Hace unos días, todos nos hacíamos eco por distintos medios, de que el presidente de la conocida cadena de supermercados MERCADONA, comunicaba la decisión de la compañía de implementar en cuarenta de sus tiendas de España, un sistema de detección anticipada en las cámaras de acceso de las tiendas basado en el uso de tecnologías de reconocimiento facial, con el fin de reforzar la seguridad tanto de los clientes como de los propios trabajadores, evitando que se produzcan robos en los locales e impidiendo el acceso de ciertas personas.
En concreto, este sistema es capaz de captar durante 0,3 segundos los rostros, cotejarlos con ficheros de imágenes y detectar la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la cadena de supermercados o contra alguno de sus empleados; y una vez detectada la infracción y tras haberse contrastado que se trata de esa persona, se lo notifica a las Fuerzas y Cuerpos de Seguridad del Estado.
No cabe duda de la polémica que ha suscitado esta decisión, ya no solo por el impacto que tiene sobre la privacidad de las personas y que analizaremos en este artículo, sino porque, además, el proveedor del sistema utilizado y por tanto encargado del tratamiento, es AnyVision, una entidad israelí líder mundial de plataformas de reconocimiento facial, que se ha visto involucrada en varios escándalos recientes, tales como que su tecnología ha sido utilizada para identificar y vigilar a ciudadanos palestinos en Cisjordania.
Ya hemos analizado recientemente en este blog ciertas técnicas de reconocimiento facial. En concreto, las técnicas proctoring para la realización de los exámenes online o los sistemas de videovigilancia con reconocimiento facial, donde la Agencia Española de Protección de Datos (AEPD) ha emitido informes sobre aquellas cuestiones que generaban ciertas dudas.
Sin embargo, y si bien es cierto que la AEPD ya ha iniciado una investigación de oficio, la única información que tenemos por ahora, es la que proporciona la propia entidad a través de sus redes sociales, la información básica que aparece reflejada en los carteles informativos que han sido colocados en la entrada de cada uno de los establecimientos, y su propia Política de Privacidad ubicada en la web de la compañía, donde se proporciona la información adicional. De estas vías, podemos extraer la siguiente información:
– Existe un tratamiento de datos biométricos en aquellas tiendas de España donde esté implantado el sistema de detección anticipada.
– La finalidad del tratamiento consiste en poder llevar a cabo las actuaciones precisas para proteger los intereses vitales de los clientes cuando así sea necesario, o el cumplimiento de las resoluciones judiciales y las medidas en ellas acordadas.
– Estos datos serán tratados por razones de interés público con las consiguientes consideraciones previstas por la normativa de protección de datos.
– Los datos que recoge el sistema se tratan y se custodian durante el tiempo imprescindible para dar cumplimiento a las medidas judicialmente de aquellas personas condenadas a dicha orden de alejamiento.
De todas formas, los datos recogidos accesoriamente para cumplir con esta finalidad permanecerán en el servidor únicamente en el proceso de comprobación, que como decíamos al inicio, es de unas décimas de segundo. Una vez realizada esta comprobación procede a destruirse definitivamente.
– Estas imágenes o perfiles faciales biométricos únicamente se tratan a nivel interno por la entidad, siendo exclusivamente comunicadas a las Fuerzas y Cuerpos de Seguridad del Estado para proteger la seguridad de los clientes y trabajadores y el cumplimiento de las medidas decretadas judicialmente.
Ahora bien, ¿es esto suficiente para considerar que es lícita la implementación de estos sistemas de detección anticipada?
En primer lugar, debemos de partir de que se entiende por técnica de reconocimiento facial, toda tecnología que permite la identificación de una persona mediante el análisis de las características biométricas de su rostro.
De la detección del rostro de las personas en las cámaras, se extraen una serie de características que conforman un patrón biométrico facial que se coteja con información ya existente en ciertas bases de datos y se obtiene un porcentaje de similitud con la persona que se identifica para después tomar una decisión.
Aunque, por ejemplo, ya se está trabajando también esta técnica con un proyecto piloto en algún aeropuerto de España que consiste en que través del reconocimiento facial, se cruza el filtro de seguridad y se permite embarcar de forma más ágil; sin embargo, este caso que estamos analizando se trata de la primera experiencia masiva de implementación de esta técnica llevada a cabo en nuestro país.
