Conecta con nosotros

Noticias

La Agencia de Protección de Datos multa a los organizadores del MWC por incumplir la RGPD

Publicado el

MWC Barcelona

La Agencia Española de Protección de Datos (AEPD) ha multado a la GSMA, la entidad organizadora del MWC, con 200.000 euros, por violar las normas de privacidad durante la edición 2021 del Mobile World Congress celebrada en Barcelona. En el comunicado en el que anuncian su decisión, que la GSMA puede apelar ante la Audiencia Nacional, la agencia señala que la organización incumplió el artículo 35 de la RGPD, que se ocupa de los requisitos necesarios para llevar a cabo una valoración de impacto de protección de datos (DPIA).

En concreto, la violación de la normativa está relacionada con la recopilación de datos biométricos de los asistentes al evento efectuada por la GSMA, incluidos los obtenidos a partir de un sistema de reconocimiento facial que instaló y que ofrecía a los asistentes la opción de utilizar una verificación de identidad automatizada para entrar el recinto, en vez de mostrar su documentación a la plantilla del evento de manera manual.

La edición 2021 del MWC de Barcelona, celebrada todavía en medio de la pandemia, hizo que muy poca gente acudiese en persona al evento, si se compara con ediciones celebradas con normalidad. Por eso ese año, en el que la edición incluso se trasladó a principios del verano, hubo menos de 20.000 personas en persona en el MWC. En total, fueron 17.462. Y de ellas, solo 7.585 utilizaron el sistema de reconocimiento facial, BREEZZ, para acceder a él. La mayoría, por tanto, optó por una inspección manual de su documentación.

En cuanto a la identificación biométrica, según la normativa vigente, es necesario realizar una DPIA de manera proactiva en situaciones en las que el procesado de los datos de las personas suponga un riesgo elevado para los derechos y libertades de los individuos.

El reconocimiento facial implica el proceso de datos biométricos, que se emplean para identificar individuos. Por eso, el reconocimiento facial está catalogado con una categoría especial bajo la RGPD. Esto quiere decir que el uso de biometría para la identificación es considerado siempre como de alto riesgo, lo que requiere una valoración proactiva.

Esta valoración debe tener en cuenta la necesidad y la proporcionalidad del procesado propuesto, además de examinar los riesgos y detallar las medidas previstas para abordar los riesgos identificados. La RGPD pone el foco en los controladores de datos que llevan a cabo una valoración proactiva rigurosa del riesgo del procesado. Por lo tanto, la AEPD ha establecido que la GSMA violó el artículo 35 porque no ha demostrado que había llevado a cabo la tarea señalada por la normativa.

De hecho, la AEPD ha calificado la DPIA de la GSMA como «meramente nominal«, y señala que en esta no se han examinado «aspectos importantes» del proceso de datos. Tampoco valoró los riesgos ni la proporcionalidad y necesidad del sistema implementado. Tampoco recoge las medidas previstas para abordar los riesgos, entre las que están las salvaguardias, las medidas de seguridad y mecanismos para asegurar la protección de datos personales.

En la resolución también se señala los datos de los pasaportes y los documentos de identidad que requerían los Mossos d’Esquadra, que al parecer servían para conectar los datos con la foto que sacaba el software, que inicia el proceso de reconocimiento facial. Al parecer, la GSMA alegó motivos de seguridad para recopilar los documentos de identidad y pasaportes de los asistentes, señalando que la policía española les había pedido que utilizasen procedimientos estrictos para identificar a los asistentes.

Además, parece que la organización pidió a los asistentes que consintieran en el proceso biométrico de sus datos faciales como parte del proceso de carga de su identificación. La AEPD señala que la información del consentimiento que ofrece BREEZZ, que pedía a las personas su consentimiento para ello, con el fin de utilizar «los datos biométricos conseguidos de las fotografías proporcionadas para propósitos de validación de la identificación en el contexto de registro online y para el acceso a las instalaciones del MWC Barcelona«.

Esto último es importante, ya que la RGPD deja claro que es necesario que haya un consentimiento para que haya base legal, que debe ser informado, específico y dado libremente. Por lo tanto, no se puede forzar dicho consentimiento.

De hecho, la falta de elección libre de los asistentes al evento al proporcionar sus datos biométricos sensibles fue lo que llevó a una queja contra el proceso de datos de la GSMA, presentada ante la AEPD por Anastasia Dedyukhina, una conferenciante experta en bienestar digital que había sido invitada a participar en un panel en el MWC 2021 que hizo pública su queja hace unos días. Debido a su queja, la AEPD ha decidido sancionar a la GSMA. Dedyukhina no encontraba una justificación para la actuación de la GSMA en cuanto a la recopilación y procesado de datos, que tal como estaba planteada impedía asistir al evento en persona si no se facilitaban por vía telemática los datos del pasaporte o del documento de identidad.

Desde la GSMA han manifestado que «la reciente resolución de la AEPD no está relacionada con una brecha de datos. No hubo ninguna brecha de datos ni acceso no autorizado a los sistemas de la GSMA, y los datos personales de los asistentes al MWC Barcelona 2021 nunca estuvieron comprometidos ni se hizo un mal uso de ellos. La resolución está relacionada con el enfoque de la GSMA de llevar a cabo una valoración de impacto de protección de datos para el uso de la tecnología de reconocimiento facial en el MWC de 2021. El reconocimiento facial era una opción para los asistentes al MWC 2021 como parte de un programa de salud y seguridad completo.

La GSMA se toma la protección de datos extremadamente en serio, y tiene un programa de cumplimiento sólido en vigor para cumplir sus obligaciones de protección de datos. La GSMA revisa y actualiza continuamente su enfoque en cuanto a protección de datos, empleando tecnología innovadora para ofrece una experiencia segura a los asistentes. La GSMA seguirá cooperando con la AEPD y está revisando la resolución y valorando las opciones para responder sobre ella«.

Mientras tanto, la organización sigue ofreciendo una opción de comprobación de identidad automatizada y basada en la biometría facial para acceder al MWC, tanto este año como el pasado, y seguirá pidiendo que se envíen digitalmente los documentos de identidad para el registro para la asistencia en persona. Por tanto, habrá que ver qué cambios hace para 2024 a causa de esta sanción.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído