0 opiniones
La seguridad del Mobile World Congress, cuestionada: multazo a la organizadora por recopilar datos
Una ciudadana británica interpuso una reclamación contra la GSMA al considerar que no existía “obligación legal válida” para llevar a cabo un tratamiento de reconocimiento facial y la AEPD impone una sanción de 200.000 euros
Hace no tanto, en 2021, el mundo era otro. Imperaban restricciones hasta entonces desconocidas, y las mascarillas, los cierres, los test y todo el campo léxico del coronavirus aún determinaba lo que se hacía y lo que no. También en el Mobile World Congress (MWC) de Barcelona de aquel año, cuando no hubo inscripción de acceso en la puerta. Esa circunstancia es el punto de arranque de una inquietante resolución de la Agencia Española de Protección de Datos (AEPD), entidad que propone una multa de 200.000 euros para la GSMA, la organizadora del evento, por vulnerar la protección de datos de una ciudadana británica.
La resolución tiene ecos de película de ciencia ficción: esta mujer había sido invitada como ponente, y para registrarse debía cargar en la web su pasaporte, “incluyendo fotografías que se transfieren a un encargado situado en un país tercero, para el reconocimiento facial con fines de seguridad”, tal y como recoge la AEPD. Lo espinoso viene ahora: el proveedor de los servicios de reconocimiento facial tiene su sede en Bielorrusia, país que no forma parte de la UE. Así, a esta británica le inquietaba dónde iría a parar su cara.
Crear un “mapa de la cara”
Tal y como defendió la GSMA cuando la AEPD preguntó, la finalidad de subir el pasaporte era aligerar las colas y facilitar el acceso al Mobile. “La tecnología procesa una serie de puntos de datos para crear un mapa de su cara en tiempo real. Esto se convierte en un patrón de datos seguro utilizando un algoritmo complejo para crear su token biométrico (ficha biométrica, identificador). Para fines de seguridad en el acceso al recinto, automáticamente haremos coincidir la imagen tomada en el punto de acceso contra su ficha token biométrica (es decir, su mapa facial)”, alegaban.
Recelosa, la ciudadana británica buscó alternativas y pidió a la organización que le dijera cómo debía registrarse sin subir su foto. Pero GSMA dijo que nanay: el pasaporte y los datos de identificación los requerían los Mossos d’Esquadra. Eso sí, podría elegir ser ponente virtual y no presencial, ahorrándose cargar su imagen. La ciudadana se enfrentaba al dilema de hacerlo o no, a pesar de que creía que no existía “obligación legal válida para ese tipo de tratamiento de reconocimiento facial”, y le mosqueaba que Bielorrusia estuviera en el ajo, aunque fuera tangencialmente.
“No hay transferencia de datos personales a Rusia”
Al respecto, la GSMA le vino a decir a esta señora que estuviera tranquila, que no había de qué preocuparse: “Los servidores que procesan datos relacionados con ID se ubican en Europa. No hay transferencia de datos personales a Rusia. Nuestro proveedor de servicios elegido tiene una presencia global, a pesar de estar con sede en Bielorrusia. Tenga la seguridad de que la GSMA solo contrata a las empresas para que actúen en su nombre si dichas empresas son capaces de proporcionar representaciones y garantías contra la transferencia no autorizada a terceros”.
Sin embargo, Juan Manuel Corchado, catedrático del área de Ciencias de la Computación e Inteligencia Artificial y profesor de la Universidad de Salamanca (USAL), explica a Consumidor Global que “almacenar datos de ciudadanos europeos fuera de Europa sí resulta espinoso”. Con todo, este experto defiende que al Mobile se le presupone una organización “muy seria y muy profesional”, y el debate radica, en última instancia, en la manera de interpretar la privacidad que tiene cada cual.
Precisar el uso que se dará a los datos
“Vivimos en un mundo complicado. Hay varias maneras de ver las cosas: yo soy partidario de que, si no tienes nada que ocultar, no es malo que haya cámaras de seguridad en las ciudades y sistemas de vigilancia por todos lados. Pero hay personas para las que la privacidad está por encima de todo”, expone Corchado. La especial sensibilidad de los datos es un debate candente, indica, en el ámbito médico, pero hoy en día, con el enorme desarrollo de los sistemas de inteligencia artificial, “puede resultar problemático si no te dicen claramente dónde acabarán esos datos”.
