L'APD espagnole (AEPD) a infligé une amende de 2 520 000 euros à Mercadona SA. Le contrôleur avait installé des systèmes de reconnaissance faciale dans les magasins Mercadona dans le but de suivre les personnes ayant fait l'objet de condamnations pénales ou d'ordonnances restrictives. Le système a capturé tous ceux qui sont entrés dans les magasins, y compris les mineurs et les employés de MERCADONA. Au cours de son enquête, la DPA a découvert de nombreuses violations de la vie privée. Par exemple, le système a violé le principe de minimisation des données, le principe de nécessité et de proportionnalité puisque le contrôleur pouvait traiter plusieurs données biométriques - au-delà de l'objectif du système. En outre, la DPA a conclu que l'évaluation de l'impact sur la vie privée de Mercadona était déficiente car elle ne prenait pas en compte les risques spécifiques et uniques pour les employés de Mercadona posés par le traitement des données via les systèmes de reconnaissance faciale. En outre, MERCADONA a violé son devoir d'information en ne fournissant pas correctement aux personnes concernées des informations sur le traitement de leurs données personnelles. L'amende initiale de 3 150 000 EUR consistait en 500 000 EUR en raison d'une violation de l'art. 5(1)(c), 2 000 000 EUR en raison d'une violation de l'art. 6 et art. 9 du RGPD, 100 000 EUR en raison d'une violation de l'art. 12 et art. 13 du RGPD, 500 000 EUR en raison d'une violation de l'art. 25 (1) du RGPD, et 50 000 EUR en raison d'une violation de l'art. 35 du RGPD. L'amende initiale a été réduite à 2 250 000 EUR en raison d'un paiement volontaire.