Futurlex

  • +57 301 514 4627
  • info@futurlex.co
  • Bogota: Cra. 10 No. 97A-13 Of. 202 Torre B
  • Cartagena: Cll. 26 No. 18A-31 (Av Jimenez), Manga

📌 Caso MercadoLibre Colombia: Sanción de la SIC y Lecciones para el Uso Responsable de Tecnologías de Verificación de Identidad

,

📌 Caso MercadoLibre Colombia: Sanción de la SIC y Lecciones para el Uso Responsable de Tecnologías de Verificación de Identidad

legall

El pasado mes de abril de 2025, la Superintendencia de Industria y Comercio de Colombia (SIC) impuso una sanción de $203.434.800 COP a MercadoLibre Colombia Ltda. por vulneraciones al régimen de protección de datos personales. Específicamente, la sanción se debió a la creación no autorizada de una cuenta con datos de un ciudadano, sin contar con prueba de su consentimiento y sin haber implementado medidas eficaces para validar su identidad. Puede acceder a la Resolución 16582 de 2025 aquí.

Este caso adquiere especial relevancia para empresas que utilizan mecanismos avanzados de verificación, como el reconocimiento facial, y plantea interrogantes sobre la suficiencia de estas tecnologías en el marco del cumplimiento normativo. Es importante recordar que, hace unos años, la propia SIC emitió una “Guía para el tratamiento de datos personales en el comercio electrónico”, donde precisamente se destacaba la importancia de la validación de la identidad como medida para evitar la suplantación de usuarios y proteger sus datos.

🔍 Hechos Relevantes del Caso

  • Un titular denunció que se creó una cuenta en MercadoLibre sin su consentimiento, lo cual dio lugar al uso no autorizado de sus datos personales con fines comerciales.
  • La empresa no logró acreditar haber obtenido la autorización previa, expresa e informada del titular, como lo exige la Ley 1581 de 2012.
  • La respuesta al reclamo del titular fue considerada deficiente e inoportuna por parte de la SIC.
  • MercadoLibre tampoco pudo demostrar que sus sistemas contaran con controles efectivos para verificar la identidad del titular antes de activar la cuenta.

⚖️ Fundamentos Jurídicos de la Sanción

La SIC fundamentó su decisión en los siguientes incumplimientos:

  • Ausencia de consentimiento válido (Art. 9, Ley 1581/2012).
  • Falta de cumplimiento del deber de informar (Art. 12, Ley 1581/2012).
  • Vulneración de los derechos del titular (Art. 8, Ley 1581/2012).
  • Incumplimiento del principio de responsabilidad demostrada (Art. 26, Decreto 1074/2015).

La resolución resalta que, además de tener políticas documentadas, las empresas deben ser capaces de probar documentalmente la aplicación práctica de estas, garantizando la trazabilidad de la recolección y el tratamiento de datos personales.

🧠 Reconocimiento Facial: ¿Una Solución o un Riesgo?

Muchas compañías del sector digital han apostado por tecnologías biométricas, como el reconocimiento facial, para reforzar la seguridad en la verificación de identidad. Sin embargo, este caso demuestra que:

  • La incorporación de tecnologías avanzadas no exime a las empresas de cumplir con los principios y requisitos legales, como el consentimiento, la finalidad y la proporcionalidad.
  • El dato biométrico derivado del reconocimiento facial es un dato sensible, y su tratamiento exige consentimiento explícito, medidas de seguridad reforzadas y un uso estrictamente necesario y proporcional.
  • Una implementación deficiente de estas herramientas puede incluso agravar la responsabilidad del responsable del tratamiento si no existe evidencia suficiente del cumplimiento normativo.

La SIC no descalifica el uso de estas tecnologías, pero sí exige su integración en un sistema de cumplimiento sólido y documentado, en línea con el enfoque de accountability o responsabilidad demostrada.

Recomendaciones para Oficiales de Protección de Datos y Áreas de Cumplimiento

  • Asegurar la trazabilidad del consentimiento: Debe quedar constancia verificable del momento, canal y contenido mediante el cual se obtuvo la autorización del titular.
  • Auditar sistemas de verificación: Validar que las herramientas (incluyendo biometría) cumplen con los estándares técnicos y legales aplicables, y que son efectivas para prevenir fraudes como la suplantación.
  • Revisar procesos de creación de cuentas y registros: Incorporar medidas antifraude y de autenticación robustas que garanticen la identidad del usuario.
  • Actualizar los protocolos de atención a titulares: Asegurar respuestas claras, oportunas y debidamente documentadas ante consultas o reclamaciones.
  • Incluir el tratamiento de datos de reconocimiento facial en el Registro Nacional de Bases de Datos (RNBD) y en el registro interno de actividades de tratamiento, junto con los análisis de impacto en la protección de datos (EIPD) cuando correspondan.

🔎 Conclusión

Este caso deja claro que el uso de tecnologías emergentes no sustituye las obligaciones legales. La implementación de soluciones de verificación de identidad debe estar respaldada por un marco de cumplimiento robusto, que incluya políticas internas efectivas, gestión documental rigurosa y formación continua del personal. La confianza del usuario se construye no solo con tecnología, sino también con transparencia, responsabilidad y un estricto cumplimiento normativo.

Discover more from Futurlex

Subscribe to get the latest posts sent to your email.

Suscríbete a nuestro blog:

Mantente al tanto de todos nuestros artículos

    Este formulario usa Akismet para reducir el spam. Aprende cómo se procesan tus datos.

    Discover more from Futurlex

    Subscribe now to keep reading and get access to the full archive.

    Continue reading

    Acceso Panel

    Accede al administrador de la web