La Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio, SIC, sancionó a Mercado Libre Colombia LTDA., con una multa de $214.405.120, por infringir las normas sobre protección de datos personales.
En este caso, la Dirección comprobó que la empresa investigada desconoció la prohibición de tratamiento de datos personales sensibles, en especial, al condicionar el acceso a la cuenta de una persona al suministro de su información biométrica, a través de reconocimiento facial.
Adicionalmente, la Dirección determinó que la plataforma de comercio electrónico vulneró el derecho al habeas data, al negarse a eliminar los datos biométricos de los usuarios de las bases de datos.
En esta misma decisión, la Dirección impartió la orden de suprimir cualquier procedimiento en la aplicación móvil o el sitio web de la compañía, que condicione el acceso o creación de cuentas de usuario, al suministro de datos biométricos.
Además, se le instruyó para que, desde su aplicación móvil o página web, ofrezca varias opciones que permitan a los titulares decidir el mecanismo de autenticación.
Con este acto administrativo, la SIC recuerda:
Primero: El tratamiento de datos personales sensibles, entre los que se encuentran los datos biométricos, está prohibido por regla general.
Segundo: Ninguna actividad, ni el ejercicio de los derechos, en especial en el contexto del uso de aplicaciones móviles o de páginas web, puede estar condicionado a la entrega u obtención de datos biométricos.
Tercero: La entrega u obtención de datos biométricos solo es posible cuando exista norma legal expresa y específica en tal sentido, y siempre que dicha norma respete el principio constitucional de proporcionalidad.
Para esta Superintendencia es importante recordar que:
Primero: La recolección y tratamiento de datos personales por parte de empresas mediante aplicaciones móviles, plataformas o páginas web debe respetar en todo momento la finalidad para la cual se recolectan los datos personales.
Segundo: Los datos personales recogidos deben ser los estrictamente necesarios para la prestación del servicio o la celebración del contrato.
Tercero: El titular de los datos personales debe ser informado con suficiencia sobre el tipo de información recolectada, las finalidades del tratamiento y los derechos que le asisten sobre el control y disposición de sus datos personales.
“Con esta decisión la Superintendencia reafirma su compromiso con la protección de los datos personales en las nuevas dinámicas del comercio electrónico, y destaca que el ejercicio de cualquier actividad económica debe respetar los derechos fundamentales de todos los seres humanos”, enfatizó el órgano de control y vigilancia.