La Agencia Española de Protección de Datos – AEPD sanciona a los organizadores del Mobile World Congress Barcelona con 200.000€ en relación con su sistema de detección facial utilizado para acreditarse en el congreso. La sanción deriva de un expediente sancionador abierto a raíz de la denuncia de Anastasia Dedukhyna, participante en el congreso, la cual reclamó información sobre el uso y finalidades que iba a tener el reconocimiento facial. Ante la ausencia de respuestas concretas y coherentes por parte de la organización, Anastasia decidió acudir a la Agencia.
En realidad, la sanción no proviene por utilizar un sistema de reconocimiento facial para gestionar la acreditación en el congreso, entrada a las instalaciones, etc.. El reconocimiento facial está permitido, siempre que exista una base que lo legitime (consentimiento, imperativo legal….) pero también ha de ser sometido a un análisis sobre su idoneidad y proporcionalidad (siempre con la premisa de que, si existe un método alternativo menos intrusivo que cumpla de igual forma con el propósito para el cual se ha establecido, se ha de tener en cuenta la alternativa) y además, cuando se prevea que el tratamiento pudiera entrañar un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento deberá llevar a cabo una EVALUACIÓN DEL IMPACTO que dichas operaciones puedan ocasionar.
En este caso, y por el tipo de evento masivo que es el Mobile World Congress, se hacía necesario llevar a cabo dicha Evaluación de Impacto, recogida en el art 35 del RGPD y base de la fundamentación que ha llevado a sancionar a la organizadora.
¿Por qué?: El motivo no es el reconocimiento facial en sí, es decir, no se sanciona el tratamiento de datos biométricos, lo que se sanciona es que no se ha llevado a cabo una Evaluación de Impacto que pudiera ser tomada como «fiable». En la resolución del recurso de reposición, ( https://www.aepd.es/es/documento/reposicion-ps-00553-2021.pdf ) hace constar de forma expresa, lo siguiente:
El documento carece de evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; el uso del reconocimiento facial para el acceso a los eventos, de su evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, del artículo 35 del RGPD y de las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
La noticia es relevante por muchos motivos:
- Nos hace ver que la Agencia Española de Protección de Datos – AEPD tendrá recursos limitados, pero se toma muy en serio las denuncias ciudadanas que llegan a su registro de entrada.
- La normativa sobre protección de datos personales (el RGPD o la LOPDGDD) no han de verse como un freno a la evolución y desarrollo de soluciones técnicas innovadoras, sino, al contrario, debe integrarse desde su fase de diseño para que éstas sean más coherentes, robustas y fiables.
- Es un mensaje para todos los responsables de tratamientos de datos y para todos aquellos que nos dedicamos a la privacidad: NO a los procedimientos, textos legales, evaluaciones…y en definitiva, a organizar la política de privacidad como una OBLIGACIÓN FORMAL o un trámite a solventar. NO a los documentos vacíos de contenido, a las Evaluaciones de Impacto donde sólo importa que exista un documento que indique que el riesgo es TOLERABLE, pero que no aporte nada más.
Ya hemos visto que no se trata solamente de un CUMPLIMIENTO FORMAL o DOCUMENTAL se trata de integrar realmente la variable «privacidad» dentro de nuestro propio modelo de negocio y en aquello que tenga que ver con nuestra «MISIÓN, VISIÓN, VALORES»
Sólo de esta forma se desarrollarán políticas de privacidad en las empresas cargadas de propósito, pero también de acción para darles sentido.
Abogado . Orts Consultores
