PremiumProtección de Datos sanciona con 200.000 euros al Mobile World Congress 2021
La empresa organizadora del evento no realizó un informe previo que evaluase el impacto que tendría el uso de datos biométricos en los derechos y libertades de los asistentes
(Foto: Público)
Protección de Datos sanciona con 200.000 euros al Mobile World Congress 2021
La empresa organizadora del evento no realizó un informe previo que evaluase el impacto que tendría el uso de datos biométricos en los derechos y libertades de los asistentes
(Foto: Público)
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 200.000 euros a la empresa GSMA LTD, la patronal global del sector de las telecomunicaciones y organizadora del Mobile World Congress (MWC), porque en la edición de 2021 se infringió el artículo 35 del Reglamento General de Protección de Datos de los asistentes.
La condenada introdujo ese año un sistema de reconocimiento facial para agilizar el acceso de los visitantes al recinto, sin embargo, no realizó un informe previo exigido legalmente para evaluar el impacto que tendría el uso de datos biométricos (rostros de los visitantes) en los derechos y libertades fundamentales de quienes acudieran al evento.
La idea de la patronal era usar tecnología de reconocimiento facial para que cuando los asistentes quisieran acceder físicamente al MWC, habiendo facilitado con anterioridad un documento de identidad a la empresa a través de internet, dispusieran de una verificación de la identidad instantánea. Pues, tomando la imagen del documento de identidad facilitado y usando tokens biométricos se reconocería facialmente a los asistentes. Pero al intentar promover el no contacto por la pandemia, en vez de exhibir el documento, la reclamada se quedaba con un ejemplar del mismo.
La denuncia fue promovida por una de las asistentes al evento, una ciudadana británica acudía a la feria en calidad de ponente. Para poder acceder al recinto de manera presencial, la mujer podía optar, de manera opcional, a acceder con el sistema de reconocimiento facial subiendo a la plataforma web una copia de su documento de identidad o pasaporte, sin embargo, encontró dificultades al tratar de acreditarse para el evento sin tener que subir la copia de su DNI o pasaporte.
La ciudadana se comunicó a través de correos electrónicos con los organizadores solicitando información sobre cómo registrarse para acudir de manera presencial al evento, pero sin la necesidad de subir su pasaporte para evitar que sus datos fuesen almacenados en la base de GSMA, incluso se ofreció a identificarse en el mostrador en el mismo momento que quisiera acceder al recinto. Pero la única respuesta que recibió por parte de la patronal, si no quería ser una ponente telemática, fue que estaba obligada a subir dicho documento si quería ir presencialmente porque era “un requerimiento de los Mossos d’Esquadra, una policía española que no hace excepciones”, con el fin de garantizar la seguridad en el evento.
La ciudadana británica interpuso una reclamación ante la AEPD al considerar que no existe obligación legal válida para ese tipo de tratamiento de reconocimiento facial y la directora de la Agencia ha confirmado que GSMA cometió una infracción del artículo 35 del RGPD, de conformidad con el artículo 83.4 a) del RGPD, y a efectos de prescripción en el artículo 73.t) de la LOPDGDD, con una multa de 200.000 euros. Además, la AEPD ha razonado que no “está claro” como el Mobile trasladaría a los Mossos esos datos.
(Foto: Zona Movilidad)
Ausencia de una evaluación de impacto real
La utilización de las nuevas tecnologías en lo relacionado con el uso de datos biométricos y, en particular, el reconocimiento facial entraña un alto riesgo para los derechos y libertades de los interesados, por lo que es fundamental y que el recurso a esas tecnologías se haga respetando debidamente los principios de legalidad, necesidad, proporcionalidad y minimización de los datos establecidos en el Reglamento General de Protección de Datos (RGPD).
Si bien el uso de estas tecnologías puede percibirse como particularmente eficaz, los responsables tienen la obligación de evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su objetivo legítimo del tratamiento.
En este caso, la condenada instaló ese sistema de reconocimiento facial, pero no realizó un informe de evaluación de impacto, lo que supone la infracción del artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La evaluación de impacto aportada por la reclamada fue “meramente nominal”, por cuanto no ha examinado sus aspectos sustantivos ni valorado los riesgos, la proporcionalidad y la necesidad de la implantación del sistema, ni tampoco cómo afecta a los derechos y libertades de los interesados y sus garantías.
“Se trataron datos de un número muy elevado de asistentes, 20.000 personas, sin contemplar el nivel de riesgos alto en relación con la afectación a sus derechos y libertades que puede existir para los tratamientos basados en reconocimiento facial para acceso al Congreso”, recoge la resolución.
Para establecer una cifra económica sancionatoria, la Agencia ha tenido en cuenta que aunque la infracción no fue continuada ya que solo duró desde el 22 de marzo de 2021 y cesó cuatro semanas después de finalizar el evento (29 de julio de 2021), el sistema se usó cada día y durante todo el periodo que duró el Congreso y eso supone que el número de asistentes diarios era presumiblemente de miles de personas. Por lo que, aunque la infracción se diera en un breve espacio de tiempo, su uso fue intenso y masivo. Por ello y como consecuencia, se cuantifica la sanción en 200.000 euros al tratarse de una infracción grave.
(Foto: Expansión)
