Stampa & Eventi

Il 27 luglio 2021 l’Autorità spagnola per la protezione dei dati (“AEPD”) ha imposto una multa di 2.520.000 euro alla catena di supermercati spagnola Mercadona per l’utilizzo illecito di un sistema di riconoscimento facciale.

 

Il fatto

A seguito dell’indagine avviata dall’AEPD lo scorso anno, è emerso che da diversi mesi Mercadona utilizzava un sistema di riconoscimento facciale in 48 dei suoi negozi distribuiti sul territorio spagnolo. Il sistema raccoglieva ed elaborava i dati biometrici dei volti di tutti coloro che entravano nei punti vendita, compresi quindi le immagini di clienti adulti e minorenni, nonché degli stessi dipendenti, al fine di individuare chi tra gli avventori fosse un pregiudicato o sotto altre restrizioni giudiziarie.

 

Il risultato dell’indagine

L’AEPD ha rilevato che nessuno dei casi di cui all’art. 9, par. 2, del GDPR (che stabilisce i motivi legali disponibili per il trattamento dei dati sensibili, inclusi i dati biometrici) poteva essere utilizzato da Mercadona per il trattamento dei dati biometrici attraverso il suo sistema di riconoscimento facciale. Pertanto, l’AEPD ha dichiarato illegittimo il trattamento. Inoltre, l’AEPD ha rilevato che il trattamento non rispettava i principi di necessità, proporzionalità e minimizzazione dei dati, trasparenza e privacy by design, in piena violazione dell’art. 5 del GDPR.

Infine, l’AEPD ha riscontrato che la valutazione d’impatto sulla protezione dei dati (DPIA) condotta da Mercadona era comunque insufficiente e incompleta in quanto non teneva conto di tutti i rischi posti ai dipendenti di Mercadona e ai minori in seguito al trattamento di dati biometrici.

L’AEPD ha inizialmente deciso di imporre una multa di 3.150.000 euro, successivamente ridotta a 2.520.000 euro in seguito al pagamento volontario e la rinuncia a qualsiasi azione o ricorso in via amministrativa.