La Agencia Española de Protección de Datos sanciona a la organizadora del Mobile World Congress en el año 2021 por falta de diligencia en la elaboración de una evaluación de impacto de protección de datos para el tratamiento de datos biométricos del reconocimiento facial utilizado para el acceso al congreso.
La participación en el Congreso podía realizarse de forma virtual y presencial. Los asistentes virtuales debían acceder al sitio web de la empresa organizadora y registrarse con anterioridad a la celebración del evento. Con motivo de la pandemia, en el año 2021, se decidió modificar el sistema, verificando a la entrada la identidad del asistente previamente recogida a la llegada de cada persona a la sede. La finalidad de la implantación de este nuevo sistema era minimizar los riesgos de contagio del COVID-19 por contacto.
El participante presencial se registraba en la web de la entidad organizadora subiendo su documento identificativo (DNI o pasaporte) y una fotografía facial. La identificación se produce partiendo de esta foto que realiza el software, -y que se almacena en una base de datos de patrones biométricos-, comparándola con la foto del documento de identidad. Con un tratamiento técnico específico, se transforman los puntos del rostro, mediante un algoritmo los puntos del rostro, convirtiéndolos en plantilla o token biométrico.
No puede olvidarse que los datos faciales que recoge el software facilitado por la empresa organizadora son producidos por el propio cuerpo y lo caracterizan definitivamente, no son modificables por voluntad del individuo, ni la persona puede ser liberada de ellos y tienen carácter perpetuo, amén de que se utilizan en diferentes sistemas. Por tanto, el robo de estos datos también tiene carácter perpetuo y afecta a todos los sistemas en los que el usuario tenga almacenados estos datos.
Pues bien, el tratamiento del reconocimiento facial presenta altos riesgos para los derechos y libertades fundamentales, por ello, antes de implantar ese sistema es preciso auditar su funcionamiento en el marco del tratamiento concreto en que se va a emplear. Habida cuenta de las consecuencias potencialmente perjudiciales que podrían tener lugar en caso de producirse algún fallo en la seguridad, deben cumplirse los requisitos más rigurosos en el proceso de evaluación de impacto de cualquier medida que interfiera con la dignidad de una persona, en términos de necesidad y proporcionalidad, y de las posibilidades de los afectados para ejercer su derecho a la protección de datos. Esta evaluación debe contener un análisis exhaustivo de las opciones alternativas menos intrusivas disponibles, documentando la viabilidad de otras opciones alternativas que no requieran el uso de datos especiales.
La organizadora no aporta esta evaluación antes del inicio del procedimiento y una vez aportado, se estima que no reúne los requisitos que ha de contener, lo que se califica como infracción del artículo 35 RGPD (LA LEY 6637/2016), que se sanciona con una multa de 200.000 euros.