Reconocimiento facial y protección de datos: Caso controvertido de Mercadona
Analizamos este polémico caso relacionado con la protección de datos y Mercadona y qué se sabe sobre el sistema de reconocimiento facial implantado en Mercadona.
El pasado 1 de julio, la empresa valenciana Mercadona, comenzó a utilizar un sistema de reconocimiento facial en supermercados de Mallorca, Zaragoza y Valencia. A raíz de las informaciones publicadas en los medios de comunicación, la Agencia Española de Protección de Datos (AEPD) ha iniciado una investigación de oficio a la compañía de Juan Roig.
Un tratamiento de datos controvertido
En su defensa, Mercadona ha declarado que la razón por la que implantan esta tecnología es para evitar posibles robos y hurtos en sus supermercados. Si una persona tiene una orden de alejamiento en vigor o varias denuncias, el sistema implantado debería identificarla. Detectar la entrada de estas personas es, única y exclusivamente, el fin de esta medida.
Además, la empresa insiste en que el sistema es absolutamente legal y que han estado en contacto en todo momento con las autoridades correspondientes durante la planificación del proyecto. Mercadona habría remitido la información sobre el proyecto que estaba llevando a cabo, siguiendo las pautas que la AEPD les daban. En definitiva, contarían con el visto bueno.
La implantación de este sistema de reconocimiento facial ha derivado, en los últimos días, en una polémica sobre la legalidad en el uso de esos datos sensibles y sus múltiples consecuencias jurídicas.
El pasado mes de mayo, la AEPD publicó un informe en el que estudiaban y analizaban las cuestiones relacionadas con la licitud de estas medidas en los servicios de videovigilancia proporcionados por empresas de seguridad privada. En el caso que nos atañe, Mercadona no es una compañía de seguridad, por lo que el proyecto puede quedar en duda.
Además, el interés de las medidas tomadas por Mercadona es corporativo, para la protección de la propiedad de la empresa. En cambio, el artículo 9.2 del Reglamento General de Protección de Datos (RGPD), establece que el tratamiento de este tipo de datos solo está permitido en caso de presentar un interés publico esencial y siempre y cuando sea proporcional al objetivo perseguido.
Por el momento, el caso sigue en fase de actuaciones previas y la gran parte de los consumidores ignoran todas las implicaciones legales del tratamiento de los datos, y más especialmente los datos biométricos.
Para poder realizar la comparación de datos en los sistemas de reconocimiento facial, es necesario disponer de una base de datos previa para poder efectuar una comparación con los datos recogidos. Mercadona no ha explicado si cuentan con estas bases de datos previas y alegan que es “por seguridad”.
Sin embargo, Mercadona, ha publicado algunos detalles sobre el funcionamiento del programa israelí AnyVision del que se han dotado. Aseguran que este garantiza la privacidad de los consumidores. Las imágenes registradas por las cámaras en los establecimientos son directamente tratadas por el software en cuestión de segundos para relacionar los patrones y cotejar las imágenes con una base de datos de los supuestos delincuentes.
¿Por qué los datos biométricos están especialmente protegidos?
El uso de técnicas de reconocimiento facial implica un tratamiento de categorías de datos especiales. Estos datos, solo pueden ser tratados en determinadas excepciones previstas en la normativa europea del RGPD. De acuerdo con esta normativa, Mercadona podría exponerse a una sanción de 20 millones de euros o el 4% del volumen de negocios anual de la empresa si esta cantidad fuese mayor ya que al tratarse de datos de categorías especiales, implica que los consumidores pueden ser identificados de forma directa, única e inequívoca.
En efecto, en este caso, la captación de las imágenes de los consumidores por las cámaras de videovigilancia y su procesamiento, constituye un tratamiento de datos biométricos, especialmente protegidos por parte de Mercadona.
Consentimiento explicito, requisito indispensable para el tratamiento
A pesar de que los consumidores tienen que otorgar el consentimiento explícito y recogido en un método de prueba del interesado para así, estar legitimados en este tratamiento de los datos en cuestión, no hay constancia de que la empresa valenciana haya recabado el consentimiento expreso de los consumidores.
Esto, unido a que el cliente no se encuentra en posición para negarse a ello ya que no podría entrar en los supermercados de esta empresa, hace que nos encontremos ante un claro desequilibrio.
Por lo tanto, es importante que la entidad tenga en cuenta todos los factores, así como las posibles consecuencias y las altas sanciones a las que se pueden hacer frente.
Es de esperar que las decisiones sobre este tipo de tratamiento de datos biométricos por parte de la AEPD empiecen a definir el marco de la aplicación de estos sistemas.