrónico condicionaba el acceso a las cuentas de usuario a la entrega de información biométrica, específicamente a través del reconocimiento facial, lo que constituye una violación de la Ley 1581 de 2012 sobre protección de datos personales.
Ante esta situación, la cual es considerada irregular por la SIC, la entidad ordenó eliminar esta práctica y recordó que el uso de datos sensibles está prohibido, salvo en casos expresamente autorizados por la ley.
Una práctica prohibida
Según la SIC, el reconocimiento facial utilizado por Mercado Libre para autenticar a los usuarios está catalogado como dato biométrico sensible, el cual está regulado por estrictas normativas en Colombia. El uso de este tipo de datos está prohibido en la legislación nacional, salvo en casos expresamente autorizados por la ley.
«La entidad ordenó eliminar esta práctica y recordó que el uso de datos sensibles está prohibido, salvo en casos expresamente autorizados por la ley«, Superintendencia
“En este caso, la Dirección comprobó que la empresa investigada desconoció la prohibición de tratamiento de datos personales sensibles, en especial, al condicionar el acceso a la cuenta de una persona al suministro de su información biométrica, a través de reconocimiento facial”, señaló la entidad.
La Superintendencia explicó que, al exigir este tipo de información sin justificación legal, la empresa vulneró el derecho al habeas data, que protege la privacidad de los usuarios frente al tratamiento de sus datos personales. Además, la SIC determinó que Mercado Libre se negó a eliminar los datos biométricos de los usuarios de sus bases de datos, lo que agrava la infracción.
¿Qué ordenó la Superintendencia?
En respuesta a esta práctica, la SIC ordenó a Mercado Libre suspender de inmediato cualquier mecanismo que condicione el acceso o la creación de cuentas en su plataforma al suministro de datos biométricos. De igual manera, se instruyó a la empresa para que ofrezca opciones alternativas de autenticación que no impliquen el uso de información biométrica.
La Superintendencia también reiteró que, conforme a la ley, el tratamiento de datos sensibles solo puede realizarse bajo autorización expresa del titular y siempre que sea necesario para la prestación del servicio o para cumplir con una obligación legal.
El uso indebido de datos biométricos
El reconocimiento facial y otras formas de datos biométricos son considerados sensibles porque pueden revelar aspectos de la identidad personal de una persona que afectan su intimidad, como su origen racial o étnico, su salud, o su vida sexual. Por esta razón, la recolección y tratamiento de estos datos está restringido y solo se permite bajo circunstancias muy específicas.
Según el artículo 5 de la Ley 1581 de 2012, los datos biométricos no pueden ser recolectados sin una base legal sólida y, en todo caso, debe garantizarse que los usuarios sean plenamente informados sobre el uso que se dará a su información personal.
