El reconocimiento facial en los supermercados de Mercadona, ¿Es una medida legal?

Recientemente, Mercadona ha empezado a utilizar en distintos establecimientos un sistema de reconocimiento facial. Como bien hemos tratado en otros artículos sobre reconocimiento facial, dicha tecnología implica un tratamiento de datos biométricos, por lo que la normativa les confiere de especial protección.

En consecuencia, un sistema como el de Mercadona, ¿encajaría con el ordenamiento jurídico vigente? ¿Cuáles son los límites? ¿Qué requisitos previos debería cumplir una entidad para hacer uso de dicha tecnología? Éstas, así como de otras cuestiones, son las que trataremos en el blog de hoy.

De hecho, el interés y cierta polémica que ha causado dicha medida, ha llegado a la sede de la Agencia Española de Protección de Datos, abriéndose una fase de investigación que podría acabar en expediente sancionador. Pero, ¿qué probabilidades hay de que Mercadona acabe sancionada y retirando dicho sistema de sus establecimientos?

En primer lugar, cabe decir que Mercadona ha expresado que la finalidad del uso de un sistema de reconocimiento facial es para detectar a aquellas personas que, con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra Mercadona o sus trabajadores, se les prohíba entrar a las tiendas. La funcionalidad es relativamente simple, de modo que, una vez el sistema descubre que una de estas personas quiere acceder al supermercado, tras confrontar su imagen con una base de datos, genera una alerta que será contrastada por un equipo de seguridad para después alertar a las Fuerzas y Cuerpos de Seguridad del Estado.

Cabe añadir como información previa, de que Mercadona afirma que las imágenes no se almacenan, siendo eliminadas a los 0,3 segundos. También, afirma que el sistema se nutre con las imágenes generadas por las cámaras de videovigilancia que han sido aportadas como prueba en el procedimiento judicial donde ha sido dictada la sentencia.

Con todo ello, si entramos analizar los riesgos y legalidad de la medida, nos damos cuenta de que existe una falta de transparencia considerable, ya que poca es la información que Mercadona ofrece. Según el artículo 9.2 del RGPD establece que el tratamiento de este tipo de datos debe responder a un interés público esencial y debe ser proporcional al objetivo perseguido. Y, así lo argumenta Mercadona, pero, si analizamos el caso concreto, vemos que, según la finalidad establecida, no podemos hablar de interés público, sino en todo caso interés corporativo o de la empresa, queriéndose proteger las propiedades de la empresa.

Por otro lado, dicho tratamiento de datos, según la normativa vigente, debe obedecer a los principios de licitud, lealtad, transparencia, limitación en la finalidad y minimización de datos. Y, si relacionamos dichos principios con la medida adoptada por Mercadona, podemos concluir que la medida carece de transparencia (cartel informativo y poco más), que afecta a todo cliente (incluyendo niños) ya que sus datos son contrarrestados aunque finalmente se tome una medida determinada respecto a unas personas determinadas, y, desconocemos si las garantías que invoca la normativa vigente han tenido lugar (Evaluación de impacto, medidas técnicas y organizativas, informes reglamentarios, etc.) .

Por otro lado, bajo el principio de proporcionalidad, cabría analizar cuántos condenados existirían para determinar si la medida es proporcional o no. Ya que, de tratarse de un porcentaje ínfimo, resultaría discutible afirmar que la medida es proporcional si la toma de datos de todos de hace de todos los clientes (aunque se eliminen a los 0,3 segundos). Por ejemplo, estaríamos ante un escenario distinto, si el sistema de reconocimiento facial se hubiere implementado en aquellas tiendas que han sufrido más robos, o, con artículos de mayor valor, aunque tampoco parecería una medida proporcional, salvo que Mercadona pudiese argumentar la idoneidad de la medida y que las garantías adecuadas han tomado lugar.

También, cabe valorar la fiabilidad o porcentaje de fallo del sistema, ¿queda la tecnología lo suficientemente desarrollada para garantizar que las decisiones que se tomen no queden fundamentadas en fallas de sistema? Los riesgos que se generan son numerosos, incluyendo afectación de derechos y libertades fundamentales, como el del honor (imagínese ser expulsado delante del resto de clientes), privacidad, protección de datos, etc.

En conclusión, si Mercadona no ha cumplido con las garantías de la normativa vigente, como que ofrezcan una solución proporcional, fundamentada jurídicamente, y, que cuente con las medidas técnicas y organizativas adecuadas para salvaguardar los derechos y libertades fundamentales de los ciudadanos (y, en especial, niños), podría enfrentarse a un régimen sancionador muy severo con multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.

Al final, la solución o resultado dependerá de la interpretación y grado de exigencia de las autoridades de control y tribunales respecto a los requisitos de la normativa vigente de protección de datos y seguridad de la información, pero, en todo caso, el uso de dichas tecnologías deberá diseñarse desde el momento 0 bajo el principio de protección de datos desde el diseño y por defecto, garantizando la correcta armonía entre el marco jurídico y la revolución tecnológica, explotando las ventajas de éstas pero salvaguardando los derechos y libertades fundamentales de los ciudadanos.

En DATAX, somos especialistas en la adecuación e implementación de las obligaciones legales y mejores prácticas en proyectos tecnológicos. Con una larga trayectoria profesional que nos acredita, nuestros clientes pueden incorporar sus soluciones digitales en el mercado con la garantía de diseñar un producto técnico que vaya en línea con la normativa vigente en protección de datos, privacidad y seguridad de la información.

Javier de Zea

Consultor Legal en materia de protección de datos y seguridad de la información.