Hace varios meses publiqué un post “El reconocimiento facial en el caso Mercadona”, en el que explicaba en qué consisten los sistemas de reconocimiento facial a la entrada de determinados comercios, en aeropuertos, en empresas…y ponía sobre la mesa el debate que se había generado acerca de la licitud del uso de esta tecnología que en los últimos años se ha convertido en un área de investigación activa.
Pues bien, ya contamos con la resolución de la AEPD, cerrando así el circulo de este polémico asunto.
El proyecto piloto de reconocimiento facial le ha salido caro a Juan Roig, presidente de Mercadona, que en julio del año pasado anunciaba la instalación de cámaras de seguridad dotadas con esta tecnología en 48 de las 1.640 tiendas de las que dispone la cadena de supermercados, según explicaron, “para detectar, única y exclusivamente, la entrada de personas con sentencias firmes y medidas cautelares de orden de alejamiento en vigor contra Mercadona o contra alguno de sus trabajadores o trabajadoras».
Como resultado de la resolución, el gigante de la alimentación que preside Juan Roig ha pagado los 2,5 millones de euros ante «la indefinición y dudas legales sobre el sistema de detección anticipada» que la compañía implantó en 48 de sus tiendas. Ahora, la AEPD ha hecho públicas las razones que han llevado a la sanción, que inicialmente era de 3,1 millones de euros.
Para comenzar hemos de explicar que, a principios de este año, la Audiencia Provincial de Barcelona tumbó el proyecto piloto de Juan Roig al dictaminar, amparándose en la violación del derecho a la imagen, que la empresa no podía desplegar este sistema. En el auto, los magistrados de este órgano defendían que se debe preguntar con qué consentimiento recaba Mercadona esas imágenes y «por qué mantienen una base de datos de fotografías de gente». Y determinaban que, con estas medidas no se está protegiendo el interés público, “sino más bien, los intereses privados o particulares de la empresa en cuestión”, vulnerando las garantías, no solo de los que han sido penados y cuya prohibición les incumbe, sino del resto de personas que se acercan al supermercado
La cadena, explicó que el sistema detectaba en tres décimas a los individuos condenados con una orden de alejamiento, y que, respecto al resto de clientes, «no se guardaba ningún tipo de información lo que imposibilita totalmente la posibilidad de identificar a las personas sobre las que no existe una prohibición judicial de acceso al establecimiento».
Sin embargo, los magistrados han considerado que la rapidez no exime a la compañía de una violación de la privacidad, algo que los ha llevado, finalmente, a negar la instalación de estos sistemas de reconocimiento facial, al no tratarse de una medida proporcional ni necesaria.
Para el tribunal existe una clara vulneración de la privacidad en la tecnología desarrollada por la empresa presidida por Juan Roig
Pero, ¿qué aspectos del proyecto de reconocimiento facial han llevado a la sanción?
La AEPD ha dado dos golpes de efecto últimamente en materia de reconocimiento facial, hace unas semanas denegando a una entidad bancaria la posibilidad de imponer la identificación biométrica a sus clientes vía app móvil, y con esta sanción a Mercadona.». «El denominador común es que en ambos casos las empresas pretendían legitimar el sistema por la vía fácil: apelando al “interés público”, al bien común, en vez de reconocer que esta tecnología serviría principalmente a sus propios intereses legítimos corporativos«.
¿Cómo diferenciaba el sistema de Mercadona quienes tenían orden judicial? La empresa se basaba en sus propios juicios contra quienes hurtaban y solicitaban al juez que se decretara precisamente esta medida. Una «buena idea», pero donde la AEPD les imputa el hecho de haber empezado antes de realizar la evaluación de impacto. Un informe de impacto donde no se valoraron los riesgos respecto a los propios trabajadores de la empresa y el de los clientes vulnerables como menores, según apunta la AEPD.
Según la Agencia, se tratan datos biométricos sin base suficiente ni se cumplen los requisitos básicos de interés público.
