En julio de 2020, Mercadona anunció la instalación de un sistema de reconocimiento facial en varias decenas de supermercados de Mallorca, Zaragoza y Valencia. La idea era que esta tecnología sirviese para evitar robos y hurtos: según decía Mercadona, si hay varias denuncias contra una persona y una orden de alejamiento contra ellas, el sistema (teóricamente) la identificaría para evitarlo antes de que ocurra.
Un año después, la empresa ha tenido que abandonar la idea y pagar una sanción por ello. El pasado 6 de julio de 2020, la Agencia Española de Protección de Datos (AEPD) abrió un expediente de investigación contra la compañía que acaba de cerrarse, según adelantó Europa Press y ha podido confirmar Maldita.es. La empresa ha pagado una multa de 2,5 millones de euros por instalar sus sistema de reconocimiento facial y ha detenido el proyecto piloto que tenía en marcha en algunas tiendas. *
¿Por qué había tanto problema con toda esta iniciativa? Principalmente, por la cantidad de fallas que tiene el reconocimiento facial a día de hoy y las implicaciones que supone que tecnologías así se incorporen al día a día de la ciudadanía. Quizás no te moleste que una cámara te grabe por cuestiones de seguridad pero, ¿qué pasa si el programa que usa te confunde con una de las personas que ha delinquido y no tengas cómo defenderte en el momento?
A nivel internacional, son muchas las organizaciones que se pelean con gobiernos y empresas para que la tecnología de reconocimiento facial no se utilice como factor decisivo contra una persona: por ejemplo, para optar por detenerla o no. ¿Por qué? Porque puede causar discriminación, afecta a tu privacidad y, hoy por hoy, falla en diferentes ámbitos. De hecho, ya se han producido varias detenciones erróneas a hombres negros por un sistema algorítmico y hay estudios que prueban que se ha llegado a confundir a políticos estadounidenses con delincuentes.
“Los estudios que tenemos nos dicen que el reconocimiento facial no funciona: en condiciones de laboratorio vemos tasas de error del 30% pero en la vida real donde la gente se mueve, lleva gafas, cambia el peinado o hace muecas, esos errores son estratosféricos, hablamos del 90% o más de falsos positivos”, explica a Maldita Tecnología Gemma Galdón, directora de la consultora Éticas y experta en auditoría algorítmica.
Cómo era el sistema de reconocimiento facial, tal y como lo planteaba Mercadona, y qué dudas están sin resolver
Tal y como lo describía la compañía, el sistema detectaba, "única y exclusivamente, la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra Mercadona o contra alguno de sus trabajadoras o trabajadores”.
Mercadona se negó entonces a indicar cómo había conseguido esos datos y de cuantos casos estaríamos hablando pero en este planteamiento hay muchas sombras: para detectar a una de esas personas, el sistema informático tiene que estar continuamente analizando a las personas que entran y la empresa tampoco especifica cuántas personas hay con esta situación.*
Es decir, que puede que yo no tenga ese antecedente y el sistema no vaya a pitar, pero ya se están registrando y tratando mis rasgos faciales, que son una categoría de datos biométricos que tiene especial protección en nuestro reglamento por su sensibilidad.
Mercadona decía que con ese sistema se analiza a las personas que entran, se coteja la imagen con una base de datos de los supuestos delincuentes y se avisa a la policía para que acudan al establecimiento. Todo en un período de 0,3 segundos y sin guardar las imágenes, y es en ese tiempo en lo que se escudan para asegurar que no hay un tratamiento como tal de nuestros datos físicos. El problema es que apuntarme con una cámara para que me analice un sistema informático e identificarme ya implica tratar datos, independientemente de que los guarden o no.
Desde Maldita Tecnología preguntamos si esa detección de las personas que entran al establecimiento podría usarse con alguna finalidad más, por ejemplo estadísticas de la clientela que entra y las horas de afluencia, a lo que no ofrecieron respuesta.
También consultamos a Mercadona cuestiones como de dónde sacan la base de datos llena de caras de delincuentes junto a su historial en la que tendrá que fijarse el programa informático, pero la compañía limitó a repetir la información que ya habían dado en su comunicado y se negó a contestar a la pregunta.
