A lo largo de estas últimas semanas se ha debatido sobre la licitud o no a la hora de implantar sistemas de reconocimiento facial en los comercios y empresas. La incorporación de esta nueva tecnología en nuestras vidas ha levantado grandes dudas sobre su implicación con respecto a la normativa vigente en materia de protección de datos. En este sentido, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una nota donde se analizan catorce puntos que afectan a la identificación y autenticación biométrica de personas, aplicable a los sistemas de reconocimiento facial.
Este debate que se asomó tímidamente en tiempos de confinamiento ha cobrado ahora más fuerza, al anunciarse hace apenas unas semanas que la cadena de supermercados Mercadona estaba implementando sistemas de reconocimiento facial en sus sistemas de seguridad facial en al menos cuarenta de sus tiendas ubicadas en Mallorca, Zaragoza y Valencia.
La política de privacidad de Mercadona especifica que “De igual modo te informamos que, con el fin de mejorar la seguridad de clientes y empleados, MERCADONA, en base al interés público puede tratar su imagen o su perfil facial biométrico para identificar a sujetos con una orden de alejamiento (o medida judicial análoga) en vigor contra MERCADONA o contra cualquiera de sus trabajadores (en aquellas tiendas de España donde está implantado el sistema de detección anticipada). Dicha imagen únicamente se utilizará con esta finalidad y permanecerá en el servidor central únicamente en el proceso de comprobación (esta comprobación dura décimas de segundo). Una vez realizada esta comprobación procederá a ser destruida definitivamente (en aquellas tiendas de España donde está implantado el sistema de detección anticipada)”.
Según las informaciones accesibles más detalladas, pues Mercadona no ha hecho públicas otras especificaciones técnicas y aún no ha concluido públicamente la investigación en curso de la AEPD, la finalidad de la adopción de esta medida de detección anticipada, a través de un sistema de reconocimiento facial, es identificar a aquellas personas que hayan sido previamente condenadas mediante sentencia firme a entrar en los establecimientos de la cadena de supermercados en cumplimiento de una orden de alejamiento o medida judicial similar en vigor contra Mercadona o contra cualquiera de sus trabajadores. El análisis realizado por este nuevo sistema analizará, en menos de 0,3 segundos, a los usuarios que accedan al comercio, y únicamente identificará a aquellos que hayan sido condenados con una sentencia judicial firme.
La polémica esta planteada, pues existe una gran cantidad de clientes que han rechazado la incorporación de dichas medidas, en algunos casos, alegando que la adopción de esta nueva tecnología infringe la normativa vigente de protección de datos. Pero ¿es verdad que estos nuevos sistemas de reconocimiento facial vulneran la normativa vigente en materia de protección de datos? En este caso, ¿Mercadona está legitimada legalmente para adoptar dichas medidas?
Por la necesidad de aclarar y dar respuesta a estas cuestiones desde un punto de vista legal, y en contraposición con lo manifestado por algunas voces, conviene analizar qué clase de datos pueden ser tratados a través de un sistema de reconocimiento facial por medio de la obtención de datos biométricos.
En el caso de Mercadona, los datos biométricos se obtienen de los clientes a través de las cámaras de seguridad del supermercado cuando los clientes acceden al recinto. Según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en adelante RGPD, el dato biométrico es aquel “relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o que confirmen la identificación única de dicha persona”. Por tanto, no es lo mismo identificar, reconocer qué persona es, que autentificar, acreditar o probar que la persona es quien parece ser.
Puede facilitar ser conscientes de que esta clase de datos biométricos necesita una protección especial ya que, como se pone de manifiesto en la nota de la AEPD, “A diferencia de una contraseña o un certificado, los datos biométricos recogidos durante un procedimiento de autenticación o identificación revela más información personal sobre el sujeto. Dependiendo de los datos biométricos recogidos, pueden derivarse datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades, discapacidades y características genéticas, consumos de sustancias, etc. Al estar implícita, el usuario no puede impedir la recogida de dicha información suplementaria”.
Dicha protección especial deberá ser proporcional y respetar los principios relativos al tratamiento de datos personales en general (licitud, lealtad e información clara y transparente). El hecho de que los datos biométricos estén categorizados por el RGPD como de especial protección no implica una restricción a su tratamiento, sino la exigencia legal de la adopción de una serie de medidas más especificas tendentes a una mayor protección de dicho dato en su utilización.
El dato personal, también el biométrico, se protege legalmente para que pueda ser utilizado, no para su inutilización o bloqueo injustificado. Así lo corrobora el Reglamento europeo, consciente de que “la tecnología ha transformado tanto la economía como la vida social”, pero precisamente por ello “ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales” (Considerando 6).
- ¿Es verdad que estos nuevos sistemas de reconocimiento facial vulneran la normativa vigente en materia de protección de datos?
