LA AEPD MULTA A LOS ORGANIZADORES DEL MWC MOBILE WORLD CONGRESS

La Agencia Española de Protección de Datos ha multado a la entidad organizadora del MWC, con 200.000 euros, por violar las normas de privacidad durante la edición 2021 del Mobile World Congress.

La empresa sancionada (GSMA) puede apelar ante la Audiencia Nacional.

La AEPD señala que GSMA incumplió el artículo 35 del Reglamento General de Protección de Datos, que se ocupa de los requisitos necesarios para llevar a cabo una valoración de impacto de protección de datos.

La violación de la Ley Orgánica de Protección de Datos está relacionada con la recopilación de datos biométricos de los asistentes al evento efectuada por la GSMA obtenidos a partir de un sistema de reconocimiento facial que fue instalado y que ofrecía a los asistentes la opción de utilizar una verificación de identidad automatizada para entrar el recinto, en vez de mostrar su documentación al personal de acceso de manera manual.

La edición 2021 del MWC de Barcelona tuvo una asistencia muy reducida debido a la pandemia y comparándolo con ediciones anteriores. Ese año hubo menos de 20.000 personas en el MWC. En total, fueron 17.462 y solamente 7.585 utilizaron el sistema de reconocimiento facial, siendo la mayoría que optó por una inspección manual de su documentación.

El RGPD indica que es necesario realizar una DPIA (Evaluación de Impacto en la Protección de Datos) de manera proactiva en situaciones en las que el procesado de los datos de las personas suponga un riesgo elevado para los derechos y libertades de los individuos.

El reconocimiento facial (entre otros métodos) implica el proceso de datos biométricos, que se emplean para identificar individuos. Es por este motivo que el reconocimiento facial está catalogado por el RGPD como una categoría especial. Esto quiere decir que el uso de biometría para la identificación es considerado siempre como de alto riesgo, requiriendo una valoración proactiva.

La RGPD pone el foco en los controladores de datos que llevan a cabo una valoración proactiva rigurosa del riesgo del procesado. Por lo tanto, la AEPD Agencia Española de Protección de Datos ha establecido que la empresa violó el artículo 35 al no poder demostrar que había llevado a cabo la tarea señalada por la normativa RGPD.

Al parecer, la GSMA alegó motivos de seguridad para recopilar los documentos de identidad y pasaportes de los asistentes, señalando que la policía española les había pedido que utilizasen procedimientos estrictos para identificar a los asistentes.

Además, parece que la organización pidió a los asistentes que consintieran en el proceso biométrico de sus datos faciales como parte del proceso de carga de su identificación. La AEPD señala que la información del consentimiento que pedía a las personas eran con el fin de utilizar “los datos biométricos conseguidos de las fotografías proporcionadas para propósitos de validación de la identificación en el contexto de registro online y para el acceso a las instalaciones del MWC Barcelona”.

Esto último es importante, ya que la RGPD deja claro que es necesario que haya un consentimiento para que haya base legal, que debe ser informado, específico y libre. Por lo tanto, no se puede forzar dicho consentimiento.