La Superintendencia de Industria y Comercio de ese país consideró que la plataforma de comercio electrónico vulneró la normativa de protección de datos personales, por lo que deberá pagar alrededor de 50 mil dólares por la infracción.
Este viernes 9 de agosto, la Superintendencia de Industria y Comercio (SIC) de Colombia impuso una multa de 214.405.120 millones (un poco más de 50 mil dólares) a Mercado Libre Colombia LTDA, por condicionar el acceso a su plataforma al uso obligatorio de datos biométricos mediante reconocimiento facial, vulnerando así normas esenciales sobre la protección de datos personales.
Según concluyó la Dirección de Investigaciones de Protección de Datos Personales de la SIC, la empresa infringió la legislación vigente al requerir que los usuarios entregaran información sensible -específicamente biométrica- como única vía para acceder o crear cuentas en su plataforma. Además, se determinó que la compañía incumplió el derecho al “habeas data”, que garantiza el derecho de cualquier persona a conocer, actualizar, rectificar o eliminar la información que se haya recogido sobre ella, al negarse a eliminar dichos datos de sus bases de información incluso cuando los usuarios lo solicitaban.
La SIC “ordenó eliminar esta práctica y recordó que el uso de datos sensibles está prohibido, salvo en casos expresamente autorizados por la ley”, informó el regulador en un comunicado. Como parte de las medidas administrativas, la Superintendencia ordenó a Mercado Libre modificar sus procedimientos tanto en su sitio web como en su aplicación móvil, de manera que no se condicione el acceso a los servicios a través del reconocimiento facial.
Asimismo, se instruyó a la empresa para que implemente múltiples métodos de autenticación, permitiendo a los usuarios elegir libremente cómo desean validar su identidad sin verse obligados a entregar datos altamente sensibles.
La sanción impuesta se sustenta en la Ley 1581 de 2012, que en su artículo 5 define los datos biométricos como parte de la categoría de datos sensibles, aquellos que afectan la intimidad del titular o pueden dar lugar a su discriminación si se usan de forma indebida. Este tipo de información solo puede ser tratada bajo condiciones muy específicas, como cuando existe una norma legal expresa y proporcional, o cuando el titular ha otorgado una autorización previa, expresa e informada.
En ese sentido, la Superintendencia recalcó que “ninguna actividad, incluyendo el acceso a servicios digitales, puede estar sujeta a la entrega u obtención de este tipo de datos”, salvo en los casos definidos por la ley. Además, recordó que el tratamiento de datos debe estar limitado a la finalidad específica para la que fueron solicitados y que las plataformas digitales deben ser claras sobre qué tipo de información recopilan, para qué se usará y qué derechos tienen los titulares frente a esta recolección.
“La entrega u obtención de este tipo de datos solo es posible cuando exista una norma legal expresa y específica, y siempre que dicha norma respete el principio constitucional de proporcionalidad”, enfatizó la entidad.
Por otro lado, la SIC manifestó que esta decisión busca marcar un precedente en la protección de datos personales en entornos digitales, especialmente en el comercio electrónico, donde el uso masivo de tecnologías exige altos estándares de respeto a los derechos fundamentales. “Esta sanción reafirma nuestro compromiso con la protección de los datos personales en las nuevas dinámicas del comercio electrónico”, declaró la Superintendencia.
Debe estar conectado para enviar un comentario.