Todo comenzó cuando SquidKid47, redditor y estudiante de la Universidad de Waterloo en Canadá, subió a Reddit una imagen de una máquina expendedora de M&M del centro junto al siguiente texto: “Oye, entonces ¿por qué las estúpidas máquinas de m&m tienen reconocimiento facial?“. En la imagen se podía apreciar un pequeño bug sobre la pantalla táctil donde se leía: ““Invenda.Vending. FacialRecognition.App.exe — Application error”. Horas después aquel mensaje tenía cientos de respuestas que iban a llevar a la misma conclusión: la máquina utilizaba tecnología de reconocimiento facial.

Como decíamos, la publicación en Reddit generó todo tipo de especulaciones por parte de los usuarios. El joven que subió la imagen era el estudiante de la Universidad de Waterloo que Ars Technica identificó como River Stanley, escritor de la publicación estudiantil local MathNews. Después de investigar, Stanley encontró que las máquinas expendedoras inteligentes las proporciona la compañía Adaria Vending Services y las fabrica Invenda Group. Posteriormente, la publicación canadiense CTV News informó que Mars, el propietario de M&M, era dueño de las máquinas expendedoras.

Con esta información, Stanley se acercó al grupo Invenda, quienes respondieron con el siguiente comunicado:

No se puede identificar a una persona individual utilizando la tecnología de las máquinas. Lo que es más importante entender es que las máquinas no toman ni almacenan fotografías o imágenes, y una persona individual no puede ser identificada usando la tecnología de las máquinas. La tecnología actúa como un sensor de movimiento que detecta rostros, por lo que la máquina sabe cuándo activar la interfaz de compras, sin tomar ni almacenar imágenes de los clientes.

Además, el comunicado también decía que las máquinas son “totalmente compatibles con GDPR“, en referencia al Reglamento General de Protección de Datos de la Unión Europea. El reglamento es parte de la legislación de privacidad de la UE que determina cómo las corporaciones pueden recopilar datos de los ciudadanos. 

Más del comunicado:

En la Universidad de Waterloo, Adaria gestiona los servicios de cumplimiento: nos encargamos del reabastecimiento y la logística de las máquinas expendedoras de snacks. Adaria no recopila ningún dato sobre sus usuarios y no tiene ningún acceso para identificar a los usuarios de estas máquinas expendedoras de M&M. No se dedica al almacenamiento, comunicación o transmisión de ninguna imagen o información de identificación personal. El software realiza el procesamiento local de mapas de imágenes digitales derivados del sensor óptico USB en tiempo real, sin almacenar dichos datos en medios de memoria permanente ni transmitirlos a través de Internet a la nube.

Sin embargo y tras el comunicado, MathNEWS informa que la página de preguntas frecuentes de Invenda Group dice: “Sólo se recopilan los datos finales, es decir, la presencia de una persona, la edad estimada y el sexo estimado, sin ninguna asociación con un individuo“.

Sea como fuere, la Universidad ha reaccionado bastante rápido. En un comunicado de esta semana la escuela ha dicho que ya tenía la intención de retirar las máquinas del campus. Según Rebecca Elming, representante de la Universidad de Waterloo:

La universidad ha pedido que estas máquinas sean retiradas del campus lo antes posible. Mientras tanto, hemos pedido que se desactive el software.

Como cuenta el redditor en Reddit, nada de esto se hubiera sabido si no fuera por el error de la aplicación y la toma de la foto subida con el consiguiente revuelo que llevó la noticia a los medios, “ni siquiera existe alguna advertencia”, explica Stanley, quien añade que va a presentar una queja ante el Comisionado de Información y Privacidad de Ontario si la universidad no retira las máquinas de M&M cuanto antes.