Jorge García Herrero Profile picture
Doy contexto sobre privacidad ☝️ Evangelista del RGPD 🏆Premio AEPD 2019 💻 DPO 🤖 AI 🌐 https://t.co/4LikeBtVWh 📩 https://t.co/OFQj1XMaaV

Jul 27, 2021, 17 tweets

Resolución del caso #ReconocimientoFacial en #Mercadona.
La empresa salda con pronto pago de 2 kilotrones, la sanción propuesta de 3.150.000 hacendados.

Pillad unos mochis de mango porque HAVRO ILO con las novedades que nos depara la resolución. 🧵

aepd.es/es/documento/p…

Mercadona no interrumpió en ningún momento el tratamiento, que se mantuvo hasta el 6 de mayo de 2021.

Muy mal, chicos, muy mal.

La empresa aportaba las imágenes captadas con el propio sistema en los juicios seguidos contra quienes hurtaban en el supermercado y solicitaban de la jurisdicción penal que se decretara precisamente esta medida (vigilancia del cumplimiento de la orden de alejamiento mediante RF)

Eso podría haber sido una buena idea, peeero la AEPD les imputa el hecho de haber empezado a preconstituir estas pruebas (en los procedimientos penales) ANTES de realizar la preceptiva evaluación de impacto.
La hicieron después, pero fue una birria en cualquier caso.

La AEPD considera que la empresa trata datos biométricos sin base suficiente, pero ADEMÁS trata datos (en general) sin base: no concurren ni los requisitos básicos de la base de interés público que afirman.

La empresa peca de "complaciente", por decir lo menos, en la justificación de la necesidad de la medida.
Esta es una de las grandes lecciones para los profesionales de la protección de datos personales: "el cliente no siempre tiene la razón".

Otra lección: el hecho de que nadie proteste, no significa que lo hayas hecho todo fetén, Rick.

Esto es lo que dice la empresa, que se las trae:

Se trata de legitimar el tratamiento de datos biométricos de un porcentaje amplio de la población española (todos podemos ser hacendaditos o "jefes") para evitar que unos pocos condenados vuelvan a delinquir.
Lo de "no condenados", ya tal.

Ojo a la contundencia y claridad de la Agencia:

La empresa suelta algunos argumentos dignos de tener semejante tamaño de genitales.
#QueNoFalteDeNá

El análisis de riesgos es deficiente, la evaluación de impacto, idem.

De haberse hecho de forma decente el resultado habría conducido a una consulta previa a la AEPD de acuerdo con el 36 RGPD

La @AEPD_es desmonta aquí la versión filtrada la semana pasada por la empresa ("le contamos en todo momento a la AEPD lo que hacíamos y ¡AY! a pesar de todo nos sancionan").

¿Cómo se evalúa la proporcionalidad?
Bien: así NO se evalúa la proporcionalidad de un tratamiento

La empresa alegaba el 9.2.f RGPD (ejercicio de acciones judiciales) para justificar el tratamiento de datos biométricos.
La @AEPD_es dice que nones, porque

Por ir terminando que esto parece la cola... del Mercadona...
Se subraya que no se han valorado los riesgos que representa este tratamiento para dos colectivos: el de los propios trabajadores de la empresa (más de 100.000) y el de los clientes vulnerables (menores...

... discapacitados, ancianos).
Más:
La información suministrada a clientes también tiene deficiencias importantes.
Me gusta especialmente este argumento de la Agencia:

Hasta aquí lo novedoso.
Lo que ya se sabía lo resumió extraordinariamente @angelyabogado para el blog de nuestro @secuoyagroup aquí, hace justo un año.

Y recuerden, tengan mucho cuidado ahí fuera!

secuoyagroup.com/2020/07/recono…

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling