El pasado 1 de julio el grupo de supermercados Mercadona informaba que había activado un sistema de reconocimiento facial denominado «sistema de detección anticipada» en la entrada de algunas de sus tiendas (en total unas 40) en Mallorca, Valencia y Zaragoza.
Un acercamiento a los hechos y primeras preguntas
Al parecer, el sistema detectaría única y exclusivamente la entrada de personas con sentencia firme y medida cautelar de orden de alejamiento en vigor contra el establecimiento de Mercadona o contra cualquiera de sus trabajadoras o trabajadores
El día 2 de julio el perfil oficial de Mercadona en Twitter comunicaba lo siguiente:
Y ya. Nada menos. Y nada más…
Y la primera pregunta que le surge a uno fue «para que Mercadona y quienes trabajan para Mercadona tengan más seguridad ¿es necesario, proporcionado e idóneo recoger los rasgos físicos de cientos, miles, y quizás, de forma acumulada, de millones de personas?«.
Y acto seguido «¿No podría uno de los grupos empresariales de España con más beneficios netos, disponer, por ejemplo, de más personal de seguridad para esos fines sin necesidad de recurrir a una tecnología tan intrusiva?».
Y un poco más allá: «¿Está bien explicada la finalidad de «reforzar la seguridad»? ¿Entiende realmente un cliente de supermercado que su vida o su integridad física merece que se apliquen las mismas medidas de protección en un supermercado de barrio que las que pueda haber en un aeropuerto internacional?»
Y en el fondo rumiando, «si Mercadona implanta el sistema de detección previa en todas sus tiendas ¿vendrán todas las cadenas de supermecados detrás? ¿y cualquier clase de establecimiento abierto al público?«.
La progresiva extensión de la tecnología de reconocimiento facial
No tiene sentido refugiarnos en el ludismo.
Es inevitable que este mundo superpoblado y globalizado se rija de manera exponencial por criterios de efectividad, automatización y conectividad, impulsores, entre otros, de la industria 4.0 de la que todos somos, en mayor medida, actores y agentes de cambio.
La comodidad, la fluidez del tránsito, el ahorro de tiempo y de energía son las palancas que mueven nuestras agendas.
En algunos aeropuertos nos facilitan aligerar el onboarding si optamos hacer la facturación mediante reconocimiento facial. «¡Lo probamos, claro!«.
O podemos recurrir a este patrón biométrico en algunos cajeros sin tener que teclear el número PIN en la pantalla. «¡Cómo no lo hicieron antes! ¡Qué maravilla!«.
Muchos de ustedes y yo llevamos en el bolsillo un smartphone que tiene la capacidad de desbloquear el terminal o el uso de aplicaciones mediante huella dactilar o el escaneo del rostro, ahorrándonos cientos de minutos al año. «¡Oigan, a ver si mejoran el sistema que ahora al llevar mascarillas no funciona tan bien como antes!«.
Y luego está el otro gran vértice: la seguridad pública, la lucha antiterrorista, etc. El Estado también quiere (y necesita) participar en la carrera la cuarta revolución industrial sin quedarse rezagado. Para ello tendrá que competir en criterios de eficiencia con las empresas privadas, tendrá que automatizar procesos y deberá introducir y desplegar inteligencia artificial en rincones tradicionalmente reservados al ámbito humano. Tampoco se vacilará a la hora de utilizar videovigilancia y reconocimiento facial para detección de infracciones o de personas potencialmente peligrosas. Se utilizarán las tecnologías que redunden en mayor ahorro de costes.
En los primeros casos descritos elegimos nosotros adoptar esa tecnología. En los segundos, nos vendrá impuesta por quien tenga legitimación para tratar nuestros datos sin necesidad de solicitar nuestro consentimiento, invocando los intereses públicos, por ejemplo.
Eficiencia, comodidad, ahorro, progreso.
¿Qué podría salir mal?
Hablamos de datos de categoría especial
No estamos ante datos cualesquiera.
