Análisis técnico y jurídico de la resolución de la AEPD sobre Mercadona

Contexto

No todos los casos de uso de la biometría son iguales, ni tienen las mismas implicaciones jurídicas. En este artículo explicamos la diferente regulación aplicable a la identificación biométrica, dirigida a validar a un individuo entre muchos (1;N), y la verificación de identidad, reconocer que alguien es quien dice ser (1:1). La AEPD autoriza tanto la identificación biométrica como la verificación biométrica, siempre que se cumplan las medidas requeridas en el RGPD.

Explicamos también que la sanción recientemente impuesta a Mercadona por la AEPD responde a un supuesto de hecho totalmente distinto a los casos de uso propuestos por Veridas y dasGate, por lo que los razonamientos jurídicos de esa sanción no les aplican.

Aportamos información y referencias que permiten comprender el marco regulatorio europeo al respecto de la utilización de tecnologías biométricas, y cómo los casos de uso propuestos por dasGate y Veridas son seguros por diseño y cumplen de manera escrupulosa con toda la normativa vigente.

Introducción

La biometría y la verificación digital de identidad son herramientas y tecnologías que están a nuestra disposición para poder ejercitar nuestra identidad real en internet y espacios físicos. De hecho, la biometría es la mejor herramienta de la que disponemos las personas (la única inherente) para ejercer nuestra Identidad real y para que las Administraciones y empresas puedan llevar a cabo una Transformación Digital segura, privada y confiable.

De hecho, el uso de este tipo de tecnologías, aunque reciente, no es nuevo, sino que está recogido ya en autorizaciones como la del SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias), que desde 2016 y 2017 contempla la verificación de identidad no presencial; o la Orden Ministerial ETD/465/2021 por la que se permite la verificación digital de identidad de los solicitantes de certificados electrónicos cualificados; o la Resolución de 25 de mayo de 2021 de la Secretaría de Estado de la Seguridad Social y Pensiones para la realización de trámites a través de canales telefónicos y telemáticos empleando sistemas de verificación de identidad biométricos, entre otros.

El caso Mercadona

Recientemente se ha hecho pública una sanción de la Agencia Española de Protección de Datos (AEPD) a Mercadona por el uso de sistemas de identificación facial en campo abierto, sin consentimiento del usuario, al hilo de la cual creemos oportuno intentar aclarar conceptos y proporcionar nuestro criterio sobre los diferentes usos e implicaciones que tiene emplear tecnología biométrica.

Como se ha sabido, Mercadona instaló, en junio de 2020, como parte de un proyecto piloto, un sistema de identificación mediante reconocimiento facial en cuarenta de sus establecimientos. De acuerdo con lo publicado, el sistema de Mercadona era de identificación biométrica (1:N), ya que trataba de reconocer si la persona identificada (1) era alguna de las personas que tenía vigente una sentencia o una orden de alejamiento de Mercadona o sus trabajadores (N).

A esas personas, sin su consentimiento, se les reconocía en un espacio abierto al público, la entrada a las tiendas de esa cadena de supermercados, de manera remota e identificando a todos los que pasaban por ese espacio y no sólo a los que se aproximasen a un lugar determinado para un acceso preestablecido.

En julio de 2020, se registraron en la AEPD dos reclamaciones que, junto con los hechos y documentos a los que tuvo acceso este organismo, condujeron al inicio de una investigación por parte de la AEPD que ha concluido con la resolución publicada, un año después, con una multa de 2,5 millones de euros a la cadena de supermercados.

La resolución de la AEPD

En su resolución la AEPD analiza las alegaciones presentadas por Mercadona en lo relativo a la legitimación, el juicio de proporcionalidad (idoneidad, necesidad y proporcionalidad en sentido estricto), la evaluación de impacto, la transparencia en la información, los riesgos derivados del tratamiento, etc.

En primer lugar, la AEPD indica que al tratarse de un sistema de identificación 1:N, que usa datos biométricos dirigidos a identificar unívocamente a una persona concreta entre varias (uno-a-varios, o 1:N), nos encontramos ante un tratamiento de datos de categoría especial sujeto a las garantías recogidas en el artículo 9 del RGPD.

