La Dirección de Investigaciones de Protección de Datos Personales, adscrita a la Superintendencia de Industria y Comercio (SIC) de Colombia, impuso una sanción administrativa a la empresa Mercado Libre, consistente en una multa equivalente a $214.405.120 pesos colombianos (unos 51 mil dólares), por presuntas infracciones al régimen legal de protección de datos personales.
Según lo establecido, la entidad constató que la empresa requería, como condición para el acceso a la cuenta de usuario en su aplicación móvil, la entrega de datos biométricos mediante tecnología de reconocimiento facial. Este tratamiento se interpretó como una contravención a la normativa vigente, en particular a las disposiciones que prohíben el tratamiento de datos personales sensibles, salvo en los casos expresamente autorizados por la ley y con el consentimiento del titular.
Asimismo, la Superintendencia concluyó que la empresa había incurrido en una vulneración del derecho al habeas data, al no atender de forma adecuada las solicitudes de supresión de datos biométricos formuladas por algunos usuarios, manteniéndolos en sus bases de datos sin fundamento legal alguno.
En virtud de lo anterior, se ordenó a la compañía adoptar las medidas necesarias para eliminar cualquier procedimiento implementado en su sitio web o aplicación móvil que condicione la creación o el uso de cuentas de usuario al suministro obligatorio de datos biométricos. Del mismo modo, se instruyó a la compañía a garantizar que los titulares puedan escoger entre diferentes mecanismos de autenticación que no impliquen el uso de datos sensibles.
La decisión se funda en lo dispuesto en el régimen general de protección de datos personales colombiano, el cual establece que el tratamiento de datos sensibles debe estar sujeto a criterios de necesidad, proporcionalidad y consentimiento libre e informado, sin que su entrega pueda ser exigida como requisito para el ejercicio de derechos o la prestación de servicios a través de medios digitales.
“Del mismo modo, la vulneración del derecho fundamental a la protección de datos personales no solo afecta los derechos de una persona en particular, sino que pone en riesgo los derechos fundamentales de toda la sociedad. Por eso, las sanciones de dichas conductas no pueden, ni deben tratarse, como una cuestión insignificante o de poca trascendencia. La transgresión flagrante a los derechos humanos de un ciudadano es, por sí solo, un hecho muy grave que no necesita de forzosos razonamientos para evitar un desentendimiento de la importancia de lo sucedido”, señala la resolución.