En entorno tecnológicos podemos probar nuestra identidad mediante “algo que se conoce” (unas credenciales o claves de acceso, la respuesta a una pregunta de seguridad, etc), mediante “algo que se posee” (p ej una tarjeta con coordenadas, etc) o bien mediante “algo que se es” (utilizando datos biométricos). Los datos biométricos tienen una capacidad de verificar la identidad de una persona de forma prácticamente inmediata.
Si dichos datos son mal utilizados o acabasen en malas manos, pueden propiciarse situaciones discriminatorias muy importantes o cuestiones relacionadas con la suplantación de identidad evidentes. Estamos, entonces, ante datos sensibles.
Un mínimo sentido de prudencia nos recomendaría al menos, como meros usuarios:
- Restringir su utilización a lo indispensable,
- Asegurarnos que la tecnología está bien bastionada y que no tiene brechas de seguridad,
- Que los proveedores que intervengan en la recogida, tratamiento, conservación y/o supresión de los datos sean de confianza.
Y aquí nos encontraremos ante situaciones, usuarios y agentes de todo tipo.
La tecnología de reconocimiento facial aplicada en sistemas de seguridad nos ha dejado numerosos y preocupantes casos de falsos positivos y de acusaciones relativas a sesgos de raza o sexo que han llevado a su prohibición por parte de las policías de algunas ciudades.
Y, muy importante, la propuesta de moratoria de los sistemas de reconocimiento facial utilizados en materia de law-enforcement ha vuelto a colarse en la agenda del Parlamento Europeo.
Pero volvamos al caso
Cuestiones relativas al RGPD en el sistema de detección anticipada
En cuanto se publicó la noticia fuimos a mirar la Política de Privacidad de Mercadona. Resaltamos el apartado relativo al tratamiento en cuestión:
Y, en lo que respecta al tratamiento de datos sensibles:
Por otra parte, el compañero José Manuel Cañedo publicó en Twitter una fotografía del cartel informativo que la empresa ha colocado en los establecimientos en los que se ha implantado este sistema. Con licencia de José Manuel, reproduzco la imagen aquí.
Examinado el conjunto y, con la información disponible hasta el momento, podemos hacer referencia a estas cuestiones:
¿Hay tratamiento?
Leemos en el cartel informador que el proceso de comprobación de la imagen del cliente que entra con la imagen que los supermecados tengan de sujetos condenados o con orden de alejamiento del centro o de los empleados y empleadas, proceso al que llamaremos “matching”, tiene una duración de apenas unas décimas de segundo.
Lo cierto es que hay recogida del dato y se utiliza el mismo. También hay cotejo. Con independencia de la duración del proceso, hay tratamiento, de conformidad con la definición del artículo 4 del RGPD. La duración tan “flash” del proceso podría tener relevancia de cara a, digamos, «valorar las circunstancias» pero no en la «calificación de los hechos». Hay tratamiento.
Lealtad y Transparencia
Tanto la primera capa informativa como la Política de Privacidad contienen todas las menciones requeridas, si bien las capas no han satisfecho (tampoco es el lugar) todas las expectativas en el plano de comunicación de cómo funciona la tecnología. Pero eso es otro cantar. En cuanto a cumplimiento legal del deber de informar, todo está en su sitio (art. 13 RGPD + art. 11 LOPDGDD).
Igualmente la colocación de las capas informativas y la puesta a disposición del cliente de la información se ha hecho diligentemente. Quizás habría sido deseable hacerlo más ostensible, con tamaños y colores distintos a los utilizados para advertir de la videovigilancia convencional por cámaras de seguridad.
Finalidad
Como decimos, en un primer examen, y a falta de más información, nos da cierta sensación de que la finalidad esgrimida queda lejos de los medios elegidos para hacerla efectiva, esto es: la recogida de miles, tal vez millones, de imágenes con patrones biométricos de clientes, para “mejorar la seguridad” o “mejorar la seguridad de clientes y empleados”, clientes entre los que solo un pequeño porcentaje del total serán personas contra los que exista orden de alejamiento respecto del centro o de algunos/as de sus empleados/as.
