La Superintendencia de Industria y Comercio, SIC, impuso una sanción económica a Mercado Libre Colombia LTDA. por incumplir las disposiciones del régimen de protección de datos personales. La multa asciende a $214.405.120, tras comprobarse que la plataforma de comercio electrónico condicionaba el acceso a las cuentas de usuario al suministro de información biométrica, específicamente mediante reconocimiento facial.
La Dirección de Investigaciones de Protección de Datos Personales de la SIC concluyó que esta práctica vulnera el derecho fundamental al habeas data y contraviene la normativa vigente, que prohíbe, salvo excepciones, el tratamiento de datos personales sensibles, como los biométricos. Según la autoridad, Mercado Libre no solo exigía estos datos para permitir el acceso a las cuentas, sino que además se negó a atender solicitudes de eliminación de dicha información de sus bases de datos, desconociendo así los derechos de los titulares.
Como parte de las órdenes administrativas impartidas, la SIC instruyó a Mercado Libre para que elimine cualquier procedimiento, tanto en su aplicación móvil como en su página web, que condicione la creación o el uso de cuentas a la entrega de datos biométricos. Asimismo, la empresa deberá ofrecer múltiples opciones de autenticación, permitiendo a los usuarios elegir el mecanismo que consideren más adecuado.
El organismo de control enfatizó que el manejo de datos biométricos está sujeto a estrictas limitaciones: su recolección solo es permitida cuando existe una norma legal expresa y específica, y siempre bajo el principio constitucional de proporcionalidad. Esto significa que las empresas no pueden exigir datos sensibles de manera arbitraria ni vincular el ejercicio de derechos o la prestación de servicios a su entrega.
La SIC recordó además que, en cualquier contexto, las organizaciones que recolectan y tratan datos personales, ya sea a través de aplicaciones, plataformas digitales o sitios web, deben garantizar que la información solicitada sea estrictamente necesaria para el servicio ofrecido. Los titulares, por su parte, deben ser informados de manera clara sobre el tipo de datos recolectados, los propósitos de su uso y los derechos que tienen para controlar y disponer de esa información.
Esta decisión refuerza el compromiso de la Superintendencia con la protección de los derechos fundamentales de los ciudadanos en un entorno de creciente actividad económica digital, señala un común de la entidad. El organismo destacó que el desarrollo del comercio electrónico, aunque dinamiza la economía, no puede estar por encima de los derechos básicos de las personas. El respeto a la privacidad y la adecuada gestión de los datos personales son elementos esenciales que deben ser garantizados por cualquier empresa que opere en el mercado