Asimismo la AEPD argumenta en su resolución que el tratamiento de datos personales realizado no afectaba únicamente a las personas con sentencias firmes y órdenes de alejamiento, sino también a cualquier trabajador y cliente de Mercadona. Y es que al imponer un sistema de detección de las personas condenadas, automáticamente se aplicó el mismo sistema de reconocimiento sobre el resto de personas.

Además, la AEPD considera el sistema de reconocimiento facial empleado por Mercadona como un sistema de reconocimiento facial masivo y remoto (“identificación biométrica remota”) según define este concepto el Libro Blanco sobre Inteligencia Artificial de la Comisión Europea. Esto es así porque se emplean datos biométricos calificados como datos sensibles, se produce a distancia en un espacio de acceso al público en general y es un tratamiento automático y continuado.

En base a ello, la AEPD realiza un exhaustivo estudio concluyendo que “el tratamiento de datos basados en el reconocimiento facial con fines de identificación implantado por Mercadona se encuentra prohibido por lo dispuesto en el artículo 9.1, al no constar ninguna causa que permita levantar la prohibición entre las expuestas en el art. 9.2 del RGPD”, y que su uso no resulta proporcionado a la finalidad perseguida.

Diferencias entre identificación y verificación biométricas

Como mencionábamos, la AEPD, recogiendo lo dispuesto en el Libro Blanco sobre Inteligencia Artificial de la Comisión Europea, viene distinguiendo claramente entre tratamientos de identificación biométrica (1:N o uno-a-varios) y de verificación/autenticación biométrica (1:1 o uno-a-uno):

“En lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma.”

Y en base a ello, ya en su Informe 36/2020, la AEPD concluía que:

“Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).”

Más recientemente, en su guía “La protección de datos en las relaciones laborales”, la AEPD volvió a reiterar este criterio.

Esta distinción que antes se consideraba únicamente en el plano técnico, tiene ahora, por tanto, reseñables implicaciones en el plano jurídico. Cabe señalar, en cualquier caso, que esta diferenciación no supone automáticamente una legitimación o prohibición total del tratamiento de estos datos personales, sino que implica que se deben tener en cuenta más o menos cuestiones (por ejemplo, las excepciones del artículo 9.2 del RGPD, la necesidad de realizar una evaluación de impacto, etc.). Es decir, la AEPD autoriza tanto la identificación biométrica como la verificación biométrica, siempre que se cumplan las medidas requeridas en el RGPD.

Buenas prácticas en el uso de la tecnología biométrica

Sobre la base de esta diferenciación se han ido construyendo los límites, obligaciones y buenas prácticas que deben tenerse en cuenta al tratar datos biométricos.

Claros ejemplos de ello son el Libro Blanco de Inteligencia Artificial de la Comisión Europea, ya mencionado, o la propuesta de Reglamento sobre Inteligencia Artificial recientemente publicada por la Comisión Europea, en los que el conocimiento de los usuarios (interesados) sobre el tratamiento que se puede hacer de sus datos (¿qué datos?, ¿con qué finalidad?, ¿durante cuánto tiempo?, ¿quién?,…) y el control que tienen sobre dicho tratamiento, son el punto de partida, en la mayoría de los casos, para determinar el nivel de riesgo.

Así, supuestos de identificación biométrica remota, en espacio abierto y en el que las personas carecen del poder de decisión sobre el tratamiento de sus datos biométricos, son el tipo de usos de tecnología biométrica que por sus características excepcionales están regidos por una normativa más exigente. Sin embargo, en supuestos de identificación biométrica controlada o acotada y en casos de verificación biométrica, la privacidad de las personas es respetada y el riesgo inferior.

Diferencias entre dasGate y el caso Mercadona

En el diseño de su tecnología biométrica, dasGate y Veridas, tienen como principio fundamental la privacidad por defecto y desde el diseño. Desde las primeras etapas de desarrollo de los productos, pero también en la construcción de soluciones específicas para cada caso de uso, la protección de los derechos y libertades en materia de protección de datos de todos los usuarios se sitúa en el centro de nuestra actividad.