Se hace deseable una mayor determinación de la finalidad que nos ayude a discernir si sería posible conseguir la finalidad propuesta con otros medios que impactasen menos en el principio de minimización de datos.
Legitimación o base jurídica
Estamos ante datos biométricos dirigidos a identificar unívocamente a una persona, una de las categorías especiales de datos (también llamados datos “sensibles”). Para levantar la general prohibición de su tratamiento, Mercadona invoca como base, como hemos visto, el “interés público”.
Y no puede ser un “interés público” cualquiera. Conforme a la letra g) del apartado 2 del artículo 9 del RGPD hay que pedirle una serie de “extras”:
a) Ha de tratarse de un interés público esencial. Ya desde la sentencia 292/2000 de nuestro Tribunal Constitucional nos quedaba claro que “la restricción del derecho fundamental a la protección de datos personales no puede estar basada, por sí sola, en la invocación genérica de un indeterminado «interés público”… Pero además conviene que recordemos eso que nos dice la jurisprudencia europea de que al alegar un interés público “la injerencia responda a una necesidad social acuciante y, en particular, que sea proporcionada con el fin legítimo que persigue”
b) Ha de cumplir el resto de criterios exigidos. Así los ha condensado el Gabinete Jurídico de la AEPD en un reciente informe sobre la utilización del reconocimiento facial en el ámbito de las evaluaciones online o e-proctoring:
«[…. Por consiguiente, el tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere que esté previsto en una norma de derecho europeo o nacional, debiendo tener en este último caso dicha norma, según la doctrina constitucional citada y lo previsto en el artículo 9.2 de la LOPDGDD, rango de ley. Dicha ley deberá, además especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público. Y dicha ley deberá establecer, además, las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos. Además, dicha ley deberá respetar en todo caso el principio de proporcionalidad…]»
La Evaluación de impacto
Siendo realizado a alta escala por número de afectados, y utilizando tan novedosa tecnología, este tratamiento ha tenido que ser un candidato perfecto a pasar por una evaluación de impacto en la protección de datos para, básicamente:
- -describir el tratamiento
- – evaluar la proporcionalidad (necesidad, proporcionalidad, idoneidad) del tratamiento
- – ayudar en la gestión de los riesgos derivados de ese tratamiento.
Reconozco que me habría encantado examinar la evaluación realizada sobre este tratamiento, para conocer cómo funciona el sistema con más detalle (la EIPD sí es el documento adecuado donde volcar toda esta información) las distintas eventualidades del mismo relacionadas con el tratamiento de datos personales, cómo se ha realizado el juicio de proporcionalidad o qué medidas de limitación y mitigación del riesgo se han previsto adoptar o si ha quedado algún riesgo residual. También si, en su caso, se elevó consulta a la autoridad de control y si se contó con el asesoramiento de ésta (art. 36.1 y 2 RGPD)
Alguna duda más
1-. Decisiones automatizadas: según la primera capa informativa, en caso de que el sistema detecte a alguna de esas personas con orden de alejamiento se genera una alerta que será contrastada por personal especial de seguridad con formación específica. Esa intervención del personal, que, suponemos, haría una comprobación adicional para cerciorarse, ¿es suficiente para determinar que no estamos ante una decisión totalmente automatizada y, por tanto, que no aplica la prohibición del art. 22.4 (las decisiones automatizadas no se basarán en categorías especiales de datos salvo que concurran algunas circunstancias tasadas en el propio tenor del artículo)?
2-. El cotejo o matching. ¿Con qué imágenes se comparan las imágenes generadas por el sistema de reconocimiento facial? ¿El sistema está comparando con alguna base de datos local que posee la empresa con sujetos con orden de alejamiento o hace veloces consultas a base de datos policial o judicial, y, si así fuera, cuál o cuáles?
3-. Y en menor medida, ¿Por qué no un proyecto piloto más reducido? Es decir, probar la tecnología en un local o dos y no en 40.
