Volver

Caso Mercadona: identificación biométrica indiscriminada

Publicaciones
09-Sep-21

Recientemente, asistimos al fallido “piloto” de la organización Mercadona, basado en la instalación de sistemas de identificación biométrica en sus tiendas, que culminó en una sanción por parte de la Agencia Española de Protección de Datos (en adelante, AEPD), de 3,15 millones de euros. No obstante, debido al pago voluntario de la organización, la citada cantidad fue rebajada a 2,52 millones.

Tal y como alegó Mercadona, el sistema fue implantado para detectar “única y exclusivamente” a sujetos que hubiesen sido condenados previamente mediante sentencia firme por hechos realizados frente a las personas, bienes o trabajadores de la organización. 

El sistema instalado, realmente capturaba indiscriminadamente de forma automática la imagen de cualquier persona que entraba en sus establecimientos, almacenando un patrón que posteriormente era comparado con el patrón almacenado de aquellas personas previamente condenadas. De esta forma, la organización trataba datos biométricos; datos tienen la consideración de categoría especial conforme al artículo 9 del Reglamento General de Protección de Datos (en adelante, RGPD).

En el presente artículo nos centraremos en las infracciones cometidas por Mercadona por la instalación de este sistema. Según la resolución el sistema vulneraba los siguientes preceptos del RGPD:

  1. El artículo 9 (tratamiento de categorías especiales de datos).
  2. El artículo 6, (licitud del tratamiento).
  3. Los artículos 12 y 13 (transparencia de la información facilitada).
  4. El artículo 5.1 c) (principio de minimización).
  5. El artículo 25.1 (protección de datos desde el diseño).
  6. El artículo 35 (evaluación de impacto a la protección de datos). 
  1. Infracción del artículo 9

Para el tratamiento de categorías especiales de datos como lo constituye el dato biométrico facial, es necesario que nos encontremos ante una de las excepciones del 9.2 del RGPD. 

Mercadona basa su tratamiento en el 9.2 f) del citado artículo, amparándose en que “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial”.

La AEPD en este punto hace hincapié en la falta de aplicación de la citada excepción, señalando que el tratamiento se está realizando no solo sobre los previamente condenados, si no de forma indiscriminada sobre cualquier sujeto que entra en las instalaciones de la organización. En palabras de la AEPD:

“Una sentencia penal entre partes no habilita per se el tratamiento de datos biométricos de forma masiva “uno-a-varios”, remota e indiscriminada, afectando a un importante e indeterminado grupo de población, incluido menores de edad… Extrapolándolo, llegaríamos al absurdo que, mediante la imposición de una medida de seguridad para un sujeto o sujetos concretos en una sentencia judicial, o incluso en una resolución administrativa, podría habilitarse el establecimiento de un tratamiento de reconocimiento facial masivo, lo que violentaría la letra y el espíritu del RGPD.”

  1. Infracción del artículo 6

Mercadona defiende que el tratamiento realizado encuentra legitimación en el artículo 6.1 e) del RGPD, es decir, basa su legitimación en el cumplimiento de una misión realizada en interés público.

Al respecto, la AEPD, es clara al señalar que Mercadona carece de legitimación para efectuar el tratamiento, alegando que “aunque la ausencia de causa que levante la prohibición del tratamiento de categorías especiales de datos determina, por sí sola, la prohibición del tratamiento realizado por Mercadona, y debe señalarse que tampoco concurre una base jurídica que legitimara, en su caso, el mismo al amparo del artículo 6.1. del RGPD sobre la base del interés público”.

En este sentido, la AEPD indica que el interés público requiere en todo caso, su concreción mediante ley, y que, además, el sistema implantado nunca podría considerarse proporcional.

  1. Infracción de los artículos 12 y 13

Mercadona decidió informar a través de carteles en los cuales se estipulaba que la finalidad del tratamiento era “detectar únicamente aquellas personas con una orden de alejamiento o medida judicial análoga, en vigor que puedan suponer un riesgo para su seguridad”.

Al respecto, la AEPD explica que “el sistema no se pone en marcha para proteger a los clientes, sino a Mercadona, consecuencia de la obtención de una sentencia favorable a sus intereses”

Por otro lado, la AEPD destaca, que, debido al tipo de tecnología, y a que van a tratarse datos de menores y otros colectivos vulnerables, la información debería ser específica para los mismos.

Asimismo, la AEPD señala que los carteles no informaban sobre las posibles transferencias internacionales.

  1. Infracción del artículo 5.1 c) 

El principio de minimización supone que los datos tratados sean “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

El sistema analizado atenta contra este principio ya que se está haciendo un tratamiento de datos indiscriminado a toda persona que entra en las instalaciones.  En palabras de la AEPD: 

“En el tratamiento ahora analizado se observa claramente un sistema de reconocimiento facial indiscriminado y masivo ya que, dependiendo de los datos biométricos recogidos, pueden derivarse datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades raras y características genéticas, consumos de sustancias, etc.”

  1. Infracción del artículo 25.1 

Mercadona no tuvo en cuenta los posibles riesgos derivados de la implantación de este sistema.

La AEPD en su resolución, se centra en los errores de identificación que pueden darse por el uso de esta tecnología, concluyendo que es “un riesgo más que no podemos permitirnos, pues la inexactitud es predecible desde el propio momento del diseño de este tipo de sistemas de información a la hora de identificar al condenado y su confusión con otra persona puede generar un riesgo de discriminación y exclusión social inaceptable

  1. Infracción del artículo 35

La AEPD destaca la deficiencia de la evaluación de impacto realizada por Mercadona, ya que no se tuvo en cuenta el tratamiento de datos de menores y otros grupos vulnerables, ni el impacto del tratamiento sobre sus propios empleados. 

Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más