¡°El Mobile World Congress quer¨ªa una foto de mi pasaporte. Me negu¨¦ y les han multado con 200.000 euros¡±
Anastasia Dedyukhina denunci¨® a la feria barcelonesa por exigir reconocimiento facial sin explicaciones. Protecci¨®n de Datos le da la raz¨®n dos a?os despu¨¦s
Anastasia Dedyukhina iba a participar en una conferencia en el Mobile World Congress de Barcelona de 2021: ¡°Me dedico a dar charlas, me interesa mucho ir a una feria tan grande¡±. La presencia f¨ªsica es b¨¢sica en su trabajo, donde los contactos le llevan a nuevas oportunidades. ¡°A¨²n era plena pandemia, pero ten¨ªa las vacunas, todo arreglado. Entonces me pidieron una prueba biom¨¦trica¡±, recuerda. Es decir, que subiera al sistema su pasaporte con la foto. La petici¨®n era para entrar a la feria con reconocimiento facial y evitar m¨¢s contactos f¨ªsicos. Ah¨ª fue cuando empez¨® un largu¨ªsimo intercambio de emails con representantes de GSMA, organizadores del Mobile, consultas con abogados y una queja a la Agencia Espa?ola de Protecci¨®n de Datos (AEPD) que ha acabado con una multa de 200.000 euros a los organizadores del Mobile.
Dedyukhina es ciudadana rusa y brit¨¢nica de 41 a?os, y experta en bienestar digital que ha dado charlas TED. Cuando recibi¨® aquella petici¨®n, se fue a leer la letra peque?a de los t¨¦rminos del Mobile: ¡°All¨ª dec¨ªan que pod¨ªa optar por no subir mi documento¡±, explica, y presentarlo en persona una vez en Barcelona. Pero ese a?o no se permit¨ªa: el motivo eran los contagios de covid, le contestaron, y lo requieren los Mossos, la polic¨ªa auton¨®mica catalana.
¡°No me sent¨ªa c¨®moda, no es porque sea la gran defensora de la privacidad, solo porque conozco el Reglamento de Protecci¨®n de Datos y s¨¦ que puedo preguntar¡±, razona a EL PA?S desde su residencia en Londres. ¡°Merec¨ªa al menos alguna explicaci¨®n b¨¢sica¡±, a?ade. Esa explicaci¨®n clara no lleg¨® nunca y Dedyukhina acab¨® participando de manera virtual en el congreso. ¡°Nunca me explicaron c¨®mo iban a almacenar mi informaci¨®n. Pregunt¨¦ una y otra vez, me mandaban enlaces que no funcionaban, borraron un p¨¢rrafo de su web, editaban, nada cuadraba. Parec¨ªa negligencia, como si hubiera desacuerdo entre lo que dec¨ªan y lo que estaba escrito en su web¡±, afirma Dedyukhina, que lleg¨® a intercambiar correos con la encargada de datos de GSMA.
Uno de los problemas a?adidos de Dedyukhina es que hab¨ªa presuntamente servidores que iban a almacenar esos datos fuera de la UE, seg¨²n dice ahora la resoluci¨®n de la AEPD: ¡°La entidad SCANVIS con la que tiene un encargo de tratamiento del sistema de reconocimiento facial para el acceso a la sede, se encuentra en un pa¨ªs fuera de la UE, y GSMA ha suscrito cl¨¢usulas contractuales est¨¢ndar con SCANVIS¡±, desarrolla el organismo regulador. No estaba claro, por tanto, qu¨¦ ocurr¨ªa con esa informaci¨®n una vez subida. La AEPD ha sancionado a GSMA por infringir el art¨ªculo 35, que prev¨¦ que si un tratamiento de datos ¡°entra?a un alto riesgo para los derechos y libertades de las personas¡±, el responsable deber¨¢ hacer ¡°una evaluaci¨®n del impacto¡±. Ese informe, seg¨²n la AEPD, carec¨ªa ¡°de evaluaci¨®n de la necesidad y la proporcionalidad de las operaciones¡±.