En 2019, la Agencia Española de Protección de Datos (AEPD) multó a la empresa de los supermercados Eroski por el famoso caso de Cristina Cifuentes y su percance con unas cremas y fue muy clara en su dictamen: los datos de personas involucradas en casos de hurto pueden tratarse por las Fuerzas y Cuerpos de Seguridad del Estado en ficheros policiales, pero “no se contempla su cesión o uso por parte de una entidad privada”.
“Asimismo, imágenes previas del autor de un hurto obtenidas en el mismo supermercado o procedente de otro no deben ser objeto de recopilación almacenamiento o listado para por ejemplo evitar que accedan al establecimiento público. Ello quiebra no solo la obligación de eliminar las imágenes sino que se recogen datos sin habilitación alguna”, decía la AEPD.
A día de hoy el reconocimiento facial falla y hay empresas que están dejando de usar esta tecnología por sus efectos
La empresa que ha diseñado el software (el programa informático) de Mercadona es una israelí llamada AnyVision, que vende su producto a compañías de todo el mundo. Sin embargo, otras multinacionales que ya usaban su sistema optaron por dejar de hacerlo, precisamente por las complicaciones que estaban surgiendo de esta tecnología. Entre ellas, Microsoft, que junto a otro puñado de tecnológicas como IBM o Amazon, anunciaron que aparcaban este desarrollo hasta que hubiese regulación al respecto.
Pensad que una cosa es programar un sistema informático de reconocimiento facial para que automáticamente detecte a una persona que no lleva mascarilla y otra muy distinta que consiga identificarnos por lo visible por encima de ella.
“Si con los puntos de datos de una cara desnuda, ya vemos que la tecnología no da, imagina si eliminas la mayoría de esos puntos. No tenemos tecnología que funcione solo con los ojos en condiciones donde la gente practica su vida real”, añade Galdón.
El impacto del reconocimiento facial en la privacidad de las personas es alto
También preguntamos en su momento a Mercadona por el procedimiento una vez que el sistema detectase a uno de los objetivos: ¿qué pasará con los falsos positivos? Si el sistema me señala a mi como uno de ellos, ¿cómo pruebo que no es el caso? No sería agradable que un policía se te acercara en el pasillo de los congelados a comentarte que es posible que estés detenida. Según Mercadona, se “contrasta científicamente”, aunque no aclaraban en base a qué metodología o ciencia se contrastaría.
“Si la máquina dice que eres tú, no te van a creer. Cada identificación de este sistema puede traducirse en una detención en toda regla hasta que se muestre que no eres tú, pueden pasar horas, y a ti ya te han roto el día, por lo que es una barbaridad instalar una tecnología que no está demostrado que funcione para generar detenciones”, dice Galdón.
La AEPD se pronunció hace poco con el uso de esta tecnología por parte de empresas de seguridad privadas para decir que la regulación actual “se considera insuficiente” para permitir estas técnicas, “siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial”.
“El principio de finalidad (de tratamiento de datos) explica que esas fotografías se recogieron con el fin de denunciarlas, pero en ningún caso para utilizar en un sistema de reconocimiento facial, no puedes reutilizar los datos personales como te parezca. Aunque estén en sus cajones, no pueden tratarlos para una finalidad para la que no fueron recogidos”, añade Galdón, por lo que aumentaba la duda de en qué se basaba Mercadona para instalar este sistema de reconocimiento facial
* Hemos actualizado este artículo a 6 de julio de 2020 para incluir en la pieza que Mercadona se ha negado a responder a las consultas hechas sobre el origen de la base de datos, el número de casos de personas con orden de alejamiento o un posible uso estadístico de la información del sistema, así como la respuesta de la AEPD sobre este tema.
* Hemos actualizado este artículo a 23 de julio de 2021 para incluir que la empresa ha pagado una multa por instalar este sistema a la AEPD y que ha retirado el proyecto piloto. También hemos modificado el titular con esta nueva información.
Primera fecha de publicación de este artículo: 03/07/2020