SIC multa a Mercado Libre con más de $214 millones por uso indebido de datos biométricos en Colombia

La Superintendencia de Industria y Comercio (SIC) impuso una multa de más de 214 millones de pesos a Mercado Libre Colombia por vulnerar las normas de protección de datos personales, al exigir a sus usuarios el uso de reconocimiento facial como método obligatorio de autenticación para acceder a sus cuentas.

Según informó la entidad, la plataforma digital recolectó y trató datos biométricos —como el rostro de las personas— sin cumplir con los requisitos legales establecidos en Colombia, lo que constituye un uso indebido de información sensible. La SIC determinó que esta práctica violó el derecho fundamental al habeas data, dado que además la empresa se negó a eliminar estos datos cuando algunos usuarios lo solicitaron.

“El tratamiento de datos biométricos solo puede hacerse bajo condiciones estrictas, con autorización expresa del titular y siempre que sea estrictamente necesario para la finalidad del servicio. Obligar a los usuarios a entregar esta información para acceder a su cuenta es desproporcionado y contrario a la ley”, aseguró la Superintendencia en su comunicado oficial.

Como parte de la sanción, la SIC ordenó a Mercado Libre eliminar cualquier requisito de autenticación basado en datos biométricos para el acceso o creación de cuentas. Además, la compañía deberá implementar métodos alternativos que garanticen la libre elección del usuario sobre cómo desea verificar su identidad.

La decisión también reitera que los datos biométricos, al incluir huellas dactilares, reconocimiento facial, geometría de la mano o patrones del iris, son considerados información sensible por su carácter único, permanente e inmodificable. De acuerdo con la legislación colombiana, este tipo de información está protegida con especial rigurosidad, ya que su uso indebido puede derivar en suplantación de identidad o afectaciones permanentes a la privacidad.

El precedente más reciente sobre esta materia es la Sentencia T-360 de 2022 de la Corte Constitucional, en la que se evidenció cómo huellas dactilares captadas sin garantías permitieron abrir productos bancarios de forma fraudulenta, exponiendo la gravedad de no manejar adecuadamente este tipo de datos.

La SIC recordó a todas las empresas que recolectan y procesan datos personales que deben asegurarse de solicitar solo la información necesaria, explicar con claridad su finalidad, y respetar en todo momento los derechos de los titulares, especialmente cuando se trata de datos tan sensibles como los biométricos.

Este caso se suma al creciente escrutinio sobre las prácticas de las plataformas digitales en Colombia, en medio de un debate global sobre la protección de la privacidad y los límites éticos del uso de tecnologías de reconocimiento facial y autenticación biométrica.

Mercado Libre aún no se ha pronunciado públicamente sobre la sanción ni sobre las medidas que adoptará para cumplir con las disposiciones ordenadas por la autoridad de control.