Biometría bajo la lupa: el caso mercado libre y las nuevas reglas de juego

El Departamento de Derecho, Comunicaciones y Tecnologías de la Información de la Universidad Externado, desarrolló este espacio académico a propósito de un tema de la mayor importancia en esta era tecnológica.

Por: Jaider Morales Torres – Auxiliar de investigación del Departamento de Derecho, Comunicaciones y Tecnologías de la Información.

El evento contó con la participación de las destacadas expertas Carolina García Molina, directora de Investigaciones de Protección de Datos de la Superintendencia de Industria y Comercio y María del Pilar Cortés Rivas, abogada experta en datos personales.

María del Pilar Cortés explicó que la biometría se utiliza para dos propósitos principales: identificar a una persona (decir quién es) y autenticarla (verificar que es quien dice ser). Estas características pueden ser físicas (como huellas dactilares, reconocimiento facial, patrones del iris, etc.) o conductuales (como la forma de escribir, el ritmo de la voz, etc.). Un sistema biométrico captura y analiza estas características, las compara con datos almacenados previamente (en una base de datos) y determina si hay coincidencia para permitir o denegar el acceso.

Con ese contexto, se indicó que el caso de Mercado Libre inició por una queja  ante la Superintendencia de Industria y Comercio, de un usuario de la plataforma que informó que le querían obligar a registrar reconocimiento facial en la aplicación, no obstante que era usuario hacía muchos años y podría realizar la verificación por otros medios como correo electrónico o su celular, adicionalmente indicó que no quería que la empresa tuviera fotos de su rostro, pero se le negaba el acceso a la aplicación si no lo hacía.

Respecto a la queja interpuesta, la Superintendencia de Industria y Comercio mediante la resolución 16582 de 2025 analizó los deberes y obligaciones de los responsables de tratamiento de datos y determinó que en el caso concreto, la problemática giraba en torno a datos sensibles del titular de los datos, y que la empresa debería brindar otras alternativas a sus usuarios para la verificación de identidad, por lo cual, el negar el acceso a esta por no proporcionar los datos biométricos faciales, no resulta ajustado a la normativa en materia de protección de datos. En consecuencia de lo anterior, impuso sanción de 214´405.120 COP y una orden administrativa de suprimir cualquier procedimiento en su aplicación móvil o sitio web que condicione el acceso o creación de cuentas de usuario al suministro de datos biométricos. Para ello, deberá ofrecer varias opciones que permitan a los titulares decidir el mecanismo de autenticación.

Carolina García quién desde la Dirección de investigaciones de Protección de Datos lideró el análisis del tema que llevó a la resolución, aclaró que la decisión no se encuentra todavía en firme, puesto que se encuentra en trámite de recurso de apelación. Por otra parte, recalcó que la finalidad de la medida adoptada es que tanto los responsables del tratamiento de datos como los titulares de estos entiendan que el tratamiento de datos biométricos no debe ser la regla general sino la excepción, pues se ha visto que en la práctica se ha generalizado esta modalidad.

Adicionalmente, reconoció que al usar datos biométricos, las empresas buscan evitar suplantación y fraudes, lo cual es un fin legítimo, sin embargo, se puede alcanzar este objetivo por otros medios que no incluyan el tratamiento de datos tan sensibles como la biometría facial, también hizo un llamado a las empresas para que sean más transparentes respecto a la recolección de datos y la información completa a los titulares.

Como conclusiones del evento, las expertas coincidieron en que si bien el tratamiento de datos biométricos puede ser necesario en ciertos casos, esto debe mantenerse como la excepción y no la regla general, adicionalmente, se deben brindar alternativas a los titulares para la validación de su identidad con el fin de evitar suplantaciones y fraudes. Se hizo un llamado a las empresas y en general a los responsables y encargados del tratamiento de datos para que sean más responsables en sus operaciones y se ajusten a la normatividad vigente en la materia.

Por último, las expertas que son egresadas de los programas del Departamento de Derecho, Comunicaciones y Tecnologías de la Información de la Universidad Externado de Colombia, invitaron a todos los asistentes a capacitarse mediante los programas del departamento para fortalecer los conocimientos en estos temas.

La Universidad Externado de Colombia, tiene un fuerte compromiso con la regulación ética y el uso responsable de los datos personales, entre ellos los sistemas biométricos. Por ello, realiza espacios de estudio y discusión como este, que promueven la implementación segura de estas tecnologías, impulsan su alineación con estándares de privacidad y permiten a empresas, reguladores y sociedad civil analizar, establecer guías y resolver los desafíos técnicos, jurídicos y sociales que plantea el tratamiento de datos biométricos en entornos digitales.