A cadeia espanhola de supermercados Mercadora, utiliza desde o ano passado um sistema de reconhecimento facial ativo em 40 lojas. Estas lojas estão localizadas em Maiorca, Saragoça e Valência. Conforme descrito pela empresa, as lojas que utilizam este sistema têm uma placa informativa disponível nas entradas. Contudo, esta tecnologia que permite identificar suspeitos de algum crime e ajudar as autoridades, não acolheu a aceitação da autoridade para a proteção de dados espanhola.
Segundo informações, o polémico reconhecimento facial do Mercadona levou a que a empresa fosse agora multada em 2,5 milhões de euros pela Agência Espanhola de Proteção de Dados (AEPD).
A sanção ao Mercadona funciona como um alerta para este tipo de sistemas
A Mercadona instalou um projeto-piloto em 48 lojas da sua rede de supermercados. Segundo a empresa, este sistema “não armazena nenhuma informação adicional” e a imagem é completamente eliminada em 0,3 segundos, duração de todo o processo de identificação e eliminação.
Além disso, nas lojas está devidamente publicitada a ação com cartazes informativos, como é possível ver na imagem em baixo:
No entanto, o polémico reconhecimento facial não se enquadra na lei e a empresa foi multada em 2,5 milhões de euros. A sentença foi publicada várias semanas após o Tribunal Provincial de Barcelona se ter pronunciado sobre o mesmo caso, concluindo haver uma “violação de privacidade” neste projeto.
Estes são os argumentos da Agência de Proteção de Dados sobre o reconhecimento facial da Mercadona. A conclusão destaca as complexidades deste tipo de sistema de vigilância.
Para a empresa Mercadona, o sistema é importante para ajudar as autoridades e a própria rede de supermercados. Aliás, foi a própria empresa a referir que o sistema “aplicou um filtro tecnológico e uma segunda verificação visual constatou que a pessoa identificada possuía uma ordem de restrição em vigor no estabelecimento”.
Quais os aspetos do projeto de reconhecimento facial que levaram à sanção
Um advogado especializado em Proteção de Dados consultado para comentar a questão refere, entre os factos comprovados, que se verificou haver um início do projeto em junho de 2020 e somente em maio de 2021 foi encerrado nos seus quarenta estabelecimentos. Assim, durante cerca de um ano, estes estabelecimentos usaram a tecnologia de reconhecimento facial na entrada.
Então como é que o sistema diferenciava quem tinha ordem judicial?
A empresa baseou-se nas suas próprias ações judiciais contra quem furtou e pediu ao juiz que ordenasse justamente esta medida. Apesar de ser considerada uma “boa ideia”, para Garcia Herrero, é aqui que a AEPD os acusa de terem começado a implementar o sistema, antes de fazer a avaliação de impacto.
Isto é, neste tal relatório de impacto não foram avaliados os riscos relativos aos próprios trabalhadores da empresa e a clientes vulneráveis, como os menores, de acordo com a AEPD.
Segundo a Agência, os dados biométricos são processados sem base suficiente e os requisitos básicos de interesse público não são cumpridos.
Mercadona no interrumpió en ningún momento el tratamiento, que se mantuvo hasta el 6 de mayo de 2021.
Muy mal, chicos, muy mal. pic.twitter.com/M1NkbZZaXb
— Jorge Garcia Herrero -Cookieless since 2000- (@jgarciaherrero) July 27, 2021
A AEPD concluiu que o Regulamento Geral de Proteção de Dados foi violado. Especificamente, os artigo 6.º (Legalidade do tratamento ) e artigo 9.º (Tratamento de categorias especiais de dados pessoais ). Por este motivo, é imposta uma multa de dois milhões de euros, acompanhada de outros valores por violação de outros artigos do RGPD.
No entanto, esta sanção foi reduzida em 20% porque a Mercadona decidiu voluntariamente efetuar o pagamento, tendo em consideração como atenuante de especial relevância que não existe registo de reincidência. A Mercadona explica que teve autorização judicial e manteve contacto próximo com as autoridades correspondentes desde o início, partilhando todos os procedimentos com a AEPD antes de iniciar o teste.
No entanto, conforme referido, um dos motivos da sanção é a avaliação de impacto incorreta.