La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

El pasado 27 de julio de 2021, la Agencia Española de Protección de Datos (“AEPD”) impuso en su procedimiento PS/00120/2021 (el “Procedimiento”) a Mercadona, S.A. (“Mercadona”) una multa de 3,15 millones de euros. La multa es consecuencia de diversas infracciones del RGPD relacionadas con el sistema de reconocimiento facial implementado por Mercadona en varias de sus tiendas.

En el pago de la multa, Mercadona utilizó el descuento del 20% por pago voluntario, por lo que el pago final fue de 2,52 millones de euros.

Según el Procedimiento, Mercadona infringió los siguientes artículos del RGPD:

(i) El tratamiento de categorías especiales de datos personales (art. 9); (ii) la licitud del tratamiento (art. 6); (iii) el principio de minimización de datos (art. 5.1.c), (iv) la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art. 12) (v) la información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13) (vi) la protección de datos desde el diseño y por defecto (art. 25) y (vii) la evaluación de impacto relativa a la protección de datos (art. 35).

Debido a la extensión del presente post, hemos decidido publicarlo en dos partes. En esta primera parte, hablaremos de la infracción de los artículos 9 y 6 del RGPD relativos al tratamiento de categorías especiales de datos personales y a la licitud del tratamiento, respectivamente.


Contexto

Según el Procedimiento, Mercadona cuenta en España con 1.636 tiendas y aproximadamente 95.000 trabajadores. La cifra de negocios de Mercadona en 2019 fue más de 25.000 millones de euros de facturación.

El 1 de julio de 2020, Mercadona implementó un sistema de reconocimiento facial en varias de sus tiendas.

La finalidad de dicho sistema era evitar la entrada de personas en las tiendas de Mercadona que habían cometido un delito contra sus empleados o bienes, y que habían sido condenados en sentencia firme con una orden de alejamiento sobre las instalaciones de Mercadona.

El sistema de reconocimiento facial capturaba automáticamente los datos biométricos de cualquier persona en la tienda y los contrastaba con una base de datos de muestras biométricas asociadas a las personas que tenían una orden de alejamiento.

Recordemos que los datos biométricos tienen la consideración de datos personales y se encuentran definidos en el artículo 4.14 del RGPD: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Los datos biométricos pueden además tener la consideración de categoría especial de datos personales regulada en el artículo 9 del RGPD.


Doctrina de la AEPD sobre el reconocimiento facial

Para entender mejor el presente caso, creemos relevante indicar a continuación la doctrina de la AEPD sobre el reconocimiento facial. Dicha doctrina ha sido descrita con detalle en el Procedimiento.

En primer lugar, para poder identificar cuándo los datos biométricos de un tratamiento tienen la consideración de categoría especial de datos, resulta necesario definir y diferenciar los siguientes dos tipos de tratamientos de datos biométricos: “Identificación biométrica” y “Autenticación biométrica”.

El Informe 36/2020 del Gabinete Jurídico de la AEPD define ambos términos de la siguiente manera:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno)”.

“[…] con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.

En segundo lugar, para evitar confusión entre sistemas de reconocimiento facial y sistemas de videovigilancia, el Informe 31/2019 del Gabinete Jurídico de la AEPD explica que “los tratamientos de videovigilancia regulados en la LOPDGDD y en la LSP, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico”.

Por último, el Informe 31/2019 del Gabinete Jurídico de la AEPD explica que “la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada (…) siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial, definiendo dicha norma legal […]”.


Infracción del artículo 9 del RGPD

El sistema de reconocimiento facial de Mercadona consiste en un tratamiento de identificación biométrica, es decir, “un proceso de búsqueda de correspondencias uno-a-varios”, por lo que los datos biométricos tratados tienen la consideración de categoría especial de datos y les resulta aplicable la prohibición establecida en el artículo 9.1 del RGPD.

En consecuencia, para poder tratar los datos biométricos resulta necesaria la concurrencia de alguna de las excepciones establecidas en el articulo 9.2 del RGPD.

Dada la existencia de órdenes de alejamiento en sentencias firmes, Mercadona ampara el tratamiento en la excepción del artículo 9.2.f): “el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial”.

El problema de esta argumentación es que la captación de los datos biométricos se produce de manera indiscriminada sobre todas las personas que entran en las tiendas de Mercadona, no solo sobre las personas condenadas. Posibles clientes y empleados de Mercadona se ven directamente afectados por las medidas de reconocimiento facial, y el tratamiento de sus datos no puede ampararse en la excepción del artículo 9.2.f) del RGPD.

En este sentido, la AEPD explica: “[…] el sistema de reconocimiento facial implantado por Mercadona, que carece de legitimación con base en el art. 9.1 del RGPD, es altamente intrusivo, afectando de manera indiscriminada a una cantidad indeterminada de ciudadanos. Se les impone de manera indirecta una medida de seguridad de naturaleza penal”.

En consecuencia, y en relación con el resto de las infracciones del RGPD cometidas por Mercadona, la AEPD indica en repetidas ocasiones que “el tratamiento analizado se encuentra prohibido de origen conforme señala el artículo 9.1 del RGPD”.


Infracción del artículo 6 del RGPD

Mercadona argumenta que la legitimación para el tratamiento de datos del sistema de reconocimiento facial está amparada en el interés público (artículo 6.1.e) del RGPD).

Sin embargo, la AEPD explica que en el momento en el que Mercadona no puede ampararse en la excepción del artículo 9.2.f) del RGPD para el tratamiento de datos del sistema de reconocimiento facial, “no es posible legitimar el tratamiento con base en los criterios de licitud del artículo 6 del RGPD. El tratamiento implantado se encuentra prohibido conforme a lo dispuesto en el art. 9.1 del RGPD, con independencia de las medidas de seguridad y condiciones de licitud expuestas en el artículo 6 del RGPD”.

En consecuencia, cuando se traten categorías especiales de datos personales se requiere una “doble legitimación”: en primer lugar que concurra alguna de las excepciones del articulo 9.2 del RGPD, y solo cuando este sea el caso, en segundo lugar, que concurra alguna de las posibles bases legales recogidas en el articulo 6 del RGPD.

Sin perjuicio de lo anterior, la AEPD explica que “tampoco sería lícito acudir directamente a lo dispuesto en el artículo 6.1.e) toda vez que no se puede compartir que con la medida de identificación implantada se esté protegiendo el interés público, sino más bien, los intereses privados o particulares de la empresa en cuestión, interés público que en todo caso deberá ser esencial”.


Conclusión

La principal lección a tener presente tras la publicación de la primera parte de este post es que en la fecha actual, en principio, no debería utilizarse un sistema de reconocimiento facial para fines de videovigilancia (identificación biométrica).

Repetimos aquí lo ya explicado en la sección de Doctrina de la AEPD sobre el reconocimiento facial: la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada (…) siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial, definiendo dicha norma legal […]”.

“[…] los tratamientos de videovigilancia regulados en la LOPDGDD y en la LSP, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico”.

Sin perjuicio de lo anterior, en caso de duda, el RGPD establece en su artículo 36 un mecanismo denominado “consulta previa” mediante el cual el responsable del tratamiento puede consultar con la AEPD antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo”.

En nuestro siguiente post, escribiremos sobre las infracciones cometidas por Mercadona de los artículos 5.1.c), 12, 13, 25 y 35 del RGPD.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que ofrece entre otras herramientas, una base de datos con todos los procedimientos de la AEPD por infracción del RGPD y un sistema de alertas para ser notificado de los nuevos procedimientos. Para más información pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x