La sanción que impone la SIC a Mercado Libre por violación al régimen de Datos Personales y la consecuente serie de órdenes administrativas que le impone, merece una mirada de alerta dentro en el marco del nuevo proyecto de circular  

En momentos en que corre el plazo para comentario a el nuevo proyecto de circular emitido por la Superintendencia de Industria y Comercio, para sus entidades vigiladas, especialmente para las Fintech,  que tiene como Asunto "Lineamientos sobre el tratamiento de datos personales en el ecosistema fintech y los modelos de negocio, aplicaciones y procesos que utilizan medios tecnológicos para la prestación de servicios financieros"  a tomado mayor relevancia la peligrosa e injusta multa que el pasado  9 de mayo de 2025, la Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) sancionó a Mercado Libre Colombia LTDA., con una multa de $214.405.120, por infringir las normas sobre protección de datos personales. 

En este caso, la Dirección  argumenta haber comprobado que  Mercado Libre,  desconoció la prohibición de tratamiento de datos personales sensibles, en especial, al condicionar el acceso a la cuenta de una persona al suministro de su información biométrica, a través de reconocimiento facial. 

Adicionalmente, la Dirección  argumeno que determinó que la plataforma de comercio electrónico vulneró el derecho al habeas data, al negarse a eliminar los datos biométricos de los usuarios de las bases de datos. 

En consecuencia con su interpretación, (a juicio de nuestra mesa de expertos de la Revista Ciclo de Riesgo errada) la SIC impartió la orden de suprimir cualquier procedimiento en la aplicación móvil o el sitio web de la compañía, que condicione el acceso o creación de cuentas de usuario, al suministro de datos biométricos; y se le instruyó para que, desde su aplicación móvil o página web, ofrezca varias opciones que permitan a los titulares decidir el mecanismo de autenticación. 

En el marco  y contexto de este acto administrativo, que la SIC aprovechó para hacerlo "ejemplarizante",  hizo un pronunciamiento conduntente:

Primero, que según la interpretación de la SIC, "el tratamiento de datos personales sensibles, entre los que se encuentran los datos biométricos, está prohibido por regla general; segundo, que ninguna actividad, ni el ejercicio de los derechos, en especial en el contexto del uso de aplicaciones móviles o de páginas web, puede estar condicionado a la entrega u obtención de datos biométricos; y tercero, que la entrega u obtención de datos biométricos solo es posible cuando exista norma legal expresa y específica en tal sentido, y siempre que dicha norma respete el principio constitucional de proporcionalidad" 

Desconoce la SIC que con el objetivo de garantizar la seguridad de las  transaccione financieras, especialmente el pago de productos y servicios en plataformas virtuales, es perentorio,  que el operador del e-comerce  o de la plataforma financiera, tenga una herramienta biométrica o un aliado experto que le asegure todos los protocolos de seguridad, y debe ser precisamente con ese aliado o con esa herramienta en la que se puede confiar para efectuar el pago, y esta elección no pueda quedar en manos del consumidor, como quiera que el consumidor no tiene como garantizar la idoneidad de la herramienta biometrica o la plataforma de pago.  Sería inviable dejar este paso tan neuralgico en manos del libre mercado a elección del consumidor.  Solo por abordar una de las 10 razones por las que todos los expertos coinciden en que la SIC no esta entendiendo el negocio en ambientes digitales. 

Enmarcado por la sanción, Insiste la Superintendencia en que "Primero, la recolección y tratamiento de datos personales por parte de empresas mediante aplicaciones móviles, plataformas o páginas web debe respetar en todo momento la finalidad para la cual se recolectan los datos personales. Segundo, los datos personales recogidos deben ser los estrictamente necesarios para la prestación del servicio o la celebración del contrato; y tercero, el titular de los datos personales debe ser informado con suficiencia sobre el tipo de información recolectada, las finalidades del tratamiento y los derechos que le asisten sobre el control y disposición de sus datos personales" .  Si bién todo esto suena lógico y en un contexto de protección correcto, cada frase colocada en el contexto del comercio en el mundo digital y el consumo de productos y servicios financieros y metodos de pagos en la virtualidad , abre profundas barreras, insalvables si no se entiende el porqué y la forma en que cada instrumento se conecta en cada etapa del proceso. 

El peligro de la generalización en la que está cayendo la SIC, impone peligros de llegar a  interpretaciones erradas que pueden frenar por completo el avance de la digitalziación, de la innovación y de la inclusión financiera, con exigencia que en si misma, van a terminar vulnerando al consumidor y exponiendo su seguridad , la de su dinero, y la de sus transacciones. 

ESTE FALLO EXIGE UNA MIRADA DISTINTA 

Dentro de los elementos que llevaron a que la Superintendencia de Industria y Comercio (SIC), a sancionar a Mercado Libre, se encuentran argumentos como, según la interpretación de la SICC:

1. Segun la SIIC Mercado Libre esta desconociendo que existe una prohibición sobre el uso de datos personales sensibles de las personas lo cual con otra aproximación y entendimiento 360 del negocio digital, es claro que no es cieerto. 

2. Segun la SICC, la empresa de comercio electrónico exigía que, para que un usuario pudiera acceder a su cuenta para la comercialización de productos, a través de su plataforma, debía entregar información biométrica, puntualmente el reconocimiento facial.  Ralmente lo que exigia mercado Libre como todo comercio virtual, app o plataforma financiera es que existiera este procedimiento para validar la identidad y darle seguridad y calidad a a transacción y por su puesto debería ser con su herramienta,  y no con otra. Lo cual no puede ser de otra manera.   

3. Alega la SICC que Mercado Pago se negó a eliminar los datos biométricos de su base de datos, lo que vulnera el derecho de habeas data.  en evidente que la SIC entendió los argumento des Mercado Pago en este sentido por que simplemente no comprende el negocio virtual y no esta teniendo una mirada 360.

En ese sentido la SIC, como autoridad nacional de protección de datos personales, impartió una serie de órdenes administrativas a la empresa, con el fin de evitar la vulneración de los derechos de los usuarios, entre las que están:

1. Suprimir cualquier procedimiento en la aplicación móvil o el sitio web de la compañía, que condicione el acceso o creación de cuentas de usuario, al suministro de datos biométricos

2. Ofrecer desde su aplicación móvil o página web,  varias opciones que permitan a los titulares decidir el mecanismo de autenticación.

en conclusión, la SIC hizo un llamado contudnente :

1. Recordo  que el tratamiento de datos personales sensibles, entre los que se encuentran los biométricos, está prohibido por regla general; y, por ende, ninguna actividad, ni el ejercicio de los derechos, en especial en el contexto del uso de aplicaciones móviles o de páginas web, puede estar condicionado a la entrega u obtención de datos biométricos.  La entrega u obtención de estos datos solo es posible cuando exista norma legal expresa y específica en tal sentido, y siempre que dicha norma respete el principio constitucional de proporcionalidad. 

Consulte aquí la resolución expedida por la SIC sobre la sanción a la plataforma Mercado Libre debido a uso indebido de datos personales sensibles. 

Consulte aquí el proyecto de Circular 

Para: Entidades vigiladas por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales. Asunto: Lineamientos sobre el tratamiento de datos personales en el ecosistema fintech y los modelos de negocio, aplicaciones y procesos que utilizan medios tecnológicos para la prestación de servicios financieros