La AEPD sanciona a Mercadona por el uso del reconocimiento facial, ¿cómo evitar este tipo de sanciones?
En el pasado mes de julio, la cadena de supermercados Mercadona emitía un comunicado remitido a agencia EFE en el que anunciaba la aceptación del pago de la propuesta de sanción interpuesta por parte de la Agencia Española de Protección de Datos por importe de dos millones y medio de Euros.
La noticia venía precedida por el anuncio a comienzos del mes de julio de la apertura de un procedimiento administrativo de oficio por parte de la Agencia Española de Protección de Datos, a propósito de un nuevo sistema de reconocimiento facial implantado por la cadena de supermercados en 48 de sus 1.640 establecimientos.
Sin perjuicio de lo que más adelante explicaremos, es importante tener en cuenta que el empleo de nuevas tecnologías que impliquen el tratamiento de datos de carácter personal de interesados requerirá por parte de las empresas la realización de análisis profundos en la materia que deberán detectar, al menos, los riesgos que pueden comportar el uso de estas tecnologías para los derechos de los interesados y la forma, en su caso, de poder mitigarlos (lo que se conoce como Evaluaciones de Impacto o PIAs por sus siglas en inglés).
¿Para qué estaba usando Mercadona el reconocimiento facial?
Mercadona comenzó a usar esta tecnología en un proyecto piloto que pretendía identificar a personas condenadas mediante una sentencia judicial firme con órdenes de alejamiento.
Concretamente, el sistema de videovigilancia implantado permitía, respecto a las personas que cumpliesen con los requisitos anteriormente indicados, proceder a contrastar las imágenes captadas mediante el uso de técnicas biométricas, siendo capaz de identificar a dichas personas, notificando a través de un sistema automatizado a los cuerpos y fuerzas de seguridad del Estado para asegurar el cumplimiento de las órdenes de alejamiento en vigor.
Aspectos del proyecto de reconocimiento facial de Mercadona que han llevado a la sanción
Entre los argumentos jurídicos utilizados por el ente regulador para proceder a la interposición de la sanción destacan el hecho de que Mercadona no ostentaba base de legitimación para poder proceder al tratamiento de datos de usuarios de sus supermercados consistente en el reconocimiento facial: ni de condenados por sentencias judiciales, ni tampoco sobre el resto de usuarios. Explica la AEPD en su resolución que no concurría en el supuesto de hecho ninguna de las excepciones previstas en el artículo 9.2 del RGPD para proceder al tratamiento de los datos biométricos de los usuarios por parte de la empresa sancionada.
Igualmente, la Agencia Española de Protección de Datos explicaba también en sus razonamientos que la empresa sancionada se centró en sus alegaciones en explicar la utilidad de la medida adoptada a través del sistema de videovigilancia puesto que era eficaz, confundiendo los conceptos de “utilidad” con “necesidad” objetiva, además de no tener en cuenta el criterio de proporcionalidad para el uso de estas tecnologías, o aplicarlo erróneamente.
Concretamente, la Agencia Española de Protección de Datos estableció que “(…) el sistema implantado por la mercantil no cumpliría con los requisitos de proporcionalidad exigidos por el Tribunal Constitucional, ya que dentro del triple juicio de proporcionalidad, si bien puede considerarse idóneo para la finalidad propuesta, el mismo no es necesario, al existir medidas alternativas menos intrusivas, ni es estrictamente proporcional, en la medida en que se deriven más beneficios para el interés público que perjuicios sobre otros bienes o valores en conflicto, teniendo en cuenta que se pretende su aplicación masiva e indiscriminada para todos los clientes y resto de afectados, y que en caso de generalizarse implicaría un tratamiento masivo de categorías especiales de datos que alcanzaría a la práctica totalidad de la población, independientemente del nivel de riesgo que represente convirtiéndose la excepción de la posibilidad de tratamiento de datos biométricos en la regla general, en contra de lo pretendido por el RGPD.”
¿Cómo podemos utilizar este tipo de sistemas de forma adecuada en una empresa?
Teniendo en cuenta todo lo anteriormente expuesto, y la sanción aplicada a Mercadona, lo cierto es que el uso de estas tecnologías requerirán por parte de la empresa responsable del tratamiento un análisis detallado y pormenorizado que soporte este tipo de tratamiento de datos sobre una base de legitimación adecuada y que en el caso de que dicha base se centre en el interés legítimo, cumpla con el triple juicio de proporcionalidad; haciendo un análisis extensible a todos los interesados cuyos datos sean objeto de tratamiento.
Letslaw es un despacho de abogados especializado en privacidad y nuevas tecnologías.