El reconocimiento facial de Mercadona acaba en multa de 2,5 millones de euros: qué dice la Agencia de Protección de Datos y qué lecciones se pueden extraer

El reconocimiento facial de Mercadona acaba en multa de 2,5 millones de euros: qué dice la Agencia de Protección de Datos y qué lecciones se pueden extraer
83 comentarios Facebook Twitter Flipboard E-mail
lyzanor

Enrique Pérez

Editor Senior - Tech

Editor especializado en tecnología de consumo y sociedad de la información. Estudié física, pero desde hace más de diez años me dedico a escribir sobre tecnología, imagen y sonido, economía digital, legislación y protección de datos. Interesado en aquellos proyectos que buscan mejorar la sociedad y democratizar el acceso a la tecnología. LinkedIn

Se cierra el círculo con el polémico reconocimiento facial de Mercadona. La empresa de supermercados pagará 2,5 millones de euros de multa a la Agencia Española de Protección de Datos (AEPD) en relación al proyecto piloto que implementó en 48 tiendas.

La sentencia se ha publicado varias semanas después de que la Audiencia Provincial de Barcelona se pronunciase sobre el mismo caso, concluyendo que existía una "violación de la privacidad" en este proyecto.

Estos son los argumentos de la Agencia de Protección de Datos sobre el reconocimiento facial de Mercadona, un caso que evidencia las complejidades de este tipo de sistemas de vigilancia.

La sanción a Mercadona como toque de atención para este tipo de sistemas

Según explica la propia compañía, el sistema "aplicaba un filtro tecnológico y una segunda verificación visual establecía que la persona identificada tenía una orden de alejamiento vigente del establecimiento".

Sin embargo, la AEPD ha concluido que se ha vulnerado el Reglamento General de Protección de Datos. En concreto el artículo 6 (Licitud del tratamiento) y el artículo 9 (Tratamiento de categorías especiales de datos personales). Por ello se le impone una sanción de dos millones de euros, acompañada de otras cuantías por infracciones de otros artículos del RGPD.

Esta sanción ha sido rebajada en un 20% porque Mercadona ha decidido voluntariamente llevar a cabo el pago, habiéndose tenido en cuenta como factor atenuante de especial relevancia que no consta reincidencia ni reiteración. Mercadona explica que se contó con autorización judicial y se mantuvo desde un primer momento un contacto estrecho con las autoridades correspondientes, compartiendo con la AEPD todos los procedimientos antes de iniciar la prueba. Sin embargo, uno de los motivos de sanción es la incorrecta evaluación de impacto.

Mercadona llevó a cabo un proyecto piloto con una tecnología que está en el punto de mira de las agencias de Protección de Datos. Una prueba que no se llevó a cabo con la suficiente rigurosidad necesaria, según determina la AEPD, y que ha derivado en una multa. Una sanción que la Agencia considera "proporcional, efectiva y disuasoria". Este último punto, en relación a que servirá para que otras empresas que busquen implementar sistemas de reconocimiento facial tengan en cuenta todo lo expuesto aquí.

Desde Mercadona se expone que "ahora lo más responsable y riguroso es dar por finalizada esta prueba piloto". Optan por abonar la sanción y dar por cerrado el procedimiento ante Protección de Datos.

Qué aspectos del proyecto de reconocimiento facial han llevado a la sanción

Mercadona Interior

Jorge Garcia Herrero, abogado especializado en Protección de Datos, hace un repaso de la sentencia de la Agencia. Entre los hechos probados se constata que Mercadona inició el proyecto en junio de 2020 y no fue hasta mayo de 2021 cuando lo dio por finalizado en sus cuarenta establecimientos. Aproximadamente un año de tiempo durante el cual estos establecimientos estuvieron utilizando la tecnología de reconocimiento facial en su entrada.

"La AEPD ha dado dos golpes de efecto últimamente en materia de reconocimiento facial, hace unas semanas denegando a una entidad bancaria la posibilidad de imponer la identificación biométrica a sus clientes via app móvil, y con esta sanción a Mercadona.", expone Garcia Herrero. "El denominador común es que en ambos casos las empresas pretendían legitimar el sistema por la vía fácil: apelando al “interés público”, al bien común, en vez de reconocer que esta tecnología serviría principalmente a sus propios intereses legítimos corporativos".

¿Cómo diferenciaba el sistema de Mercadona quienes tenían orden judicial? La empresa se basaba en sus propios juicios contra quienes hurtaban y solicitaban al juez que se decretara precisamente esta medida. Una "buena idea", según Garcia Herrero, pero donde la AEPD les imputa el hecho de haber empezado antes de realizar la evaluación de impacto. Un informe de impacto donde no se valoraron los riesgos respecto a los propios trabajadores de la empresa y el de los clientes vulnerables como menores, según apunta la AEPD.

Según la Agencia, se tratan datos biométricos sin base suficiente ni se cumplen los requisitos básicos de interés público.

Uno de los debates de fondo sobre estos sistemas de reconocimiento facial es la diferencia entre la utilización de datos para unas personas concretas y para el resto. La AEPD entiende que hay legitimación para el condenado, pero no para los "no condenados".

Otro de los aspectos tenidos en cuenta con los sistemas de tratamiento de datos biométricos es la necesidad de la medida. La AEPD explica que se confunde "utilidad" con "necesidad". Pese a que estos sistemas de reconocimiento facial pueden ser "útiles", no son estrictamente necesarios y por ende consideran que el reglamento de Protección de Datos impide su uso en casos como el de Mercadona, donde se considera que no se está protegiendo el interés público, sino más bien, los intereses privados.

"¿Es posible utilizar esta tecnología? Sin duda, pero no por la vía fácil: Esta sanción bloqueará a buen seguro la iniciativa anunciada del Atlético de Madrid de implementar este sistema en el estadio de La Peineta. O al menos, servirá para que se reevalúe a la vista de todo lo apuntado por la AEPD en su resolución", anticipa Garcia Herrero.

En Xataka | "El RGPD no estaba pensado para el reconocimiento facial o la minería de datos": tres años después, desde Europa ya piden renovarlo

Comentarios cerrados
Inicio