Como ya comentamos en la primera parte de este post, el pasado 27 de julio de 2021, la Agencia Española de Protección de Datos (“AEPD”) impuso en su procedimiento PS/00120/2021 (el “Procedimiento”) a Mercadona, S.A. (“Mercadona”) una multa de 3,15 millones de euros. La multa es consecuencia de diversas infracciones del RGPD relacionadas con el sistema de reconocimiento facial implementado por Mercadona en varias de sus tiendas.

En el pago de la multa, Mercadona utilizó el descuento del 20% por pago voluntario, por lo que el pago final fue de 2,52 millones de euros.

En nuestro primer post nos centramos en las infracciones de los artículos 9 y 6 del RGPD (el tratamiento de categorías especiales de datos personales y la licitud del tratamiento respectivamente).

En esta segunda parte, hemos querido examinar las infracciones restantes cometidas por Mercadona relativas al principio de minimización de datos (art. 5.1.c), la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art. 12), la información que deberá facilitarse cuando los datos personales se obtengan del interesado (art. 13), la protección de datos desde el diseño y por defecto (art. 25) y la evaluación de impacto relativa a la protección de datos (art. 35).

Infracción del artículo 5.1.c) del RGPD

La AEPD concluye que Mercadona infringió este artículo dado que el tratamiento de datos a través de un sistema de reconocimiento facial es un tratamiento “indiscriminado y masivo ya que dependiendo de los datos biométricos recogidos, pueden derivarse datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades, taras y características genéticas, consumos de sustancias, etc. Al estar implícita, el usuario no puede impedir la recogida de dicha información suplementaria”.

“[…] Se traduciría en la práctica en el establecimiento a gran escala de un sistema de reconocimiento facial altamente intrusivo en los derechos y libertades de los afectados. Comporta un riesgo extremadamente elevado no aceptable”.

Es decir, el tratamiento de datos del sistema de reconocimiento facial va mucho más allá de lo estrictamente necesario, que en este caso sería mantener a los condenados con una orden de alejamiento fuera de las tiendas de Mercadona.

Infracción de los artículos 12 y 13 del RGPD

La AEPD considera que Mercadona infringió estos artículos debido a la falta de transparencia en la información facilitada por Mercadona a los posibles clientes y a los empleados de la empresa.

En primer lugar, la información indicada en los carteles informativos sobre la finalidad del sistema de reconocimiento facial es incorrecta. La información literal indicaba que la finalidad del sistema era “detectar únicamente aquellas personas con una orden de alejamiento o medida judicial análoga, en vigor que puedan suponer un riesgo para su seguridad”.

La AEPD explica que “Estas personas condenadas generan riesgo a los bienes e instalaciones del supermercado, que es por lo que les han condenado. […] La información suministrada no es correcta, ni se ajusta a la finalidad […], ya que el sistema no se pone en marcha para proteger a los clientes, sino a Mercadona, consecuencia de la obtención de una sentencia favorable a sus intereses (que contiene una pena para el condenado)”.

En segundo lugar, la información expuesta en los carteles informativos de los supermercados de Mercadona es idéntica, sin aclarar en cuáles de los supermercados esta activado el sistema de reconocimiento facial y en cuáles no. En palabras de la AEPD: “Se hurta a los potenciales clientes la posibilidad de no entrar en el supermercado concreto y elegir otro en el que no esté instalado el sistema de reconocimiento facial. Se está limitando de facto el derecho de autodeterminación, la libertad y la intimidad. Los riesgos derivados de esta información incorrecta son claros, el menoscabo de sus libertades y derechos fundamentales”.

En tercer lugar, Mercadona no incluye información específica para menores y otros colectivos vulnerables que merecen una especial protección. La información suministrada es la misma para todo el mundo.

En último lugar, Mercadona no informa a los clientes de la posibilidad de transferencias internacionales de sus datos personales, una posibilidad que sí está contemplada en su contrato de encargado de tratamiento.

La falta de transparencia indicada anteriormente también es extensible a la información facilitada por Mercadona en su política de privacidad.

Infracción del artículo 25 del RGPD

El tratamiento de datos mediante un sistema de reconocimiento facial conlleva riesgos de posibles errores de identificación. Es decir, que el sistema interprete erróneamente que una persona inocente tenga una orden de alejamiento.

