Protección de Datos multa al Mobile World Congress con 200.000 euros por el uso de reconocimiento facial

La Agencia Española de Protección de Datos (AEPD) ha interpuesto una multa de 200.000 euros a GSMA, organizadora del Mobile World Congress (MWC), por obligar a los asistentes a la feria tecnológica de Barcelona de 2021 a registrarse mediante un sistema de reconocimiento facial.

En una resolución dictada el 24 de febrero pero que no ha trascendido hasta ahora, el regulador español dictaminó que esa práctica suponía "una infracción" del artículo 35 del Reglamento General de Protección de Datos (RGPD), la pionera ley europea de privacidad. Ese artículo establece que si la gestión de datos "entraña un alto riesgo para los derechos y libertades de las personas", el responsable deberá hacer "una evaluación del impacto" de ese sistema.

La AEPD señala la "falta de diligencia" de GSMA en la elaboración de un documento que "carece de evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad". "Ha aportado una evaluación de impacto que fue meramente nominal, por cuanto no ha examinado sus aspectos sustantivos, ni valorado los riesgos ni la proporcionalidad y necesidad de la implantación del sistema, su afectación a los derechos y libertades de los interesados y sus garantías”, reza la resolución.

Desde hace unos años, el Mobile ofrece a los asistentes dos vías para registrarse: subir una imagen en el sistema del congreso con el pasaporte y su foto o hacerlo de forma presencial en el recinto de L'Hospitalet de Llobregat. En 2021, sin embargo, todo fue distinto. La gran feria mundial de la telefonía móvil venía de un año de hiato después que la irrupción del coronavirus forzase su cancelación en 2020 y en la siguiente edición, celebrada de forma atípica a finales de junio, hubo cambios.

GSMA obligó a los usuarios a registrarse mediante el uso de sus datos biométricos, negándoles la posibilidad de eludir ese proceso. La organizadora ha señalado que esa decisión se tomó para garantizar la salud de los asistentes y evitar el contacto físico en un momento en el que el temor a los rebrotes de covid eran mayúsculos. También señaló que los Mossos d'Esquadra habían pedido esa medida.

Denuncia de una afectada

Fue entonces cuando la conferenciante Anastasia Dedyukhina, invitada a participar en el MWC, reclamó a la organización su derecho a un registro presencial que no expusiese su rostro a un escaneado. Esta experta en bienestar digital ha explicado a El País que preguntó "una y otra vez" a GSMA tanto sobre su derecho a no someterse al reconocimiento facial como sobre qué ocurriría con la información de su rostro en caso de proporcionarla. Finalmente optó por presentar una queja ante la AEPD, la mejor vía para que el organismo pueda actuar. Dos años más tarde, el supervisor nacional de protección de datos le ha dado la razón.

Tras ver como el regulador desestimaba el recurso que había interpuesto, GSMA publicó este martes un comunicado en el que se limita a asegurar que "toma nota" de la resolución, que no hubo "violación de datos ni acceso no autorizado a sus sistemas" y que se toma "muy en serio" la protección de datos.

La resolución del regulador español señala que el reconocimiento facial afectó a la totalidad de los 20.000 personas que asistieron a la más atípica de las ediciones del MWC. Aun así, solo 7.585 personas usaron ese sistema de escaneado biométrico para acceder al recinto de Fira de Barcelona.