4-. El proveedor de la tecnología. En este artículo el compañero Borja Adsuara hace una gran aproximación al tema que aquí abordamos y habla de los autores del sistema de detección anticipada utilizado por Mercadona.
Respuestas espontáneas a argumentos falaces
Alrededor de la noticia hemos vistos circular algunos argumentos que contestaré con su misma simpleza. Aclaro que en ningún caso han sido utilizados por perfiles oficiales de Mercadona.
a) “Si no has hecho nada no tienes nada que temer”
Argumento utilizado por algunas policías dictatoriales. Y falaz: si el tratamiento no se realizase con todas garantías habría bastante “que temer”.
b) “¡Ya están los tecnófobos! Siempre en contra y poniendo palitos en las ruedas”
Se ha dicho antes: nada de ludismos. No prohibamos la tecnología, mejorémosla. Lealtad, garantías y transparencia lo resisten (casi) todo.
c) “Pero es que en China la monitorización, la vigilancia y el escaneo facial es el pan nuestro de cada bla bla”
Afortunadamente no vivimos en China.
d) “Ya hay muchos sistemas de reconocimiento e IA que hacen esto”
Sí, pero este lo pueden poner en el super de mi barrio, al que voy varios días por semana. Me afecta más directamente.
e) “Un tratamiento tan veloz no supone ningún impacto; y los datos no se conservan”
Ya lo hemos dicho. Igualmente hay tratamiento, la tipología de datos tratados no es cualquiera, hay tecnología novedosa implicada y hay que ofrecer garantías así como medidas de seguridad eficaces. Pero reconozco que tal como aparece descrito con la información que hasta ahora tenemos, el impacto sobre la protección de datos sería bastante reducido.
f) “La gente ya lo utiliza en el smartphone o en el banco. ¿Por qué tanto escándalo con esto?”
Porque, consciente o no de los riesgos, el usuario lo utiliza donde quiere y da su consentimiento a quien le da la gana. Pero cuando tratas de imponerle la tecnología, la gente se muestra más reactiva. Puede que la sensación de control de los datos sea mayor si uno consiente. Puede que esa sensación sea falaz. Pero es lo que hay.
Conclusiones
La apuesta de Mercadona por la utilización de este sistema de detección previa basado en tecnología de reconocimiento facial debe ser capaz de resistir algunas cuestiones que se han planteado, relativas a protección de datos. Concretamente, si se está justificando correctamente, por un lado, la base de legitimación a la que se ha recurrido (interés público) y, por otro lado, el juicio de proporcionalidad (la tecnología utilizada es proporcional, idónea y necesaria) para lograr las finalidades propuestas, cuya mejor o más precisa descripción habría sido deseable.
Pero sin duda una decisión con tanta relevancia habría merecido mejor y más completa comunicación y particularmente en lo relativo a la divulgación de la información disponible y a la atención de las dudas y consultas de clientes o de quienes demandábamos más luz sobre este tema.
Y conectando RSC empresarial con RGPD, porque me fascina este tema: sería deseable estudiar cómo se planifica el impacto económico y reputacional de una medida como esta cuando se decide desplegar en la compañía pero la tecnología no está suficientemente madura (falsos positivos), no goza de aceptación social, o tiene un entorno normativo tan, por qué no decirlo, en contra de obra (incluso, como hemos visto, en el ámbito de la seguridad pública).
Nos interesa tu opinión.
¿Es el momento adecuado ahora, en tiempos de COVID-19, en los que estamos más pendientes de aspectos sanitarios, para desplegar este tipo de sistemas de detección y control? ¿A qué escenarios nos llevaría que un operador como Mercadona implante esta tecnología en todas sus tiendas? ¿Creéis que podría dar pie a que se utilice de forma masiva en todo tipo de establecimientos? ¿Alcanza la legitimación invocada por Mercadona a todos ellos? ¿Dónde ponemos el punto de corte a la utilización de sistemas biométricos? O incluso, ¿es la hora de dejarnos llevar y no poner límite alguno?
Déjanos tu comentario o consulta en Twitter, con la mención @secuoyagroup
Ángel Benito Rodero