En segundo lugar, ahondando en el tratamiento en cuestión, debemos aclarar que el rostro de una persona, en virtud del artículo 4 del Reglamento General de Protección de Datos (RGPD), se considera un dato de carácter personal, pues nos permite identificar a una persona física.
Además, en cuanto a la tipología de datos ante la que nos encontramos, el propio artículo 4.14 define dato biométrico como “aquel que se obtiene a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
Por otra parte, el artículo 9.1 RGPD prohíbe, entre otros, el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física; lo cual se ve reforzado por el Considerando 51 RGPD, el cual considera que esta tipología de datos no debe tratarse, a menos que se permita su tratamiento en situaciones específicas contempladas en el propio RGPD, teniéndose en cuenta que los Estados miembros pueden establecer disposiciones específicas para adaptar la aplicación de la norma al cumplimiento de una obligación legal, al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Conviene acudir en este punto una vez más (ver aquí) a la distinción entre identificación biométrica y verificación/autenticación biométrica que recoge el Informe 36/2020 relativo al tratamiento de datos biométricos por los sistemas de reconocimiento facial en los procesos de evaluación online y a la que ya se refirió el Grupo de trabajo del artículo 29 (actual Comité Europeo de Protección de Datos) en su Dictamen 3/2012 sobre evolución de las tecnologías biométricas:
- Identificación biométrica: es la identificación de un individuo mediante un sistema biométrico comparando sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (proceso de búsqueda de correspondencias uno-a-varios).
- Verificación/autenticación biométrica: es normalmente el proceso de comparación entre los datos biométricos de la persona (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (un proceso de búsqueda de correspondencias uno-a-uno).
Si bien se trata de una cuestión compleja sometida a diversas interpretaciones, la AEPD en el ya mencionado Informe, considera que atendiendo a esta distinción “puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) .
Dicho esto, se debe atender al caso concreto según la tipología de datos que se traten, las técnicas empleadas y la consiguiente injerencia en el derecho a la protección de datos, debiendo generalmente adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.
En el caso que estamos analizando, todo parece indicar que se trata de un tratamiento de datos biométricos dirigido a identificar de manera unívoca a una persona física en un proceso de búsqueda de correspondencias uno-a-varios, constituyendo por tanto el tratamiento una categoría especial de datos.
Entonces, ¿se puede realizar este tratamiento de datos?
Si atendemos a lo dispuesto en el artículo 9.2 RGPD, dicho artículo exceptúa la prohibición a la que nos referimos en determinados supuestos, en concreto, hemos de fijarnos para el caso que nos ocupa en los supuestos contemplados en:
- la letra c) “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, supuesto en el que sí podríamos entender que se puede realizar el tratamiento, siempre y cuando, además de los requisitos específicos, se apliquen los principios de transparencia e información del artículo 12 RGPD y ss.
- la letra g) “el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”, que es la base legitimadora en la que se apoya la entidad para realizar este tratamiento de datos. Ahora bien, para basarnos en este supuesto, sería necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la identificación de las personas mediante el empleo de la biometría respondería a un interés público esencial.
Atendiendo a la información que debe de facilitarse, no podemos decir que la entidad esté incumpliendo porque como ya comentábamos, está proporcionando toda esta información en los carteles informativos y en su Política de Privacidad. Ahora bien, no podemos decir, sin embargo, que la entidad esté actuando con total transparencia puesto que hay preguntas aún sin resolver como ¿De dónde salen las imágenes con las que el sistema hace las comprobaciones? ¿Cómo se va a realizar la transmisión de la información? ¿Los 0,3 segundos son realmente el tiempo adecuado de captación? ¿Cuáles son exactamente las medidas se seguridad aplicadas?
En definitiva, ¿Qué más necesitamos conocer para saber si se ha actuado con licitud?
Necesitamos conocer si se ha realizado o no por parte del responsable del tratamiento, una evaluación de impacto (artículo 35 RGPD), ya que siempre que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas se ha de evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de dicha evaluación se ha de tener en cuenta con el fin de demostrar que el tratamiento es conforme a la normativa de protección de datos.
