Hace una semana, nos llegó la noticia de que Mercadona tendrá que pagar una multa de 2,5 millones a la AEPD (Agencia Española de Protección de Datos), debido a un proyecto piloto que implementó en 48 de sus establecimientos. Pero, ¿Qué hizo exactamente la directiva de Mercadona para verse envuelta en esta polémica y tener que abonar una sanción?
Básicamente, Mercadona implementó un sistema de reconocimiento facial que permitía identificar a aquellas personas que tuvieran algún tipo de orden de alejamiento o medida judicial impuesta por cometer algún delito. El objetivo de la medida era proteger a sus empleados y clientes, alertando a las fuerzas de seguridad en caso de que alguna de estas personas accediera a las instalaciones.
La Audiencia Provincial de Barcelona ya se pronunció al respecto, concluyendo que se trataba de una violación de la privacidad absoluta, tal y como ya había indicado previamente la Agencia de Protección de Datos. Esta es la razón por la que la gran cadena de supermercados tendrá que pagar una suma millonaria, lo que ha servido también como advertencia para otros negocios que tengan en mente implementar medidas similares.
Este sistema, funcionaba a partir de una especie de filtro tecnológico, seguido de una segunda verificación visual que verificaba si existía alguna orden de alejamiento vigente. El problema radica en que esto es una vulneración del Reglamento General de Protección de Datos (concretamente el artículo 6 sobre Licitud del tratamiento, y el artículo 9, que se basa en el Tratamiento de categorías especiales de datos personales.
Sin embargo, se ha descontado un 20% de la sanción ante la clara voluntad de Mercadona de colaborar y llevar a cabo el pago de manera voluntaria. Además, se ha tenido en gran consideración el hecho de que no consta reincidencia ni reiteración en el caso.
La compañía, por su parte, ha alegado que llevó a cabo este proyecto contando con autorización judicial, y que mantuvo conversaciones continuamente con las autoridades involucradas, compartiendo con la AEPD todos los procedimientos antes de comenzar el período de prueba.
No obstante, la AEPD considera que la prueba piloto se llevó a cabo sin la rigurosidad que se requiere en un proyecto de este tipo. Ese es el motivo principal de la sanción, la cual el propio organismo ha considerado “proporcional, efectiva y disuasoria”.
La directiva de Mercadona ya ha tomado la decisión de abandonar por completo esta prueba piloto, y abonar la sanción impuesta. De esta manera, se daría por concluido el procedimiento ante Protección de Datos.
Lo más probable es que esta sentencia provocará que muchas otras empresas abandonen proyectos de este tipo. Al fin y al cabo, se trata de una normativa muy reciente y compleja, y es muy difícil poner en marcha este tipo de iniciativas sin vulnerar ningún artículo del Reglamento General de Protección de Datos.