Mercadona mantuvo activas sus cámaras de reconocimiento facial hasta mayo, a pesar de que las críticas surgieron desde el primer momento

Mercadona filtró a los medios hace unos días una noticia: abandonaba el "piloto" por el cual instaló cámara de reconocimiento facial en 40 de sus más de 1.600 establecimientos. La mayoría de los supermercados que implementaron entonces esta tecnología se concentraron en Baleares. Además de abandonar ese piloto, la compañía española asumiría el pago de 2,5 millones de euros en concepto de una sanción interpuesta por la Agencia Española de Protección de Datos (AEPD).

En cuanto se anunció el despliegue de esta tecnología, las críticas se sucedieron. Los clientes (los "jefes", para la cadena que dirige el valenciano Juan Roig) lamentaron en redes sociales las implicaciones que tenían el despliegue de un sistema como este en varios de sus establecimientos y compartieron su preocupación por la misma. Incluso se pronunció el responsable del Supervisor Europeo de Protección de Datos, el EDPS, planteando que este sistema en Mercadona era "difícil de justificar".

La cadena adujo en todo momento que no guardarían los datos biométricos de sus clientes en ninguna base de datos: solo necesitarían 3 décimas de segundo para comprobar que quien intentase acceder a un establecimiento de Mercadona no tuviese una sentencia con una orden de alejamiento del mismo. No obstante, Mercadona nunca explicó cómo obtendría la base de datos con los datos biométricos de esas personas sentenciadas.

El Comité Europeo de Protección de Datos insta a la UE a prohibir los sistemas de reconocimiento biométricos en el espacio público

Ahora ha sido la AEPD la que ha publicado la resolución contra Mercadona íntegra en su página web. La puedes consultar aquí y ahora se conocen un sinfín de nuevos detalles sobre la polémica. Por ejemplo: a pesar de que las voces críticas llegaron desde el primer momento, la firma mantuvo este piloto tecnológico en sus tiendas desde junio de 2020 hasta mayo de este mismo año.

La sanción inicial que propone la AEPD ascendía a más de 3,1 millones de euros, pero debido al pronto pago, la cadena española solo tuvo que asumir el pago de una multa de 2,52 millones. El sistema de reconocimiento facial, que se encargó a una firma israelí llamada AnyVision de la que incluso Microsoft retiró sus inversiones tras ser acusada de implementar esta tecnología en Cisjordania, se entrenaba de la siguiente manera:

Cuando una persona era sentenciada con una orden de alejamiento, el proceso de reconocimiento facial comparaba su "muestra biométrica dubitada, obtenida a través de una o varias imágenes de una persona", frente "a una base de datos de muestras biométricas ya asociadas de forma indubitada a la identidad de una persona" que han sido registradas previamente "a través de una o varias fotografías".

Fotografías que la propia compañía aportaba en los procesos judiciales obtenidas a través de sus sistemas de videovigilancia. "Las muestras biométricas dubitadas" obtenidas mediante el sistema de reconocimiento facial se convertían "en patrones" que se comparaban con esas fotos. Mercadona llega a plantear en el procedimiento de la AEPD que estos patrones no se consideran dato personal. "El patrón de una persona no constituye un dato de carácter personal, lo que no necesita base legal para su tratamiento". 

Es algo que la autoridad de protección de datos española rechaza, al recordar que no hay un patrón igual para varias personas.

España ultima su observatorio para analizar el impacto social de los algoritmos y se postula como país piloto para probar el futuro reglamento europeo de la inteligencia artificial

La firma insiste en que cada año aborda una infinidad de casos judiciales muchos de los cuales terminan con estas órdenes de alejamiento de los imputados frente a los establecimientos de la empresa. Mercadona llega a defender la proporcionalidad de la medida "puesto que no existen unos medios menos intrusivos para la privacidad que permitan obtener el objetivo perseguido".

"Es técnicamente imposible controlar de forma eficaz la entrada de personas condenadas (...) sin la utilización de un mecanismo tecnológico". "Optar por un mecanismo alternativo implicaría, sin duda, una alteración de la finalidad del tratamiento de datos que se persigue", defendía en el procedimiento la empresa.

Mercadona sí reconoce que desde que se implementó el sistema ha recibido "una solicitud de ejercicios de derechos" que se atendió "correspondientemente". Sin embargo, esto lo usa para concluir que "los interesados consideran que la información que Mercadona les proporciona a través de los canales mencionados da estrictamente cumplimiento a las disposiciones de la normativa de protección de datos". En esencia, "que el propósito perseguido es proporcional y adecuado".

La AEPD no está de acuerdo. Dictamina que "la medida implantada podrá ser eficaz, pero de ninguna manera necesaria". También recuerda que la AEPD no había adoptado posición alguna con respecto al despliegue de esta tecnología hasta ahora y critica que Mercadona no haya utilizado "el mecanismo normativo establecido a tal efecto".

Además, expone que Mercadona no solo resiente derechos de sus potenciales clientes, al dar la impresión de que estos sistemas se habían desplegado en varios supermercados. "Se hurta a los potenciales clientes de la posibilidad de no entrar en el supermercado concreto y elegir otro en el que no esté instalado el sistema de reconocimiento facial. Se está limitando de facto el derecho a la autodeterminación, la libertad y la intimidad. La información debe indicar si está instalado o no el sistema".

También recuerda, en su resolución, los riesgos que supone esta tecnología para colectivos vulnerables (como discapacitados, mayores o niños) o a los propios trabajadores de la compañía.