La resolución de la AEPD indica que la cadena de distribución señaló en el procedimiento que «se planteó la implementación de un sistema de detección anticipada utilizando la tecnología de reconocimiento facial en sus tiendas […] motivada por el riesgo derivado de la comisión de hechos delictivos, con su correspondiente riesgo para los clientes y empleados de Mercadona debido a la gran cantidad de delitos que se comenten en sus más de 1.600 centros distribuidos en toda la geografía española, contra sus empleados o bienes».
No obstante, la AEPD considera entre otros aspectos en su resolución que «Mercadona no ostenta legitimación para llevar a cabo el tratamiento de datos personales consistente en el reconocimiento facial». Asimismo, señala que la cadena de distribución «se centra en la utilidad de la medida porque es eficaz, confundiendo ‘utilidad’ con la ‘necesidad’ objetiva de la medida. La medida implantada podrá ser eficaz, pero de ninguna manera necesaria».
Igualmente, ante la alegación de la empresa sobre que el patrón biométrico de una persona no constituye un dato de carácter personal, la AEPD señala en su resolución que «Mercadona trate la imagen de cualquier persona que entre en sus establecimientos, la capte, obtenga de la misma un patrón, la coteje con la de la persona condenada y la supriman es un tratamiento de datos de carácter personal (reconocimiento facial). El patrón así obtenido de la imagen personal constituye en sí mismo, un dato de carácter personal». «No hay dos patrones iguales», añade.
Por su parte, Mercadona defiende que compartió con la AEPD todos los procedimientos de su Sistema de Detección Anticipada antes de iniciar la prueba. Paralelamente, la compañía afirma que se aplicaron «los más estrictos estándares de transparencia», con campañas de información tanto a través de los medios de comunicación como por medio de cartelería en estos 48 supermercados. Además de ello, en todos y cada uno de los casos dispuso siempre de autorización judicial previa, sustentadas en más de treinta y siete sentencias firmes con orden de alejamiento del establecimiento en vigor que autorizaban el uso de dicha tecnología.
Uno de los debates de fondo sobre estos sistemas de reconocimiento facial es la diferencia entre la utilización de datos para unas personas concretas y para el resto. La AEPD entiende que hay legitimación para el condenado, pero no para los «no condenados».
Otro de los aspectos tenidos en cuenta con los sistemas de tratamiento de datos biométricos es la necesidad de la medida. La AEPD explica que se confunde «utilidad» con «necesidad». Pese a que estos sistemas de reconocimiento facial pueden ser «útiles», no son estrictamente necesarios y por ende consideran que el reglamento de Protección de Datos impide su uso en casos como el de Mercadona, donde se considera que no se está protegiendo el interés público, sino más bien, los intereses privados.
«¿Es posible utilizar esta tecnología? Sin duda, pero no por la vía fácil.
Estamos ante un tratamiento de categorías especiales de datos personales y que, tal y como viene recogido en el artículo 9 del RGPD, es requisito previo que concurra alguna de las circunstancias contempladas en su apartado 2 que levante la prohibición de tratamiento de dichos datos, establecida con carácter general en su apartado 1, exigiendo el artículo 9.2. de la LOPDGDD que “Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.” no existiendo, como se ha indicado, norma legal que habilite dicho tratamiento al amparo del artículo 9.2.g) del RGPD. Por lo tanto, dicha prohibición únicamente podrá levantarse en aquellos casos en que el afectado preste su consentimiento expreso, al amparo de la letra a) del artículo 9.2. del RGPD, debiendo concurrir todos los demás requisitos para otorgar un consentimiento válido que se recogen en la definición del artículo 4.11 del RGPD: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Estoy segura que esta sanción bloqueará a buen seguro algunas iniciativas anunciadas como la del equipo Atlético de Madrid de implementar este tipo de sistemas en su estadio. O al menos, servirá para que se reevalúe a la vista de todo lo apuntado por la AEPD en su resolución»,