¿Es legal el uso de reconocimiento facial de Mercadona?

El 1 de julio de este año, la conocida cadena de supermercados Mercadona anunció la implantación en 40 de sus tiendas, en las provincias de Valencia, Mallorca y Zaragoza, de un sistema de reconocimiento facial que, según declaraciones de los representantes de la cadena, “busca únicamente identificar a aquellas personas que tengan sentencias firmes de robo o hurto contra esta empresa o que tengan que acatar las medidas contenidas en órdenes de alejamiento para con trabajadores o trabajadoras de sus supermercados”. Este anuncio, sin embargo y pese a los esfuerzos por parte de los equipos de comunicación de la empresa para intentar mitigar el recelo que este tipo de medidas pueden conllevar, fue recibido con alarma entre la gran mayoría de los consumidores, que vertieron sus preocupaciones tanto en redes sociales como en declaraciones recogidas por la prensa.

La empresa manifiesta haber realizado consultas previas a la autoridad competente, ante lo que la Agencia Española de Protección de Datos ha declarado que ya antes se le había trasladado a Mercadona gran parte de los problemas y dificultades podían acarrear la implantación de tecnologías de estas características. Es por ello que la AEPD ha decidido investigar los particulares del tratamiento de la información soportada en las grabaciones en vídeo que necesariamente han de realizarse para desarrollar este sistema de reconocimiento facial ya implantado en ciertas tiendas, para determinar así su cumplimiento y licitud de acuerdo con la normativa de protección de datos personales vigente.

Por el momento y, al encontrarse la investigación en fase de actuaciones previas, son desconocidas para el gran público tanto el funcionamiento como muchos de los particulares del impacto y las implicaciones que conlleva este tratamiento de datos biométricos para las personas que acudan a estas tiendas. Sin embargo, y en cuanto al funcionamiento del programa informático de la compañía israelí AnyVision del que se ha proveído a Mercadona y que ejecuta realmente esta tarea de reconocimiento, los representantes de la cadena de supermercados han compartido algunos de los procesos que, aseguran, dotan a este tratamiento de ciertas garantías en lo que a riesgos para la privacidad de los consumidores se refiere. De esta forma y para recalcar ciertos aspectos que podrían funcionar como garantías para la salvaguarda del derecho fundamental a la protección de datos personales, se ha hecho hincapié en que las imágenes grabadas y captadas para su posterior cotejamiento, con los datos de aquellas personas cuya identificación es el objeto de este tratamiento, no se almacenan ni son guardadas por la compañía. Estas imágenes, registradas por una cámara en la entrada de los establecimientos, pasan directamente a tratarse por el software de AnyVision, que necesita únicamente de 0,7 segundos para poder relacionar los patrones encontrados en el rostro de la persona que está siendo grabada y el de una persona a la que se deba denegar la entrada según los criterios establecidos por Mercadona y que, por lo tanto, integra la base de datos.

El tratamiento de datos personales principal y sobre el que se mantienen todavía tanto incógnitas como importantes preocupaciones, sigue siendo la extracción de una información que identifica directamente a los interesados, a todas y cada una de las personas cuyo rostro es grabado, por lo que la mera recogida de estas imágenes y procesamiento constituye un tratamiento de datos personales. En ese sentido, y una vez se ha establecido que se está desarrollando un tratamiento de datos personales, se ha de proceder a analizar los diferentes elementos que lo componen.

Este análisis es necesario para poder determinar la licitud o no de este tratamiento, especialmente considerando las particularidades de la categoría de datos que se están tratando, datos biométricos y por lo tanto especialmente protegidos. Esto es así al posibilitar las imágenes de los rostros de los interesados la identificación de forma directa, única e inequívoca de todas las personas que sean grabadas. La recogida de imágenes para su posterior reconocimiento ha de cumplir con los criterios y normas contenidas en el Reglamento General de Protección de Datos, de acuerdo con el cual estamos ante un tratamiento intensivo de datos biométricos, que plantea así situaciones de alta incursión en la esfera privada y en el derecho fundamental de protección de datos personales de los interesados. Tanto es así que para poder autorizarse y confirmar la licitud de este tipo de tratamientos, ha de confirmarse la correcta apreciación de aspectos como la naturaleza y el origen de los datos, el modo de desarrollo del mismo y, sobre todo, la finalidad. Estos elementos han de estudiarse junto con los principios informadores de la normativa que nos ocupa, para así poder determinar si las medidas implantadas son proporcionales a la intrusión en la esfera privada de los interesados que suponen.

