El reconeixement facial en els supermercats de Mercadona, és una mesura legal?

EL RECONEIXEMENT FACIAL EN ELS SUPERMERCATS DE MERCADONA, ÉS UNA MESURA LEGAL?

Recentment, Mercadona ha començat a utilitzar en diferents establiments un sistema de reconeixement facial. Com bé hem tractat en altres articles d’aquest blog, aquesta tecnologia implica un tractament de dades biomètriques, per la qual cosa la normativa els confereix d’especial protecció.

En conseqüència, un sistema com el de Mercadona, encaixaria amb l’ordenament jurídic vigent? Quins són els límits? Quins requisits previs hauria de complir una entitat per a fer ús d’aquesta tecnologia? Aquestes, així com d’altres qüestions, són les que tractarem en el blog d’avui.

De fet, l’interès i una certa polèmica que ha causat aquesta mesura, ha arribat a la seu de l’Agència Espanyola de Protecció de Dades, obrint-se una fase de recerca que podria acabar en expedient sancionador. Però, quines probabilitats hi ha que Mercadona acabi sancionada i retirant aquest sistema dels seus establiments?

En primer lloc, cal dir que Mercadona ha expressat que la finalitat de l’ús d’un sistema de reconeixement facial és per a detectar a aquelles persones que, amb sentències fermes o mesures cautelars que tinguin una ordre d’allunyament contra Mercadona o els seus treballadors, se’ls prohibeixi entrar a les botigues. La funcionalitat és relativament simple, de manera que, una vegada el sistema descobreix que una d’aquestes persones vol accedir al supermercat, després de confrontar la seva imatge amb una base de dades, genera una alerta que serà contrastada per un equip de seguretat per a després alertar a les Forces i Cossos de Seguretat de l’Estat.

Cal afegir com a informació prèvia, que Mercadona afirma que les imatges no s’emmagatzemen, sent eliminades als 0,3 segons. També, afirma que el sistema es nodreix amb les imatges generades per les càmeres de videovigilància que han estat aportades com a prova en el procediment judicial on ha estat dictada la sentència.

Amb tot això, si entrem a analitzar els riscos i legalitat de la mesura, ens adonem que existeix una falta de transparència considerable, ja que poca és la informació que Mercadona ofereix. L’article 9.2 del RGPD estableix que el tractament d’aquesta mena de dades ha de respondre a un interès públic essencial i ha de ser proporcional a l’objectiu perseguit. I, així ho argumenta Mercadona, però, si analitzem el cas concret, veiem que és discutible pensar que, segons la finalitat establerta, només es parli d’interès públic i no d’interès corporatiu o de l’empresa, volent-se protegir les propietats de l’empresa.

D’altra banda, aquest tractament de dades, segons la normativa vigent, ha d’obeir als principis de licitud, lleialtat, transparència, limitació en la finalitat i minimització de dades. I, si relacionem aquests principis amb la mesura adoptada per Mercadona, podem concloure que la mesura manca de transparència (cartell informatiu i poc més), que afecta a tot client (incloent nens) ja que les seves dades són contrarestades encara que finalment es prengui una mesura determinada respecte a unes persones determinades, i, desconeixem si les garanties que invoca la normativa vigent han tingut lloc (Avaluació d’impacte, mesures tècniques i organitzatives, informes reglamentaris, etc.) .

També, sota el principi de proporcionalitat, caldria analitzar quants condemnats existirien per a determinar si la mesura és proporcional o no. Ja que, de tractar-se d’un percentatge ínfim, resultaria discutible afirmar que la mesura és proporcional si la presa de dades de tots de fa de tots els clients (encara que s’eliminin als 0,3 segons). Per exemple, estaríem davant un escenari diferent, si el sistema de reconeixement facial s’hagués implementat en aquelles botigues que han sofert més robatoris, o, amb articles de major valor, encara que tampoc semblaria una mesura proporcional, tret que Mercadona pogués argumentar la idoneïtat de la mesura i que les garanties adequades han pres lloc.

També, cal valorar la fiabilitat o percentatge de fallada del sistema, queda la tecnologia prou desenvolupada per a garantir que les decisions que es prenguin no quedin fonamentades en falles de sistema? Els riscos que es generen són nombrosos, incloent afectació de drets i llibertats fonamentals, com el de l’honor (imagini’s ser expulsat davant de la resta de clients), privacitat, protecció de dades, etc. 

En conclusió, si Mercadona no ha complert amb les garanties de la normativa vigent, com que ofereixin una solució proporcional, fonamentada jurídicament, i, que compti amb les mesures tècniques i organitzatives adequades per a salvaguardar els drets i llibertats fonamentals dels ciutadans (i, especialment, nens), podria enfrontar-se a un règim sancionador molt sever amb multes de fins a 20 milions d’euros o, en el cas d’una empresa, el 4% del seu volum de negocis anual mundial.

Al final, la solució o resultat dependrà de la interpretació i grau d’exigència de les autoritats de control i tribunals respecte als requisits de la normativa vigent de protecció de dades i seguretat de la informació, però, en tot cas, l’ús d’aquestes tecnologies haurà de dissenyar-se des del moment 0 sota el principi de protecció de dades des del disseny i per defecte, garantint la correcta harmonia entre el marc jurídic i la revolució tecnològica, explotant els avantatges d’aquestes però salvaguardant els drets i llibertats fonamentals dels ciutadans.

En DATAX, som especialistes en l’adequació i implementació de les obligacions legals i millors pràctiques en projectes tecnològics. Amb una llarga trajectòria professional que ens acredita, els nostres clients poden incorporar les seves solucions digitals en el mercat amb la garantia de dissenyar un producte tècnic que vagi en línia amb la normativa vigent en protecció de dades, privacitat i seguretat de la informació.

Javier de Zea

Consultor Legal en matèria de protecció de dades i seguretat de la informació.