Durante la crisis del COVID-19 hemos observado la proliferación de sistemas de tratamiento de datos personales, la mayoría de base tecnológica, que se anuncian como herramientas imprescindibles de investigación, innovación y progreso en relación, o no, con la gestión de la pandemia y que son susceptibles de limitar gravemente los derechos y las libertades de los ciudadanos.
La semana pasada, la empresa de distribución Mercadona anunciaba la instalación de un sistema de reconocimiento facial en unas 40 tiendas de Zaragoza, Mallorca y Valencia, con la finalidad de detectar a los condenados con sentencia firme y medida cautelar de orden de alejamiento del establecimiento. Además, también se incluirán los casos de violencia de género, donde el sistema identificaría a aquellas personas que cuenten con una orden expresa de alejamiento de empleadas de Mercadona. El sistema funciona tratando las imágenes en 0,3 segundos, alertando al personal de vigilancia de la tienda, que realizará comprobaciones adicionales, y en su caso, alertará a las fuerzas y cuerpos de seguridad. Mercadona ya ha colocado carteles avisando de este sistema a la entrada de sus tiendas y lo justifica como un “refuerzo de la seguridad”. También la Entidad Municipal de Transportes (EMT) de Madrid ha iniciado una prueba piloto para el uso de la tecnología de reconocimiento facial como medio de pago de los billetes en sus autobuses.
En el caso de tratamiento de datos para la prevención y lucha contra el COVID-19, en general, éstos están limitados temporalmente a la duración de la epidemia (tienen “fecha de caducidad”). En propuestas como la de Mercadona, en la que en principio no parece que haya ningún acote temporal, es indispensable realizar la ponderación de los derechos e intereses de las partes implicadas para determinar la idoneidad, necesidad y proporcionalidad de los tratamientos y por tanto, debe realizarse una Evaluación de Impacto de Protección de Datos. Cuestiones como cuál es el origen de la base de datos con la que se cotejan los datos faciales de los clientes, o cómo han sido recogidos esos datos e informados y legitimados los tratamientos por parte de los afectados, son relevantes a la hora de poder realizar un análisis más adecuado.
Ante este tipo de soluciones tecnológicas y su implantación generalizada (que parece llegan para quedarse) cabe plantearse cuestiones más allá del punto de vista legal, del interés general o nacional; verlo desde la ética -y/o la bioética por su impacto sobre los derechos personales.
En lo que respecta a privacidad, debemos plantearnos las siguientes preguntas:
- ¿Quién va a tratar esos datos?
- ¿Qué datos se van a tratar?
- ¿Cómo se van a obtener?
- ¿A quién se van a comunicar?
- ¿Durante cuánto tiempo?
- ¿De qué forma se van a interrelacionar?
- ¿Qué conclusiones podrán extraerse de forma masiva?
- ¿Qué consecuencias tendrá ese tratamiento para las personas?
- ¿Dónde se van a almacenar?
- ¿Qué medidas de seguridad van a aplicarse?
En el caso de Mercadona, la empresa alude al interés público como base jurídica de legitimación del tratamiento, según se indica en los carteles dispuestos en las tiendas. Pero para poder realizar tratamientos de datos de categorías especiales, no basta con aludir a un interés público general sino que ha de ser un interés público esencial, sobre una obligación legal, proporcional a la finalidad perseguida y respetado el derecho a la protección de datos con el establecimiento de medidas adecuadas para proteger los intereses y derechos fundamentales de los afectados (art. 9.2 g) del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD).
Quizá se podría evitar el reconocimiento facial automatizado de los miles de clientes que acuden diariamente al establecimiento aplicando sistemas alternativos que no tengan un impacto tan elevado sobre los derechos de los ciudadanos; por ejemplo, facilitando los nombres o las fotos de los sujetos con orden de alejamiento a los vigilantes de seguridad del establecimiento.
La aplicación que se utilice, además, debe contar con las garantías adecuadas de seguridad, confidencialidad e integridad requeridas para, por ejemplo, no correr el riesgo de perder la trazabilidad de los datos.
Son tratamientos de datos personales justificados en pro del interés general, pero que pueden conducir a la institucionalización de prácticas de vigilancia y control digital de personas que podrían resultar en la pérdida de control sobre nuestros datos personales, nuestra intimidad.
La AEPD ya ha anunciado que está investigando de oficio la solución de vigilancia facial implementada por Mercadona.
El respeto a los derechos y libertades de los ciudadanos debe formar parte del desarrollo y diseño de cualquier actividad de investigación o innovación, sobre todo cuando se corre el riesgo de acabar dependiendo de compañías privadas con base tecnológica. Para ello es fundamental, no sólo tener presente el cumplimiento del RGPD, sino fomentar la alfabetización digital y concienciación ciudadana, obligación que se desprende de la Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).