Multan a Mercado Libre en Colombia por infringir las normas sobre protección de datos personales

La SIC sancionó a Mercado Libre por violación al régimen de datos personales y le impuso una serie de órdenes administrativas.

Hace un tiempo Mercado Libre implementó en el país un método de seguridad a través del cual solicita a los usuarios el uso de datos biométricos (huella o rostro) para iniciar sesión en la plataforma. A pesar de que esto se presenta como una capa de protección que permite garantizar tu seguridad para asegurarse de que eres tú quien está accediendo a tu cuenta, es algo totalmente innecesario para un inicio de sesión rutinario.

Esta práctica ha sido la razón para que la empresa recibiera una multa millonaria. La Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio de Colombia anunció este viernes la sanción a Mercado Libre Colombia por más de $214 millones de pesos.

«La Dirección comprobó que la empresa investigada desconoció la prohibición de tratamiento de datos personales sensibles, en especial, al condicionar el acceso a la cuenta de una persona al suministro de su información biométrica, a través de reconocimiento facial», dijo la SIC.

Además, la plataforma eCommerce vulneró el derecho al habeas data, «al negarse a eliminar los datos biométricos de los usuarios de las bases de datos».

En este caso, a Mercado Libre Colombia se le indicó que la recolección y tratamiento de datos personales por parte de empresas mediante aplicaciones móviles, plataformas o páginas web debe respetar siempre la finalidad para la cual se obtienen los datos. Estos además deben ser los estrictamente necesarios para la prestación del servicio y el titular de los datos personales debe ser informado con suficiencia.

Si bien muchas aplicaciones y servicios permiten acceder a través del uso de datos biométricos, Mercado Libre lo ha hecho un requisito obligatorio para poder acceder a sus cuentas incluso si ya tienen configurado un nombre de usuario y contraseña en la plataforma. Por ese motivo, la SIC hace hincapié en que el tratamiento de datos personales sensibles como datos biométricos, está prohibido por regla general en el país y que el uso de una aplicación o plataforma web no puede condicionarse a la entrega u obtención de datos biométricos.

De esta manera, la compañía tendrá que eliminar de su aplicación o sitio web cualquier paso que tenga como requisito obligatorio el suministro de datos biométricos y que estos tengan elección de decidir el mecanismo de autenticación.