Por ello, el profesor de la USAL considera que las empresas deberían precisar nítidamente qué harán con lo que recopilen. También concede Corchado que un plazo de cuatro meses, que es el tiempo que la GSMA poseyó los datos biométricos de la ciudadana británica, puede ser demasiado. “En ocasiones, los datos se guardan durante un cierto tiempo por seguridad: por ejemplo, se tarda unas ocho semanas en detectar que alguien está atacando un sistema. Pero, si es solo para acreditarte con la foto… quizá no se necesitarían guardar tanto tiempo”, reflexiona.
Evaluación de impacto
La ciudadana afectada pidió copias de las cláusulas contractuales que la GSMA tenía con su compañía aliada en Bielorrusia y la acreditación de que había realizado “una evaluación de impacto de las transferencias para determinar si las leyes de Bielorrusia son adecuadas”. Aquí está la clave: en estos casos, la ley establece que es necesaria una evaluación de impacto.
Y la AEPD considera que la organizadora del MWC pasó. “No aporta dicho documento antes del inicio del procedimiento, y una vez aportado se estima que no cumple los mínimos requisitos que ha de contener, por lo que se le imputa la infracción del artículo 35 del Reglamento General de Protección de Datos (RGPD)”. Este artículo señala que, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, “entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”.
Legislaciones fuertes
Este documento tiene por objeto, simplemente, prevenir. Saber qué puede pasar, como la destrucción de los datos o una fuga. “Si la ciudadana británica considera que el Mobile había vulnerado sus derechos, hace bien en reclamar, pero también podría no haber acudido. Esto es algo que cada vez se tendrá que controlar más, los Gobiernos deberán imponer legislaciones fuertes para evitar que los datos acaben donde no deban”, expone Corchado.
A su juicio, esta resolución supone un toque de atención. “No es una situación para estar preocupados, pero sí una situación que conviene vigilar”, asevera. Otra incógnita es cómo pensaba la GSMA enviar sus datos a los Mossos. “Tampoco está claro cómo traslada los datos identificativos que recoge de cada asistente la reclamada (GSMA) a los Mossos d’Esquadra, si entrega el documento identificativo que los asistentes suben a la web de la reclamada y la foto, o sólo dan los datos que precisa, lo que la obligaría a extraerlos uno a uno por personas dedicadas a ello. Al intentar promover el no contacto por la pandemia, en vez de exhibir el documento, la reclamada se queda con un ejemplar del mismo”, dice la AEPD.
Amazon, en el ajo
ScanViS, la empresa que hacía el reconocimiento facial para la GSMA, tiene su sede en Hong Kong. “Sin embargo, los datos del MWC FR están alojados por Amazon Web Services (AWS) en Alemania. Como ScanViS se encuentra en un país no adecuado fuera de la UE, la GSMA ha suscrito cláusulas contractuales estándar con ScanViS”, dice la resolución.
Es decir, que la empresa de Jeff Bezos, una de las multinacionales más poderosas del mundo, para la que, en verano de 2021, la Comisión Nacional de Protección de Datos de Luxemburgo pidió una multa de 746 millones por violar el RGPD, fue la responsable de guardar cientos, quizá miles, de fotografías de rostros.
Multa simbólica
La multa de 200.000 euros, cree Corchado, “no hace ni cosquillas” a la organizadora del Mobile. “Es una cosa simbólica que tiene que ponernos a todos en alerta”, afirma. De hecho, la infracción imputada (tipificada en el artículo 83.4 del Reglamento General de Protección de Datos europeo) se puede sancionar con multas que pueden ascender hasta los 10 millones de euros. Así que, al fin y al cabo, la AEPD ha sido benévola.
“Compañías de este tipo deben estar pendiente de la susceptibilidad de todas las personas”, indica Corchado. Y, aunque da por hecho que en el Mobile hay “mucho control”, asevera que, a partir de ahora, con los datos biométricos habrá que tener “mucho cuidado”.
Desbloquear para comentar