Muchas de las argumentaciones de Mercadona para justificar el uso del reconocimiento facial en sus tiendas no se sostienen legalmente.
Fuente: Canal de YouTube Actualidad IP & IT
A Mercadona se le ha impuesto una multa de 2.5 millones de euros por el sistema que estableció para el reconocimiento facial de personas. La medida estaba destinada a identificar a quienes habrían cometido delitos y tendrían una orden de alejamiento, pero para ello debía necesariamente afectar a todos los clientes de la tienda.
Partamos de lo básico y hagamos una revisión muy rápida de la resolución. Primero, Mercadona alegó que tiene un gran número de procesos judiciales con resoluciones a su favor o de personas vinculadas, como mujeres víctimas de violencia de género. Y que, a partir de esto, existen órdenes de alejamiento contra determinadas personas o una prohibición de entrada en el local. Para poder cumplir con ambas les resultaba necesario (según Mercadona) realizar el control biométrico de la totalidad de las personas entrantes por medio de reconocimiento facial.
Mercadona y el "interés público" para el control biométrico
Mercadona sostuvo que la captación de datos en tiempo real con sistema de reconocimiento facial es legítima por el principio de autorización por interés público. Esta es una excepción del Reglamento General de Protección de Datos, permitida cuando resulta necesario el tratamiento para proteger el bien colectivo o el ejercicio de derechos.
Cabe discutir, sin embargo, si el que no se cometan delitos que afecten a Mercadona, por ejemplo, el robo de su mercadería es algo de interés público. Y si es necesario. Es decir, parece que hay una confusión sobre la utilidad de la medida -que posiblemente es muy útil- con la necesidad. Puesto que podrían aplicarse otras medidas menos gravosas, como reforzar la seguridad.
Recordemos además, que la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales exige para aplicar esta base legitimadora de interés público, una competencia atribuida con norma de rango de ley y esta no existe (véase la ausencia de disposiciones al respecto en la normativa sobre Protección de Datos Personales en el ámbito penal).
También se afirma que es la única medida capaz de solucionar este problema e indica Mercadona que es necesaria, idónea, eficaz y proporcional, aunque no justifica por qué. Y alega que como la captura es inferior a 1 segundo de duración, no hay tratamiento de datos y, por tanto, no se lesiona ningún derecho. Lógicamente, la Agencia rechaza esta posición, porque el tratamiento no depende de la duración y, de hecho, no evitaría un perjuicio si posteriormente se cotejaran con otros datos.
Fuente: Photo by Andre Hunter on Unsplash
Patrón facial: ¿es un dato personal de carácter biométrico?
Por otro lado, Mercadona argumenta que el patrón facial de una persona extraído de datos biométricos no es un dato personal, por lo que no necesita base legal para su tratamiento. Prácticamente cuestiona la definición por defecto de dato personal, que es aquel que permite identificar a la persona, ya que para eso precisamente sirve el patrón.
Frente a esto, la Agencia responde que, no solo hay tratamiento de datos de carácter persona, sino que, además, no se observa una excepción entre las contempladas en el artículo 9.2 del RGPD que legitime el tratamiento de datos biométricos. Los cuales, tienen la condición de categorías especiales de datos según la normativa. Así, el artículo 9 del RGPD refiere que el tratamiento de datos biométricos tiene la protección de dato de categoría especial si identifica de una manera unívoca a una persona física en un grupo de personas.
Al respecto, conviene destacar que, solamente serían datos biométricos de categorías especiales aquellos tratamientos que suponen un cotejo uno a varios, no uno a uno. Esto supone que, el dato biométrico, al no compararse con ninguna otra base de datos, no supondría una categoría especial, sino únicamente un tratamiento ordinario. El ejemplo clásico es el uso de la huella dactilar en tu móvil para el acceso: no se coteja con una base de datos de huellas para identificarte, sino con la única huella que se encuentra grabada.
Por otro lado, Mercadona sostiene que la resolución judicial genérica de alejamiento habilita al supermercado de una forma genérica para la implantación de medidas de seguridad para la aplicación de la resolución, aunque la medida alcance a la totalidad de los usuarios. No solamente para aquellos clientes problemáticos respecto de los que exista la resolución judicial.
Inclusive respecto de los condenados, la doctrina impuesta por la Audiencia Provincial de Barcelona, entre otras, declara que hay que respetar todos los derechos -como es obvio- de los condenados. Y esto incluye también el derecho a la protección de datos. Por tanto, el uso sistemático de medios biométricos para tratar de determinar si está realizándose un delito (de incumplimiento de condena), no estaría autorizado por la resolución judicial.
Fuente:Photo by Alex Knight on Unsplash
Reglamento sobre Inteligencia Artificial
Por otro lado, Mercadona argumentaba que la propuesta del Reglamento sobre Inteligencia Artificial, permitiría esta medida en el futuro y consideraría que es conforme a la normativa.
Pero dicho borrador prevé que las prácticas de inteligencia artificial de identificación biométrica a distancia en tiempo real en espacios de acceso público para la aplicación de la ley quedan prohibidas. Con excepción de que se use para la búsqueda de posibles víctimas de delitos, para la prevención de una amenaza, que debe ser sustancial e inminente y para la vida o la seguridad. No simplemente para los bienes de Mercadona.
Por tanto, no se cumpliría ninguna de las excepciones, ni siquiera del borrador que alega Mercadona.
Finalmente, también alegó la inexistencia de elementos subjetivos de culpabilidad. Qué quiere decir esto. Pues que no existe un juicio por el que se le puede imponer una sanción. Pero en este caso, Mercadona está actuando con un claro dolo eventual, es decir, está asumiendo la posibilidad de que se produzca la infracción, este riesgo. Y es que se pretende una finalidad última, en este caso, atrapar a las personas que actúan contra una orden de alejamiento.
Y finalmente, pues por todo lo anterior se viene a imponer la sanción de 2.5 millones de euros. Pero la AEPD realizó una aclaración sobre cuándo el tratamiento de datos biométricos es un tratamiento de categoría especial. Para ello, redefinió lo que es la identificación biométrica y lo que es la verificación autenticación biométrica. La primera sí entraría en lo especificado por el artículo 9, mientras que la segunda no lo sería, y solo tendría carácter ordinario.
Autor del vídeo referenciado:
