Este pasado lunes, os informamos que Mercadona había accedido a pagar una multa de 2,5 millones de euros para cerrar el procedimiento abierto por la Agencia Española de Protección de Datos (AEPD) por su controvertido sistema de reconocimiento facial, que retiró de sus supermercados el pasado mes de mayo. Ahora, nos vemos obligados a contaros que la AEPD ha desgranado la motivación legal detrás de esta sanción publicando la resolución del caso, un documento PDF de 113 páginas en el que concluye que existía una "violación de la privacidad".
Según alegó Mercadona, comenzó a implementar el sistema para detectar "única y exclusivamente" la entrada a sus establecimientos de personas con sentencias firmes y medida cautelar de orden de alejamiento. La cadena de supermercados adujo que no se generaría una base de datos de condenas penales y que el sistema comparaba "una muestra biométrica dubitada, obtenida a través de una o varias imágenes de una persona, frente a una base de datos de muestras biométricas ya asociadas de forma indubitada a la identidad de una persona, que han sido registradas previamente a través de una o varias fotografías".
Para ello, Mercadona explicaba que las "muestras biométricas dubitadas" obtenidas mediante el sistema de reconocimiento facial se transformaban en "patrones" que, posteriormente, se comparaban con esas fotos. En este sentido, la cadena llega a plantear que estos patrones no se consideran dato personal. "El patrón de una persona no constituye un dato de carácter personal, lo que no necesita base legal para su tratamiento".
La AEPD rechaza este argumento al recordar que el patrón biométrico recoge las características físicas de los sujetos de forma que le identifica de manera inequívoca por lo que "tanto la fotografía como el Patrón biométrico constituyen dato personal y su tratamiento está sujeto al RGPD".
Vulnera el Reglamento General de Protección de Datos (RGPD)
La resolución del caso publicada por la AEPD establece que el tratamiento de datos realizado por Mercadona se llevó a cabo sin que concurriera una base jurídica que lo legitimara, "al amparo del artículo 6.1. del RGPD sobre la base del interés público".
La AEPD también señala que la compañía "estaba preconstituyendo la excepción del art. 9.2 del RGPD a los efectos de poder tratar los datos biométricos regulados en el art. 9 del RGPD", tras haber obtenido una resolución judicial que permite de forma genérica la implantación de la medida de seguridad.
"La cadena de supermercados interpreta de forma unilateral el alcance de la resolución judicial y la utiliza a los efectos de justificar que ostenta legitimación en el sentido del art. 9.2.f) del RGPD no sólo para el condenado, sino también para el resto de los ciudadanos afectados por el sistema cuando acceden a los supermercados – que la mercantil engloba bajo el nombre de 'no condenados'", afirma la AEPD, que considera que esto supone, a efectos prácticos, "que todos los ciudadanos sean tratados como condenados" al estar siendo "sometidos al mismo tratamiento que aquel sujeto al que se le impuso la medida de seguridad".
La AEPD manifiesta su respeto a las resoluciones judiciales, pero cree que la interpretación de Mercadona es "extensiva y unilateral de los términos expuestos" y contraria "a los principios de necesidad, proporcionalidad y minimización que señala el RGPD (arts. 5.1.c), 25, 35.7.a) y considerandos 4, 156 y 170, por todos)".
Asimismo, denuncia que la empresa justica la utilidad del sistema de reconocimiento facial basándose en su eficacia pero que confunde "utilidad" con la "necesidad" objetiva de la medida. "La medida implantada podrá ser eficaz, pero de ninguna manera necesaria", subraya.
Resiente derechos de sus potenciales clientes
El sistema de reconocimiento facial implementado por Mercadona, de una firma israelí llamada AnyVision, estuvo activo desde junio de 2020 hasta el pasado mes de mayo y la compañía lo defendía alegando que es "técnicamente imposible controlar de forma eficaz la entrada de personas condenadas (...) sin la utilización de un mecanismo tecnológico". "Optar por un mecanismo alternativo implicaría, sin duda, una alteración de la finalidad del tratamiento de datos que se persigue", defendía.
No obstante, en el procedimiento Mercadona reconoce que desde que lo puso en marcha ha recibido "una solicitud de ejercicio de derechos" que se atendió "correspondientemente". "Este hecho permite concluir que los interesados consideran que la información que Mercadona les proporciona a través de los canales mencionados da estrictamente cumplimiento a las disposiciones de la normativa de protección de datos y que el propósito seguido por Mercadona al objeto del Proyecto es proporcional y adecuado", expresaba.
La AEPD recuerda que, hasta ahora, no había adoptado ninguna posición con respecto al despliegue de esta tecnología y critica que Mercadona no haya utilizado "el mecanismo normativo establecido a tal efecto".
Además, expone que Mercadona estaba vulnerando los derechos de sus potenciales clientes al dar la impresión de que este sistema de vigilancia biométrica se había instalado en todos sus supermercados de forma permanente. "Se hurta a los potenciales clientes de la posibilidad de no entrar en el supermercado concreto y elegir otro en el que no esté instalado el sistema de reconocimiento facial. Se está limitando de facto el derecho a la autodeterminación, la libertad y la intimidad. La información debe indicar si está instalado o no el sistema".
La multa inicial ascendía a 3,1 millones
Por todo ello, la sanción inicial que propuso la AEPD ascendía a más de 3,1 millones de euros pero la cadena de supermercados española ha obtenido una rebaja del 20% por decidir llevar a cabo el pago voluntariamente. "Con la aplicación de esta reducción, la sanción quedaría establecida en 2.520.000€ (dos millones quinientos veinte mil euros) y su pago implicará la terminación del procedimiento", explica la AEPD en la resolución.