Hace menos de una semana, Mercadona anunció la instalación de un sistema de detección facial en 40 de sus establecimientos, ubicados en Mallorca, Zaragoza y Valencia. Se trata de un sistema a través de cámaras que funciona a través del reconocimiento de rasgos físicos y que, según explicó la cadena valenciana, detecta exclusivamente a las personas con sentencia firme y medida cautelar de orden de alejamiento del establecimiento o alguno de sus trabajadores.
Según Mercadona, el sistema es legal y no almacena las imágenes, sino que las destruye en 0,3 segundos tras cotejarlas con su propia base de datos. Así, si la persona que trata de acceder a la tienda corresponde a una de las imágenes que guarda Mercadona, el sistema alerta al equipo de seguridad, que trasmite la alarma a la policía. No obstante, la valenciana no las tiene todas consigo. La Agencia Española de Protección de Datos (AEPD) ha iniciado este lunes una investigación de oficio a la cadena de supermercados a raíz de las informaciones aparecidas en medios de comunicación respecto de este tema.
"El procedimiento se encuentra en fase de actuaciones previas de investigación, por lo que no podemos ofrecer detalles sobre el mismo dado que se encuentra abierto", apuntan a este periódico desde la AEPD. Fuentes cercanas a la Agencia señalan a Vozpópuli que no suele ser habitual abrir este tipo de investigaciones de oficio, sino que suele hacerse por denuncias de terceros, y que en esta fase de actuaciones previas se pide información a la compañía sobre el objetivo de la medida, los medios que se utilizan, quién maneja la información, etcétera.
Según las fuentes jurídicas consultadas, y en base al Reglamento General de Protección de Datos (RGPD) -en vigor desde mayo de 2018-, Mercadona estaría expuesta a una multa máxima de hasta 20 millones de euros o un 4% de su facturación del año anterior. No obstante, todavía no se ha llegado a ese límite en Europa y "dependería mucho del nivel de personas afectadas", apuntan estas fuentes.
Una medida "proporcional"
Joaquín Muñoz, director de del área de derecho digital de Ontier, señala a Vozpópuli que las claves en las que se basará la Agencia para estudiar el sistema serán, primero, la legitimación de la compañía para usar esa información. Después, estudiará la proporcionalidad de la medida. En esta línea, la AEPD "valorará que sea necesaria, idónea y proporcional", de forma que se valorará que los "daños" que pueda suponer se coloquen en una balanza frente a las ventajas que ofrece y suponga un equilibrio.
También habla de proporcionalidad Miguel Mauleón, responsable del departamento legal de Smart HC, en conversación con este periódico. "Cuando son este tipo de tratamientos, un poco más peliagudos o complicados –datos biométricos y tratamiento de infracciones penales o de condenas-, la ley te dice que tienes que hacer una evaluación de impacto", cuenta Mauleón. En esta línea, explica, se debe valorar el impacto que va a tener la medida en las personas.
"Si va a tener un impacto alto, pero pones medidas para que no sea tal, como el mantenimiento de la imagen medio segundo o una seguridad impenetrable, y aun así el riesgo es alto, como puede parecer, el articulo 36 te dice que hagas una consulta previa a la AEPD. Ellos te dicen si puedes continuar", apunta el experto de Smart HC.
Tanto Mauleón como Muñoz señalan que, en España, una investigación de este tipo por parte de la AEPD solo se ha dado con la app Liga de Fútbol Profesional (LFP), que finalmente fue multada con 250.000 euros por "espiar" a los usuarios a través de la aplicación, accediendo sin consentimiento expreso al micrófono y la geolocalización de sus usuarios para detectar emisiones fraudulentas y combatir la piratería en los bares y locales donde se emitían partidos de fútbol. Los datos que se tratan, no obstante, "no tienen nada que ver y la sensibilidad no es la misma", explica Paloma Bru, responsable del área de Tecnología, Medios y Telecomunicaciones de Pinsent Masons España.
Para esta experta, que se implemente este sistema supondría un "cambio de criterio total" de la AEPD, que, explica, "tiende a evitar que en empresas o en el marco de actividades privadas se utilicen este tipo de datos". "Este tratamiento de datos está reservado a organismos públicos. No es que sea invasivo, es que va más allá. El tratamiento se produce y el resultado sobre ese tratamiento también", explica Bru.
Preguntados por la investigación, desde Mercadona apuntan a este periódico que no tienen constancia del expediente abierto por la Agencia y aseguran que desde la compañía han estado en contacto con la AEPD "remitiéndoles toda la información sobre el proyecto y siguiendo las pautas que nos han dado, actuando con total transparencia". "Y así vamos a seguir actuando ante cualquier información que nos sea solicitada", añaden.