Loading...

A segurança do Mobile World Congress, questionada: multazo à organizadora por recopilar dados

Uma cidadã britânica interpôs uma reclamação contra a GSMA ao considerar que não existia "obrigação legal válida" para levar a cabo um tratamento de reconhecimento facial e a AEPD impõe uma sanção de 200.000 euros

Juan Manuel Del Olmo

reconocimiento facial

Faz não tanto, em 2021 , o mundo era outro. Imperaban restrições até então desconhecidas, e as mascarillas, os fechamentos, os teste e todo o campo léxico do coronavirus ainda determinava o que se fazia e o que não. Também no Mobile World Congress (MWC) de Barcelona daquele ano, quando não teve inscrição de acesso na porta. Essa circunstância é o ponto de arranque de uma inquietante resolução da Agência Espanhola de Protecção de Dados (AEPD), entidade que propõe uma multa de 200.000 euros para a GSMA, a organizadora do evento, por vulnerar a protecção de dados de uma cidadã britânica.

A resolução tem ecos de filme de ciência ficção: esta mulher tinha sido convidada como palestrante, e para registar-se devia carregar no site seu passaporte, "incluindo fotografias que se transferem a um encarregado situado num país terceiro, para o reconhecimento facial com fins de segurança ", tal e como recolhe a AEPD. O espinoso vem agora: o provedor dos serviços de reconhecimento facial tem sua sede em Bielorrusia , país que não faz parte da UE. Assim, a esta britânica lhe inquietava onde iria parar sua cara.

Criar um "mapa da cara"

Tal e como defendeu a GSMA quando a AEPD perguntou, a finalidade de subir o passaporte era aliviar as bichas e facilitar o accesou ao Mobile. "A tecnologia processa uma série de pontos de dados para criar um mapa de sua cara em tempo real. Isto se converte num padrão de dados seguro utilizando um algoritmo complexo para criar seu token biométrico (ficha biométrica, identificador). Para fins de segurança no acesso ao recinto, automaticamente faremos coincidir a imagem tomada no ponto de acesso contra sua ficha token biométrica (isto é, seu mapa facial)", alegavam.

Recelosa, a cidadã britânica procurou alternativas e pediu à organização que lhe dissesse como devia se registar sem subir sua foto. Mas GSMA disse que nanay: o passaporte e os dados de identificação requeriam-nos os Mossos d'Esquadra. Isso sim, poderia eleger ser palestrante virtual e não presencial, se poupando carregar sua imagem. A cidadã enfrentava-se ao dilema de fazê-lo ou não, apesar de que achava que não existia "obrigação legal válida para esse tipo de tratamento de reconhecimento facial", e lhe mosqueaba que Bielorrusia estivesse no alho, ainda que fosse tangencialmente.

Uma pessoa com sua tablet / UNSPLASH

"Não há transferência de dados pessoais a Rússia"

Ao respeito, a GSMA veio-lhe a dizer a esta senhora que estivesse tranquila, que não tinha de que se preocupar: "Os servidores que processam dados relacionados com VÃO se localizam em Europa. Não há transferência de dados pessoais a Rússia . Nosso provedor de serviços eleito tem uma presença global, apesar de estar com sede em Bielorrusia. Tenha a segurança de que a GSMA só contrata às empresas para que actuem em seu nome se ditas empresas são capazes de proporcionar representações e garantias contra a transferência não autorizada a terceiros".

No entanto, Juan Manuel Corchado, catedrático do área de Ciências da Computação e Inteligência Artificial e professor da Universidade de Salamanca (USAL), explica a Consumidor Global que "alojar dados de cidadãos europeus fora de Europa sim resulta espinoso". Com tudo, este experiente defende que ao Mobile se lhe pressupõe uma organização "muito séria e muito profissional", e o debate arraiga, em última instância, na maneira de interpretar a privacidade que tem a cada qual.

Precisar o uso que dar-se-á aos dados

"Vivemos num mundo complicado. Há várias maneiras de ver as coisas: eu sou partidário de que, se não tens nada que ocultar, não é mau que tenha câmaras de segurança nas cidades e sistemas de vigilância por todos lados. Mas há pessoas para as que a privacidade está acima de tudo", expõe Corchado. A especial sensibilidade dos dados é um debate candente, indica, no âmbito médico, mas hoje em dia, com o enorme desenvolvimento dos sistemas de inteligência artificial, "pode resultar problemático se não te dizem claramente onde acabarão esses dados".