La respuesta en atención al caso concreto de Mercadona es que, por defecto, no vulneran la normativa vigente en materia de protección de datos. Pero como en Derecho las respuestas absolutas pueden admitir argumentos de contrario, sí hay requisitos que se han de cumplir, y con las máximas garantías técnicas y organizativas, para asegurar la licitud y la legalidad del tratamiento de datos personales incluidos los biométricos.
En este caso particular, parece claro que Mercadona ha recalcado que, a pesar de procesar datos biométricos de todos los usuarios que entren en sus tiendas, únicamente serán tratados aquellos datos que identifiquen individuos que previamente hayan sido condenados por una sentencia judicial firme en procesos judiciales en los que Mercadona ha sido directamente parte procesal. Mercadona ha aclarado también que únicamente se tratarán datos personales de aquellos individuos que detecte el sistema como condenados por sentencia firme, y en el resto de caso no se tratará ni conservará en el sistema ningún dato personal, eliminándose en el plazo de 0,3 segundos
El consentimiento expreso del interesado, que puede prestarse no sólo por “declaración” sino también por la realización de una “acción afirmativa”, es poco cuestionable en este caso. El hecho de acceder al supermercado (pues no existe obligación de acceder) previa información escrita y gráfica de la utilización de este sistema conlleva la aceptación expresa de someterse al uso de esta tecnología, pues no hay duda de la información ofrecida al usuario mediante un aviso previo a los usuarios por medio de carteles informativos ubicados en los accesos al recinto.
Mercadona estaría legitimada para tratar datos de carácter personal, como las imágenes captadas por las cámaras de videovigilancia, de todos sus clientes por el hecho de acceder al supermercado. A partir de esta situación legítima, conviene centrarnos en la categoría de datos, en este caso biométricos, que van a ser recogidos, pues no tendrán la misma consideración las imágenes captadas por una cámara de videovigilancia que las imágenes captadas con una cámara que lleve integrado un software de reconocimiento facial, pues en ambos casos el tratamiento de datos personales es diferente.
Como se ha adelantado, el dato biométrico es considerado dato de carácter especial y por tanto su tratamiento queda prohibido, a no ser que se dé alguna de las causas excepcionales establecidas en el art. 9.2 del RGPD. En este caso la finalidad por la que Mercadona a instalado dicho sistema de reconocimiento facial queda amparada en una de las causas del citado artículo, concretamente en el apartado 9.2.f) del RGPD, que establece que el tratamiento será lícito cuando sea “necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial”, y particularmente para la específica y legítima finalidad de la ejecución de las sentencias firmes dictadas con órdenes de alejamiento sobre personas concretas previamente identificadas.
En este sentido, tal y como se informa en los carteles que se han colocado en las entradas de los supermercados, la finalidad del tratamiento de datos personales radica en “detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga, en vigor que pueda suponer un riesgo para su seguridad”. Por ello, y con base en el art. 9.2.f) del RGPG, Mercadona estaría legitimada para tratar los datos personales biométricos únicamente de aquellos individuos con la finalidad de identificar personas concretas previamente condenadas y con medidas judiciales a cumplir respecto de Mercadona.
- ¿Mercadona está legitimada para adoptar dichas medidas? ¿Los usuarios pueden denunciar dicha práctica?
Como hemos visto, legalmente el RGPD establece las condiciones legales por las cuales cualquier responsable de tratamiento (en este caso Mercadona) podrá estar legitimado para adoptar dichas medidas de seguridad.
No hay que olvidar que el RGPD establece en su considerando segundo que “El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia (…) así como el bienestar de las personas físicas”. En ocasiones, podría darse a entender erróneamente que el RGPD se ha creado para imponer unas normas restrictivas al tratamiento de datos personales, cuando la realidad es que pretende la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y la libre circulación de tales datos, así como proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
La rápida incorporación de los avances tecnológicos en nuestra sociedad actual, incluida la biometría, cuenta ya en Europa con una regulación que garantiza que los datos personales se tratan de forma correcta según los marcos de protección establecidos en el RGPD y, por tanto, fomenta y potencia la incorporación de tecnología segura y eficaz cuando sea capaz de resguardar los derechos de los individuos.
Entretanto, cabe esperar la resolución que dicte la AEPD sobre la utilización de esta clase de tecnologías, pues hasta ahora se percibe una postura reacia que plantea serias dudas y reservas a la utilización de esta tecnología, más aún cuando está en trámite la inspección a Mercadona por posible vulneración de la normativa actual.
En nuestra opinión, una postura contraria a la utilización de estas tecnologías si cumplen con los requisitos legales establecidos en el RGPD, supondría deshacer lo recorrido durante estos dos años con la aplicación del RGPD y con la legislación española.