Il garante per la privacy spagnolo (AEPD) ha sanzionato una catena di supermercati per 2,5 milioni di euro per uso illecito di un sistema di videosorveglianza dotato di riconoscimento facciale che identificava il volto dei clienti raccogliendo una serie di dati biometrici che venivano automaticamente confrontati con una banca dati per determinare se il cliente aveva pendenze con la giustizia, bloccandone in tal caso l’ingresso e facendo scattare un allarme per richiedere l’intervento del personale della sicurezza.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
A seguito della sua indagine, lo scorso anno l’AEPD aveva infatti scoperto che da diversi mesi la Mercadona stava utilizzando un sistema di riconoscimento facciale in 48 dei suoi negozi in tutta la Spagna che raccoglieva ed elaborava i dati biometrici dei volti di tutti coloro che entravano nei supermercati, compresi quelli di migliaia di clienti adulti e bambini, nonché degli stessi dipendenti, per individuare chi tra gli avventori fosse un pregiudicato o sotto altre restrizioni giudiziarie, in particolare individui che avevano ricevuto un’ingiunzione restrittiva dopo aver aggredito un dipendente di un negozio o che era stato condannato per incidenti avvenuti nel negozio.
L’autorità per la protezione dei dati personali ha rilevato che nessuna delle basi giuridiche previste dall’articolo 9 del Gdpr potesse essere lecitamente utilizzata da Mercadona per tale trattamento di dati biometrici attraverso il suo sistema di riconoscimento facciale, e neppure esso rispettava i principi di necessità, proporzionalità e minimizzazione dei dati, trasparenza e privacy by design.
Inoltre, l’AEPD ha rilevato che la valutazione d’impatto sulla protezione dei dati effettuata da Mercadona era insufficiente e incompleta in quanto non teneva conto dei rischi sui trattamenti di dati biometrici che riguardavano i dipendenti.
A circa un anno dall’avvio dell’istruttoria, con Procedimento N. PS/00120/2021 l’AEPD ha quindi deciso di imporre una sanzione di 3.150.000 euro, e da parte sua Mercadona ha rinunciato ad ogni eventualità di fare ricorso, preferendo invece procedere spontaneamente al pagamento in misura ridotta di 2,5 milioni di euro.
Fonte: Nicola Bernardi – Presidente Federprivacy