Um homem atende um telefonema / PEXELS

Por isso, o professor da USAL considera que as empresas deveriam precisar nitidamente que farão com o que recopilem. Também concede Corchado que um prazo de quatro meses, que é o tempo que a GSMA possuiu os dados biométricos da cidadã britânica, pode ser demasiado. "Em ocasiões, os dados guardam-se durante um verdadeiro tempo por segurança: por exemplo, demora-se umas oito semanas em detectar que alguém está a atacar um sistema. Mas, se é sozinho para acreditar com a foto… quiçá não precisar-se-iam guardar tanto tempo", reflexiona.

Avaliação de impacto

A cidadã afectada pediu cópias das cláusulas contratuais que a GSMA tinha com sua companhia aliada em Bielorrusia e a acreditação de que tinha realizado "uma avaliação de impacto das transferências para determinar se as leis de Bielorrusia são adequadas". Aqui está a chave: nestes casos, a lei estabelece que é necessária uma avaliação de impacto.

Uma mulher faz um escaneo facial com seu móvel / FREEPIK

E a AEPD considera que a organizadora do MWC passou. "Não contribui dito documento dantes do início do procedimento, e uma vez contribuído se estima que não cumpre os mínimos requisitos que tem de conter, pelo que se lhe imputa a infracção do artigo 35 do Regulamento Geral de Protecção de Dados (RGPD)". Este artigo assinala que, quando seja provável que um tipo de tratamento, em particular se utiliza novas tecnologias, "entranhe um alto risco para os direitos e liberdades das pessoas físicas, o responsável pelo tratamento realizará, dantes do tratamento, uma avaliação do impacto das operações de tratamento na protecção de dados pessoais".

Legislações fortes

Este documento tem por objeto, simplesmente, prevenir. Saber que pode passar, como a destruição dos dados ou uma fuga. "Se a cidadã britânica considera que o Mobile tinha vulnerado seus direitos, faz bem em reclamar, mas também poderia não ter ido. Isto é algo que a cada vez ter-se-á que controlar mais, os Governos deverão impor legislações fortes para evitar que os dados acabem onde não devam", expõe Corchado.

Um dos stands do Mobile World Congress / CG

A seu julgamento, esta resolução supõe um toque de atenção. "Não é uma situação para estar preocupados, mas sim uma situação que convém vigiar", asevera. Outra incógnita é como pensava a GSMA enviar seus dados aos Mossos. "Também não está claro como translada os dados identificativos que recolhe da cada assistente a reclamada (GSMA) aos Mossos d'Esquadra, se entrega o documento identificativo que os assistentes sobem ao site da reclamada e a foto, ou só dão os dados que precisa, o que obrigá-la-ia aos extrair um a um por pessoas dedicadas a isso. Ao tentar promover o não contacto pela pandemia, em vez de exibir o documento, a reclamada fica com uma instância do mesmo", diz a AEPD.

Amazon, no alho

ScanViS, a empresa que fazia o reconhecimento facial para a GSMA, tem sua sede em Hong Kong. "No entanto, os dados do MWC FR estão alojados por Amazon Site Services (AWS) em Alemanha. Como ScanViS se encontra num país não adequado fora da UE, a GSMA tem subscrito cláusulas contratuais regular com ScanViS", diz a resolução.

Isto é, que a empresa de Jeff Bezos, uma das multinacionais mais poderosas do mundo, para a que, em verão de 2021, a Comissão Nacional de Protecção de Dados de Luxemburgo pediu uma multa de 746 milhões por violar o RGPD, foi a responsável por guardar centos, quiçá milhares, de fotografias de rostos.

Multa simbólica

A multa de 200.000 euros, crê Corchado, "não faz nem cócegas" à organizadora do Mobile. "É uma coisa simbólica que tem que nos pôr a todos em alerta", afirma. De facto, a infracção imputada (qualificada no artigo 83.4 do Regulamento Geral de Protecção de Dados europeu) pode-se sancionar com multas que podem ascender até os 10 milhões de euros. De modo que, afinal de contas, a AEPD tem sido benévola.

"Companhias deste tipo devem estar pendente da susceptibilidade de todas as pessoas", indica Corchado. E, ainda que dá por facto que no Mobile há "muito controle", asevera que, a partir de agora, com os dados biométricos terá que ter "muito cuidado".