La tecnología biométrica desarrollada por Veridas, y que utiliza dasGate, está basada en Inteligencia Artificial lo que tiene importantes consecuencias en las características del vector matemático (template creado a partir de la imagen facial) empleado para realizar las comparaciones:

El vector matemático sólo es interpretable por el motor (y la versión del motor) biométrico que lo creó. Esto convierte al vector en no interoperable.
El vector matemático es irreversible, es decir, no podemos volver a la imagen desde la que se creó.
El vector matemático sólo sirve a efectos de comparación. Se va a utilizar para compararlo con otro vector a través de un motor biométrico (recordemos, uno sólo en concreto), y obtener así un porcentaje de similitud entre ambos que nos diga si corresponden o no a la misma persona.
El vector matemático no ofrece más información que esa, es decir, no se puede inferir del mismo ninguna característica del sujeto (emociones, género, etnia, comportamiento…).

En definitiva, su uso es siempre controlado y acotado, por lo que, aun sin tener en cuenta otras muchas medidas de seguridad que se aplican al sistema, si hay un acceso no deseado a un vector matemático no se puede hacer nada con él.

De esta forma, las soluciones biométricas de Veridas y de control de accesos mediante biometría de dasGate, pueden ser empleadas en modalidad de verificación (1:1) o de identificación (1:N). Cada sector y caso de uso aconsejará un sistema u otro, especialmente teniendo en cuenta la finalidad perseguida, el nivel de seguridad exigido y la experiencia de usuario deseada.

Como norma general, la base legitimadora para poder realizar este tipo de tratamientos biométricos debe ser, en nuestra opinión, el consentimiento informado de los usuarios. Esto resulta aplicable tanto a los supuestos de verificación (artículo 6.1.a del RGPD) y de identificación (artículo 9.2.a del RGPD).

Sin embargo, cuando hablamos de identificación nos encontramos ante datos de categoría especial, por lo que ya hemos visto que es especialmente relevante garantizar que todas las personas cuyos datos podrían llegar a ser objeto de tratamiento lo conozcan y tengan la libertad de prestar su consentimiento explícito o bien denegarlo.

En dasGate esto se garantiza asegurando que el sistema de identificación mediante reconocimiento facial no es indiscriminado y abierto, sino que se circunscribe a un reducido ámbito de captura (menos de un metro del terminal de lectura) adecuadamente señalizado, que implica que única y exclusivamente los datos de las personas que se sitúen voluntariamente en el área de captura pueden ser objeto de tratamiento.

No se tratarán los datos ni serán objeto de identificación las personas que puedan moverse con libertad por el lugar, sino únicamente quienes se sitúen frente al terminal. Esto permite que el sistema de accesos mediante identificación biométrica de dasGate no sea considerado un sistema de identificación biométrica remota.

En los sistemas de control de accesos de dasGate, con independencia de que sean con verificación o con identificación biométricas, siempre se parte de un registro previo informado y bajo el consentimiento de los usuarios que quieren ser verificados o identificados. Sólo los datos de las personas registradas serán empleados por el sistema para llevar a cabo las comparaciones faciales, y sólo serán comparados contra los datos de quien voluntariamente los aporte en cada momento (al presentar una credencial y/o situarse frente al terminal de captura).

Asimismo, tanto Veridas como dasGate han realizado Evaluaciones de Impacto de Proteccción de Datos (EIDP) de sus soluciones, algo que la AEPD exige. Esto se hace con el firme convencimiento de que, si bien actuamos como encargados del tratamiento en los servicios que prestamos, el análisis del diseño y uso de nuestros sistemas debe ser previo a ofrecerlos al mercado.

Se cuenta, además, con un completo sistema de gestión de seguridad de la información, avalado por certificaciones como la ISO 27001 y el Esquema Nacional de Seguridad (ENS).

En dasGate y Veridas consideramos que la protección de los datos personales de los usuarios de nuestras soluciones debe estar en el centro de nuestra actividad. Así, los sistemas que desarrollamos buscan siempre el control por parte de los usuarios de cuándo, cómo y por quién pueden ser tratados sus datos personales.

Las soluciones ofrecidas, así como los casos de uso en los que los clientes de dasGate y Veridas las están empleando actualmente, parten del consentimiento de los usuarios y del control por parte de ellos en la captura de sus datos. Creemos firmemente que estas deben de ser las líneas principales para un correcto uso de la tecnología de identificación biométrica, especialmente cuando no exista otra base legitimadora y proporcionalidad suficientemente justificadas.