La AEPD multa con 2,5 millones de euros a Mercadona por el uso del reconocimiento facial

por

publicado el 29 julio 2021

Categorías: Agencia Proteccion Datos / Biometría

La Agencia Española de Protección de Datos (AEPD) propone imponer una multa de 2,5 millones de euros a Mercadona por el establecimiento del proyecto piloto que implementó en 40 de sus tiendas. El proyecto mediante el cual se empleaba un sistema de detección de personas con sentencias firmes y órdenes de alejamiento en vigor contra la empresa o contra alguno de sus trabajadores estuvo vigente entre junio de 2020 y mayo de 2021. 

En su resolución, la AEPD desestima las alegaciones realizadas por Mercadona en su totalidad. Entre esas alegaciones, Mercadona indica que “el patrón de una persona no constituye un dato de carácter personal, por lo que no se necesita base legal para su tratamiento”. La AEPD responde a esta cuestión indicando que el tratamiento de la imagen de cualquier persona, su captación, la obtención de la misma de un patrón, que la cotejen con la de la persona condenada y la supriman es un tratamiento de datos de carácter personal. Más concretamente, se trata de un tratamiento de datos de categoría especial regulado en el artículo 9 de la RGPD y el artículo 9 de la LOPDGDD, debido a que se realiza un tratamiento de datos biométricos con fines de identificación, esto es, para aislar a un individuo entre varios. Así, los datos no tendrían la consideración de categoría especial si la función fuese la verificación o identificación biométrica. 

Mercadona alegó también que la empresa adoptó junto a la AEPD el sistema, ajustándose a los requisitos establecidos por la segunda. Sin embargo, la AEPD indica que en ningún momento ha adoptado posición alguna con el establecimiento analizado. Así mismo, Mercadona no ha se ha ajustado a los mecanismos normativos establecidos en el Reglamento General de Protección de Datos (RGPD). 

En la resolución se confirma lo indicado en el Acuerdo de Inicio en el que se establecía que Mercadona no ostenta legitimación para llevar a cabo el tratamiento en su conjunto de datos personales consistente en el reconocimiento facial al no tratarse de una de las excepciones señaladas en el artículo 9.2 del RGPD. Añaden además que Mercadona confunde “utilidad” con “necesidad”, ya que aunque el uso de estos sistemas puede resultar útil, no son realmente necesarios y en realidad se pretende proteger los intereses privados en vez del interés público. 

Otra de las fundamentaciones empleadas por la AEPD para justificar la cuantía de la sanción es que antes de comenzar con el tratamiento de datos que realizaba Mercadona, es preciso ejecutar una evaluación de impacto, además de una EIPD en los que se analice el impacto en los derechos y libertades fundamentales y se busquen medios que se consideren menos intrusivos. Sin embargo, la AEPD les imputa haber solicitado la adopción de medida de seguridad en los tribunales consistente en el tratamiento de reconocimiento facial antes de haber realizado la valoración de la concurrencia de riesgos y la EIPD. 

Mercadona alegó que la cuantía de la sanción impuesta es desproporcionada. No obstante, la cuantía de la multa administrativa se ajusta a niveles muy inferiores de los máximos permitidos. Con esta multa, la Agencia indica que la efectividad, proporcionalidad y el carácter disuasorio quedan garantizados. Además, la sanción fue rebajada un 20% debido a la voluntariedad de llevar a cabo el pago por Mercadona y a la falta de reiteración y reincidencia en las actuaciones de la empresa 

Actualmente hay diversas iniciativas anunciadas, como la propuesta del Atlético de Madrid para implementar el reconocimiento facial en su estadio la próxima temporada, que tendrán que ser reevaluadas o bloqueadas para que cumplan con lo indicado en la resolución emitida por la AEPD.