Mercado Libre Colombia recibió millonaria multa: SIC la encontró responsable de uso indebido de datos sensibles de los usuarios

La Superintendencia de Industria y Comercio (SIC) le impuso una multa de más de 214 millones de pesos a Mercado Libre Colombia por no cumplir con las normas sobre protección de datos personales.

La plataforma obligaba a los usuarios a entregar datos biométricos, como el reconocimiento facial, para poder acceder a sus cuentas, algo que está fuera de la ley, según el comunicado de la entidad.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel.

De acuerdo con la SIC, esto no solo fue un uso indebido de información sensible, sino que también vulneró el derecho al habeas data, ya que Mercado Libre se negó a eliminar estos datos de sus bases cuando los usuarios lo solicitaron.

Este derecho básicamente garantiza que cada persona pueda tener control sobre su información personal, incluyendo pedir que se elimine cuando ya no sea necesaria.

En la misma decisión, la SIC le ordenó a la compañía eliminar cualquier requisito de datos biométricos para acceder o crear cuentas, y le pidió que implemente más opciones de autenticación, de manera que los usuarios puedan elegir cómo ingresar sin verse obligados a entregar su información más sensible.

El ente regulador también recordó que recolectar datos biométricos —como huellas, reconocimiento facial o iris— está prohibido de forma general, a menos que una ley específica lo permita y siempre bajo criterios de proporcionalidad.

En otras palabras, ninguna aplicación o plataforma digital puede exigir este tipo de información solo para prestar un servicio o permitir el uso de una cuenta.

Por último, la SIC hizo énfasis en algo clave: las empresas deben asegurarse de recolectar solo la información que sea realmente necesaria para ofrecer su servicio, y deben informar claramente a los usuarios qué datos piden, para qué los van a usar y qué derechos tienen para gestionar esa información.

Los datos biométricos, considerados entre los más sensibles en términos de privacidad y seguridad, han adquirido un papel central en la identificación y autenticación de personas en Colombia.

Según el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) de México, los patrones del iris, por ejemplo, son altamente complejos y contienen más de 200 propiedades únicas, lo que los convierte en uno de los métodos más precisos para verificar identidades.

Este nivel de precisión ha llevado a que las legislaciones de diversos países otorguen una protección especial a este tipo de información.

De acuerdo con lo informado por Legis, la biometría se basa en características físicas, fisiológicas o conductuales únicas que, tras ser procesadas mediante tecnología especializada, se convierten en plantillas biométricas.

Estas plantillas permiten confirmar la identidad de un individuo, ya sea para verificar que una persona es quien dice ser o para identificarla dentro de un grupo.

Ejemplos comunes de datos biométricos incluyen huellas dactilares, reconocimiento facial, geometría de la mano, patrones del iris y reconocimiento vascular.

Sin embargo, no basta con la mera existencia de estas características; es el procesamiento tecnológico lo que las convierte en datos biométricos.

Entre las características que hacen únicos a los datos biométricos se encuentran la universalidad, ya que todos los seres humanos poseen estas características; la unicidad, dado que no existen datos biométricos idénticos entre personas; la permanencia, puesto que cambian muy poco a lo largo de la vida; y la medibilidad, pues pueden ser capturados y analizados mediante dispositivos especializados.

Estas propiedades explican su creciente uso en dispositivos tecnológicos y sistemas de seguridad.

En Colombia, los datos biométricos son clasificados como datos personales sensibles, lo que implica restricciones estrictas para su tratamiento.

Según la legislación vigente, su uso está prohibido a menos que el titular otorgue una autorización expresa. Esta protección responde a la naturaleza única e inmutable de los datos biométricos.

A diferencia de una contraseña, que puede ser cambiada en caso de vulneración, las características físicas o fisiológicas de una persona no pueden ser modificadas. Esto significa que, si una plantilla biométrica es comprometida, las consecuencias pueden ser permanentes, incluyendo la posibilidad de suplantación de identidad.

Un caso emblemático que ilustra los riesgos asociados al uso indebido de datos biométricos fue abordado por la Corte Constitucional de Colombia en la Sentencia T-360/22. En este caso, se descubrió que productos bancarios habían sido abiertos mediante una aplicación móvil utilizando huellas dactilares obtenidas de manera fraudulenta.

Este incidente subraya la necesidad de que los ciudadanos comprendan los riesgos inherentes al tratamiento de esta información y de que las entidades responsables adopten medidas estrictas para protegerla.