Diversos estudios enumerados por la AEPD ilustran tasas de errores en la identificación de individuos mediante el reconocimiento facial. A modo de ejemplo, estos errores de identificación tienden a producirse con niños, con personas de edad avanzada y entre familiares. Todo ello sin olvidar que como bien indica la AEPD, en la situación actual de pandemia, la gente se ve obligada a llevar mascarillas que contribuyen a aumentar la tasa de error en las identificaciones faciales.

Este riesgo está ligado de forma intrínseca al diseño por defecto que señala el art. 25.1 del RGPD.

Sobre este riesgo de identificación errónea, la AEPD explica que “[…] a día de hoy, es un riesgo más que no podemos permitirnos, pues la inexactitud es predecible desde el propio momento del diseño de este tipo de sistemas de información a la hora de identificar al condenado y su confusión con otra persona puede generar un riesgo de discriminación y exclusión social inaceptable”.

Infracción del artículo 35 del RGPD

La AEPD concluye que Mercadona realizó una evaluación de impacto (“EIPD”) deficiente por las siguientes razones:

En primer lugar, la EPID no evaluó el impacto del tratamiento sobre los menores que accedían a sus tiendas. En segundo lugar, Mercadona tampoco contempló en su EIPD el impacto del tratamiento sobre sus propios empleados.

En tercer lugar, hay ciertos riesgos que la EIPD no contempló de forma específica, como es el caso del “riesgo a largo plazo de discriminación de una persona condenada penalmente (incluso después de que haya cumplido la condena y estén cancelados los antecedentes penales) que se siga identificando como en situación de alejamiento de los supermercados”.

Otro riesgo no contemplado específicamente en la EPID por Mercadona es el “riesgo general de utilización de datos biométricos de reconocimiento facial al convertir a todas las personas que entren en el supermercado en posibles sospechosos, sujetos a una vigilancia biométrica indiscriminada […] lo que supone un abuso del uso de los datos biométricos y una clara injerencia en los derechos fundamentales y libertades públicas de los ciudadanos”.

Conclusión

Entre los puntos mas interesantes del Procedimiento, nos gustaría destacar los siguientes:

La videovigilancia mediante un sistema de reconocimiento facial es un tratamiento de identificación biométrica cuyo tratamiento esta prohibido salvo que se dé alguna de las excepciones enumeradas en el artículo 9.2 del RGPD.

Sin perjuicio de lo anterior, la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada.

Los responsables de datos no deben ampararse en la legitimación del interés general para justificar el tratamiento cuando realmente se trata de un interés privado de la empresa. En este sentido la AEPD explica en relación con el sistema de reconocimiento facial de Mercadona: “Se instalaría en el ámbito privado un sistema que no está siendo utilizado por las Fuerzas y Cuerpos de Seguridad del Estado que persiguen la consecución de finalidades de interés general”.

Debido al riesgo de inexactitud que ofrece un sistema de identificación biométrica, el cual es predecible desde el propio momento de su diseño, es probable que un sistema de estas características infrinja el principio de protección de datos desde el diseño y por defecto recogido en el articulo 25 del RGPD.

Cuando se elabore una EIPD, es preciso tener en consideración a los grupos vulnerables y especialmente a los menores.

Por otro lado, creemos que en el presente caso, en el que se infringen siete artículos del RGPD, podría haberse argumentado la existencia de un posible concurso medial, ya que la propia AEPD menciona en el Procedimiento en repetidas ocasiones que “el tratamiento analizado se encuentra prohibido de origen conforme señala el artículo 9.1 del RGPD”.

Recordemos que el artículo 29.5 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público (LRSP) dispone: “Cuando la comisión de una infracción derive necesariamente de la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida”.

En nuestro anterior post sobre el procedimiento de la AEPD contra Equifax ya examinamos la utilización con éxito de la defensa del concurso medial.

Desde el RGPD Blog continuaremos atentos a la actividad sancionadora de la AEPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que ofrece entre otras herramientas, una base de datos con todos los procedimientos de la AEPD por infracción del RGPD y un sistema de alertas para ser notificado de los nuevos procedimientos. Para más información pulse aquí.