Multa de 200.000 euros al Mobile World Congress de Barcelona por instalar accesos con reconocimiento facial sin evaluación previa

La Agencia Española de Protección de Datos ha propuesto una multa de 200.000 euros a la GSMA, la patronal global del sector de las telecomunicaciones y organizadora del Mobile World Congress, una de las mayores ferias de tecnología del planeta que desde hace años se celebra en Barcelona.

La GSMA despliega desde hace varias ediciones del Mobile World Congress (MWC) de Barcelona un sistema de reconocimiento facial para agilizar el acceso de los visitantes al recinto, la Fira de Barcelona. Sin embargo, la AEPD dictamina que en la edición de 2021 la feria vulneró varios fundamentos del Reglamento General de Protección de Datos (RGPD).

El organismo de control español considera que el sistema de reconocimiento facial que emplea la feria careció entonces de la preceptiva evaluación de impacto que requiere el RGPD en su artículo 35. La multa, de "solo" 200.000 euros —la sanción pudo ser mucho mayor— responde a que la organización del MWC no mostró dolo, aunque sí "una grave falta de diligencia".

De hecho, se trata de una resolución firme después de que la propia GSMA presentara un recurso en el que explicaba, entre otras cuestiones, que los datos biométricos —rostros de los visitantes— solo se trataron y almacenaron durante 4 meses, lo que consideraban un atenuante. La AEPD ha sido inflexible en ese término.

El caso se origina por la denuncia de una ciudadana de origen inglés que acudió al MWC de 2021 en calidad de ponente. El acceso al recinto con el sistema de reconocimiento facial era una opción opcional —como lo ha vuelto a ser en la feria de 2023—, pero la ponente encontró problemas al tratar de acreditarse en el evento.

El escenario más optimista deja a EEUU y a la Unión Europea sin acuerdo para transferir datos hasta verano: qué puedes hacer para no vulnerar la ley

A la hora de registrarse en el Mobile World Congress, la GSMA exige a sus visitantes que se identifiquen. En circunstancias normales, la identificación se enseña en la puerta. En 2021, en plena pandemia de coronavirus, la GSMA propuso a sus visitantes que subiesen a una plataforma web una copia de su documento de identidad o pasaporte.

Esta ponente intentó no hacerlo, al considerar que la organización del MWC no tenía la suficiente base legal como para exigir ese documento personal. La GSMA respondió que era un requerimiento de los Mossos d'Esquadra, una policía española "que no hace excepciones". Por su parte, la única alternativa que recibió esta ciudadana inglesa fue acudir como ponente de forma telemática.

"No quiero ser una conferenciante virtual. No estoy segura de haber entendido cómo registrarme sin subir mi pasaporte. No me importa que se me verifique en el mostrador, pero no quiero que mis datos sean almacenados en ningún lado. ¿Cómo procedo?", preguntó entonces por correo electrónico. 

Un día después, y a escasas horas de que el plazo para registrarse en el Mobile terminase, insistía: "Todavía no he recibido su respuesta sobre cómo proceder con el registro sin descargar mis documentos".

Con respecto a la necesidad de subir el pasaporte o documento de identidad a la plataforma web, la AEPD considera que no está "claro" cómo el Mobile trasladaría a los Mossos esos datos. "Al intentar promover el no contacto por la pandemia, en vez de exigir exhibir el documento, la GSMA se quedaba con un ejemplar del mismo". 

Por esa misma razón, el organismo español entiende que el Mobile "debería reevaluar si dispone de una legitimación para esta actividad".

Donde se pronuncia con mayor contundencia es por el uso de datos biométricos y de un sistema de reconocimiento facial para agilizar accesos al recinto. Este sistema también ha estado activo en la edición de 2023, pero fue en la de 2021 en la que la AEPD entiende que se celebró aquel tratamiento de datos sin que se realizara un informe previo exigido legalmente.