Tras una petici¨®n de este peri¨®dico, GSMA ha hecho p¨²blico un comunicado donde repite que la multa se debe al ¡°enfoque de la GSMA para realizar una evaluaci¨®n de impacto de la protecci¨®n de datos para el uso de la tecnolog¨ªa de reconocimiento facial en el MWC 2021¡å. Adem¨¢s, asegura que toman ¡°muy en serio la protecci¨®n de datos¡± y que ¡°emplean tecnolog¨ªa innovadora para brindar una experiencia segura¡± a los asistentes. Sobre la sanci¨®n, dicen que seguir¨¢n cooperando con la AEPD y que est¨¢n ¡°revisando la resoluci¨®n y considerando opciones para responder¡±. El comunicado tambi¨¦n afirma que nunca ha habido una ¡°filtraci¨®n de datos¡±.
La gente tiene que denunciar
Despu¨¦s de participar online en el Mobile, Dedyukhina habl¨® con un amigo abogado y present¨® su denuncia ante la AEPD. ¡°Hay varios problemas con el enfoque del MWC¡±, asegura Adam Leon Smith, experto en protecci¨®n de datos que colabor¨® en la denuncia. ¡°Sin embargo, el problema principal fue que no hab¨ªan completado una evaluaci¨®n de riesgos suficiente, no ten¨ªan claros asuntos importantes como el consentimiento, y afirmaron que los Mossos insistieron en la autenticaci¨®n biom¨¦trica. Es improbable que la polic¨ªa pida una tecnolog¨ªa espec¨ªfica¡±, asegura el abogado.
El Reglamento de Protecci¨®n de Datos requiere que la gente presente quejas. Dedyukhina admite que su decisi¨®n es algo m¨¢s sencillo porque est¨¢ dentro del sector y conoce mejor sus derechos: ¡°Para m¨ª fue f¨¢cil preguntar y no tuve que pagar nada, si no es probable que me hubiera desanimado¡±, dice. ¡°El Mobile quer¨ªa una foto de mi pasaporte. Me negu¨¦ y les han multado con 200.000 euros¡±. ?Qu¨¦ ha conseguido en realidad? ¡°Bueno, no me toca nada de esos 200.000 euros y tendr¨¦ problemas potenciales hasta el fin de mis d¨ªas con el Mobile, pero es una satisfacci¨®n moral, lo hice por mi integridad profesional, porque cuento a la gente que la privacidad es importante¡±, reconoce.
Este detalle es clave: ¡°El Reglamento de Protecci¨®n de Datos funciona con denuncias. ?La gente debe presentar quejas!¡±, critica Smith, el abogado. Sin el esfuerzo de ciudadanos como Dedyukhina estos casos no existir¨ªan. En la AEPD solo han encontrado otras tres resoluciones por reconocimiento facial recientes en Espa?a. Una de 2,5 millones de euros contra Mercadona y otras dos menores. En todos los casos, hay un ciudadano o empleado que elev¨® la situaci¨®n al regulador.
¡°Mi recomendaci¨®n es, al menos, hacer preguntas¡±, resume Dedyukhina. ¡°Eso pone presi¨®n en la compa?¨ªa para que responda. Tenemos una especie de realidad retorcida donde yo debo demostrarlo, cuando en realidad son ellos quienes deben hacerlo. Pedir explicaciones por nuestros datos biom¨¦tricos deber¨ªa ser la nueva normalidad. Eso es lo que estamos dejando que ocurra al no preguntar¡±, razona.
Un caso como este tiene suficientes motivos para que haya sanci¨®n, seg¨²n Smith, pero es necesaria una denuncia: ¡°En este caso, esperaba una investigaci¨®n, porque las pr¨¢cticas parec¨ªan extra?as y hab¨ªa una empresa fuera de la UE que dec¨ªa en su web que procesaba datos confidenciales. La lecci¨®n principal que he aprendido es que si algo parece sospechoso en una pol¨ªtica de privacidad, probablemente lo sea¡±, a?ade.
Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
