Hace unas semanas se daba a conocer la noticia de que Mercadona era condenada a pagar una sanción millonaria a la Agencia Española de Protección de Datos (AEPD) por incumplir el Reglamento General de Protección de Datos. En total tendrá que abonar 2,5 millones.
La sanción obedece al incumplimiento de los artículos 6 y 9 del RGPD junto a otras infracciones. La cuantía ha sido rebajada en un 20 % debido a que la firma pagó voluntariamente y se han contemplado las atenuantes de no reincidencia ni reiteración.
Mercadona en problemas con la protección de datos
Se trataba de un proyecto que se llevó a cabo en modo prueba y cuya finalidad era identificar a personas sobre las que pesara la condena de no poder acercarse a este supermercado. La prueba se realizó solo en unas pocas tiendas, en concreto en 48, y desde el pasado mes de mayo el proyecto se encuentra cancelado debido a que la AEPD puso en duda la legalidad del sistema de detección que se utilizaba.
La idea era tan sencilla como identificar a los infractores usando la tecnología y la verificación visual para dar parte a la policía y que esta actuara en consecuencia para hacer cumplir la decisión del Juez. Sobre todo, la finalidad era aumentar la seguridad, tanto para el personal como para los clientes, ya que el acceso al negocio de personas conflictivas afecta a todos directa o indirectamente.
La Audiencia Provincial de Barcelona vio una clara violación de la privacidad de los clientes en el uso del reconocimiento facial por parte de la tienda, mientras que esta asegura estar dando más protección. La complejidad de la protección de datos da lugar a problemas de este tipo.
¿Incumplió Mercadona el RGPD?
La firma señaló que el sistema estaba destinado a localizar únicamente a personas que tuvieran una orden firme de alejamiento del establecimiento y que se siguieron todos los procedimientos para obtener las autorizaciones judiciales correspondientes. De hecho, según Mercadona, incluso le presentaron el proyecto a la Agencia Española de Protección de Datos antes de implantarlo en las tiendas.
Algo muy relevante que defienden es que colocaron carteles informativos en las tiendas en las que se llevó a cabo el proyecto y este se publicitó en medios de comunicación, por lo que no atentaron en ningún momento contra la normativa.
Tampoco guardaban información sobre el resto de los clientes. Afirman que esta se eliminaba en un lapso de tiempo muy corto, 0,3 segundos, porque no era necesaria ni útil. Esto impide identificar a ninguna otra persona que no fuese el objetivo del proyecto.
Dicen estar sorprendidos por la sanción ya que desde el principio informaron a la AEPD de todos los procedimientos, del desarrollo del proyecto y de los estándares de transparencia tan estrictos que se utilizaban. Además, habiendo obtenido las autorizaciones judiciales que permitían el uso de esta tecnología de reconocimiento facial, no entienden como no se paró el proyecto al inicio si infringía alguna norma.
La AEPD explica que la firma no tuvo en cuenta el impacto que el proyecto tendría en los propios trabajadores y en menores, o lo evaluó de forma incorrecta. Intenta que esta multa tenga un efecto disuasorio para el resto de empresas ya que muchas utilizan como excusa el bien público para beneficiarse o atender a sus propios intereses.
Por último, argumenta que no habían explicado cómo el sistema diferenciaba a personas con orden judicial o sin ella, quedando solo a criterio de Mercadona. En resumen, el uso de los datos biométricos está justificado para los condenados, pero no para el resto, con lo cual no tiene base suficiente para usar el mecanismo que estaba empleando.