El pasado martes, la AEPD publicó la sanción de 2.520.000 millones de euros a Mercadona. Esta sanción, que ya se encuentra reducida por pago voluntario por parte de la cadena de alimentación, viene precedida de una investigación que ya inició la AEPD en el 2020.
Partiendo de la base de que la instalación de cámaras de reconocimiento facial frente a personas que tuvieran una condena contra Mercadona constituye un tratamiento de una categoría especial de datos reconocida en el artículo 9 del RPGD, la propia Agencia constata que no se dan los requisitos necesarios del 9.2 para levantar la prohibición general del tratamiento de este tipo de datos. De esta manera, no concurren ninguna de las causas que legitiman el tratamiento de datos que se recoge en el artículo 6.1 del RGPD en el que se indica lo siguiente: “Aunque la ausencia de causa que levante la prohibición del tratamiento de categorías especiales de datos determina, por sí sola, la prohibición del tratamiento realizado por Mercadona, y debe señalarse que tampoco concurre una base jurídica que legitimara, en su caso, el mismo al amparo del artículo 6.1. del RGPD sobre la base del interés público.”
Además, se indica también que este tratamiento no resulta respeta los principios de necesidad, proporcionalidad y minimización en el tratamiento de datos personales:
-Sobre la necesidad, la agencia indica: “La medida implantada podrá ser eficaz, pero de ninguna manera necesaria.”
-Sobre la proporcionalidad: “…una cosa es que la adopción de una medida de seguridad pueda tener efectos beneficiosos en la sociedad…Y otra cosa es que la preponderancia del interés público (razón por la que se impone la medida de seguridad) legitime el tratamiento de los datos personales del resto de los ciudadanos, de tal forma que todos los ciudadanos sean tratados como condenados…”
-Y, sobre el principio de minimización: “… señalar que el tratamiento de datos de reconocimiento facial implicará el tratamiento a gran escala de categorías especiales de datos sujetos a un régimen reforzado de garantías. Ello es así por el elevado volumen de afectados y clientes de la mercantil, así como por cuanto que dicho tratamiento podría generalizarse al conjunto de mercantiles del mismo u otro sector comercial”
Por lo expuesto anteriormente, junto con otros motivos reflejados en la resolución, la AEPD entiende que el tratamiento no es conforme con las garantías exigidas por el RGPD y procede a la sanción de Mercadona.