De acuerdo con la normativa de protección de datos personales, los tratamientos han de respetar siempre un nivel mínimo de proporcionalidad entre la intrusión que pueden suponer estos tratamientos en la esfera privada de las personas y las condiciones y garantías que acompañan a este para poder subsanar los posibles efectos adversos que conlleven. Así, se establece que para aquellos tratamientos que necesiten de datos de categorías especiales, como es el caso de los datos biométricos, se habrá de recabar el consentimiento explícito del interesado como base para la legitimación de los usos y acciones que se vayan a desarrollar con su información. En el caso que nos ocupa, y por el momento, no se está recabando el consentimiento expreso de los interesados, dándose además una situación en la que difícilmente las dos partes, empresa y cliente, puedan considerarse con la misma capacidad de negociar los efectos de otorgar o no el consentimiento, al traducirse esto directamente en la imposibilidad por parte del cliente directo de seguir realizando sus compras en ese supermercado. 

El nivel de intrusión en la vida privada de los interesados ha de entrar en el ya mencionado juicio de proporcionalidad, que según la normativa exige por lo tanto la expresión del consentimiento explícito de los interesados. Si este consentimiento no se recabase explícitamente y no se recogiese por métodos de prueba como puede ser un soporte escrito, como está siendo el caso en este tratamiento de reconocimiento facial, esto debe subsanarse con el respaldo de otra base de legitimación lo suficientemente fuerte como para llegar a justificarse la necesidad de este tratamiento para obtener los fines deseados, como puede ser el mantenimiento del correcto funcionamiento del negocio y la prevención contra robos, hurtos y situaciones de inseguridad para las trabajadoras de la empresa. Esta base de legitimación, asegura Mercadona, es el “interés público” que se recoge de igual forma como legitimación excepcional en la normativa de protección de datos personales. Sin embargo, esto crea dudas a la hora de interpretar su validez o falta de la misma en este caso, al servir realmente la implantación de esta tecnología de mayor forma a un fin privado de la empresa como sería el garantizar la seguridad de sus instalaciones.

En cuanto a la implantación de tecnologías de reconocimiento facial y su uso apropiado para la garantía y el mantenimiento de la seguridad de lugares físicos, la AEPD dictaminó como respuesta a una consulta por parte de una empresa de seguridad privada, dentro del Informe 010308/2019, que sigue siendo a día de hoy insuficiente el marco normativo dedicado a regular este tipo de tratamientos y considerando que será necesaria la aprobación de “una norma con rango de ley que justificara específicamente en qué medida y qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial” para la correcta definición de los requisitos de licitud de este tipo de tratamientos.

La demanda y la expectación con la que se espera ahora mismo un mayor detalle de aquellos elementos que componen ahora mismo el marco del desarrollo de este tratamiento son, como no podría ser de otra manera, altas. El sector y la oferta de tecnologías de reconocimiento facial han sufrido un crecimiento exponencial en los últimos años y aunque no se espera que esta tendencia desaparezca, decisiones sobre este tipo de prácticas por parte de las autoridades competentes definirán nuevas prácticas en el sector y nuevas normas que implantar tanto en el desarrollo como en la aplicación de estas. En parte, se puede interpretar que la elevada expectación que está produciendo esta noticia viene originada de las posibles consecuencias que puedan derivarse de la investigación, como altas sanciones al responsable del tratamiento, en este caso Mercadona. La enjundia del caso solo crece igualmente, cuando se consideran aspectos como la obtención de la información que compone las bases de datos con las que se contrastan los rostros o la gestión y comunicación a terceros o a las autoridades competentes de los resultados del desarrollo del tratamiento realizado. A la hora de plantearse la implementación de este tipo de soluciones es necesario por lo tanto tener en cuenta todos estos factores desde el inicio de la planificación y del diseño de estas medidas. Esto ha de estar presente en todos los tratamientos de datos personales cuyo desarrollo se plantee cualquier entidad, sin embargo y como se ha visto, al estar el entorno en el que se llevan a cabo estos tratamientos compuesto de un gran abanico de variables y de diferentes aspectos a considerar, siempre es recomendable contar con el asesoramiento y consejo de profesionales especializados en la protección de datos personales antes, durante y después de la realización de estos tratamientos.

Sofía Ruiz de la Viuda, Legal Team, Legal Army.

¿Comenzamos?

Cuéntanos un poco sobre tu negocio y te contactaremos en menos de 24 horas.