La GSMA, los organizadores del Mobile World Congress (MWC) anual de Barcelona, han sido multados con 200 millones de euros por no realizar una evaluación de impacto de protección de datos (DPIA)
Por TechCrunch (se abre en una pestaña nueva)el decisión (se abre en una pestaña nueva) (PDF) entregado en español por la Agencia Española de Protección de Datos (AEPD) encontró que la GSMA se quedó corta al no dar cuenta de biométrico datos recopilados de los asistentes, en parte como resultado de BREEZZ, un sistema de verificación de identidad automatizado opcional que permite la entrada al evento.
Según la decisión, se determinó que la evaluación de la GSMA era «meramente nominal», sin tener en cuenta los «aspectos sustantivos» de sus métodos de procesamiento de datos, ni los riesgos o la necesidad del sistema BREEZZ.
El RGPD y la DPIA del MWC
El Reglamento General de Protección de Datos (GDPR) de la UE exige que se lleve a cabo una DPIA robusta cuando la recopilación de datos pueda suponer un “alto riesgo” para el derecho a la privacidad de los afectados. La tecnología biométrica de reconocimiento facial entra en esta categoría en este caso porque dichos datos fueron utilizado para identificar a los asistentes al MWC.
La AEPD también dictaminó que la GSMA recopiló pasaportes y documentos de identidad de la UE de los asistentes y les exigió que dieran su consentimiento para la recopilación de datos biométricos como parte del proceso de carga.
El RGPD establece claramente que el consentimiento debe ser específico y otorgado libremente, pero, como descubrió la Dra. Anastasia Dedyukhina, defensora del bienestar digital, claramente esta no era una opción.
“No pude encontrar una justificación razonable para ello”, escribió en LinkedIn. (se abre en una pestaña nueva) post, «su sitio web sugirió que también podía traer mi identificación/pasaporte para la verificación en persona, lo cual no me importó».
«Sin embargo, los organizadores insistieron en que, a menos que subiera los datos de mi pasaporte, NO PODRÍA asistir al evento en vivo y tendría que unirme virtualmente, lo cual terminé haciendo».
La GSMA continuó con estas prácticas para los eventos de 2022 y 2023, pero, a la luz del fallo de la AEPD, es probable que las cosas tengan que cambiar, casi seguro para mejor.