Más concretamente, se hace necesario saber si la medida implementada cumple con los principios de limitación de la finalidad del tratamiento, minimización de datos y proporcionalidad (artículo 5 RGPD) para atender a la finalidad que se pretende conseguir:
Juicio de necesidad | (SI/NO) | Justificación |
Los datos recogidos se van a usar exclusivamente para la finalidad declarada y no para ninguna otra no informada ni incompatible con la legitimidad de su uso (principio de limitación de la finalidad) | SI | La finalidad consiste en poder llevar a cabo las actuaciones precisas para proteger los intereses vitales de los clientes cuando así sea necesario, o el cumplimiento de las resoluciones judiciales y las medidas en ellas acordadas. Las imágenes o perfiles faciales biométricos únicamente se tratan a nivel interno por la entidad, siendo exclusivamente comunicadas a las Fuerzas y Cuerpos de Seguridad del Estado. |
La finalidad que se pretende cubrir requiere recabar datos de todas las personas o solo de las personas/interesados afectados (principio de minimización de datos). | NO | Para la realización de este tratamiento se necesita que se someta a todas las personas que acceden a las tiendas a este sistema de detección anticipada y no solo a aquellas de las que se tengan sospechas. Además, necesitamos conocer si era necesario implementarlo en esas cuarenta tiendas por algún motivo concreto, como puede ser que se tuvieran indicios de que se produjesen más robos que en otras, o por el contrario ha sido aleatorio.A mayor abundamiento, se desconoce el origen de las imágenes con las que se coteja el rostro objeto de comprobación. |
Los datos se mantienen el tiempo necesario para las finalidades del tratamiento (principio de limitación del plazo de conservación). | SI | Los datos serán tratados y custodiados el tiempo imprescindible para dar cumplimiento a las medidas judicialmente de aquellas personas condenadas a dicha orden de alejamiento.No obstante, los datos recogidos accesoriamente para cumplir con dicha finalidad permanecerán en el servidor únicamente en el proceso de comprobación. Una vez realizada esta comprobación procederá a ser destruida definitivamente.Cabe preguntarse aquí si es justificable y argumento suficiente y relevante el hecho de que la comprobación dure solo unas décimas de segundo. |
Juicio de proporcionalidad | (SÍ/NO) | Justificación |
La medida es adecuada para conseguir el objetivo o finalidad que se persigue. | NO | No consideramos a priori que la medida sea adecuada cuando se realiza de forma indiscriminada a todas las personas que acceden a las tiendas.Si bien el artículo 48 de nuestro Código Penal reconoce la privación del derecho a acudir al lugar en que haya cometido el delito»; esto se produciría asegurando los derechos fundamentales del condenado, incluida la protección de sus datos. |
Existe otra solución más moderada para conseguir el propósito con la misma eficacia. | SÍ | Se podría plantear instalar estos sistemas de detección anticipada en aquellas tiendas donde se tenga constancia de que se produzcan más delitos, o que se realice la comprobación solo de aquellas de las que se tengan sospechas. |
La medida es ponderada o equilibrada porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto. | NO | A nuestro juicio, se trata de una medida que resulta extremadamente intrusiva para la privacidad de los individuos, de la cual se derivan más perjuicios que ventajas o beneficios para la entidad que lo implementa. |
Por último, también necesitamos conocer si se ha consultado o informado a la AEPD sobre la existencia de este tratamiento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
En este sentido, Mercadona afirma que ha estado en todo momento en contacto con la AEPD remitiéndoles toda la información sobre el proyecto y siguiendo las pautas que les han ido dando, actuando con total transparencia; y que así van a seguir actuando ante cualquier información que se les solicite.
Sin embargo, llama la atención que, a pesar de estas declaraciones, sea precisamente la AEPD quien inicie una investigación de oficio con relación a la implementación de este sistema.
En definitiva, para conocer estas y otras muchas dudas que han podido surgir, tendremos que esperar a que la AEPD arroje una luz sobre la licitud de la implementación de estas técnicas pioneras de detección anticipada, ya que, sin duda, el criterio que adopte nuestra autoridad de control servirá como precedente y hará que nos planteemos si este sistema ha llegado o no para quedarse en nuestra vida cotidiana.