La Agencia Española de Protección de Datos o AEPD acaba de sancionar al MWC o Mobile World Congress con una multa de 200.000 euros por no cumplir la normativa de protección de datos o RGDP. ¿Por qué multan al Mobile World Congress? Por varios motivos: el primero es por incumplimiento de la normativa RGDP, en concreto, en no informar sobre el uso de sus datos personales.
El segundo se debe a que los organizadores no realizaron un informe de evaluación de impacto, que es uno de los requerimientos del Reglamento General de Protección de Datos (RGPD).
¿Cuáles son los motivos por los que multan al Mobile World Congress?
Además, se da el caso de que los responsables de una de las ferias tecnológicas más populares que lleva años celebrándose en Barcelona, llevaban desde 2021 sin avisar a los asistentes sobre el tratamiento de sus datos personales.
El caso se ha magnificado ya que una ponente del evento denunció que la GSMA, que forma parte de la organización, la obligaba a ceder el uso de su pasaporte digital para participar en conferencias y mesas redondas.
La denunciante, es Anastasia Dedyukhina, una experta en datos digitales y conocedora de sus derechos y que iba a dar una conferencia en la feria en la edición del 2021.
Por este motivo, se negó a hacerlo ya que, por lo visto, el proceso se hacía mediante un sistema de reconocimiento facial que permitía que sus datos quedasen almacenados y enviados a un servidor fuera de Europa.
La multa se originó por la falta de una evaluación de impacto previa
La tecnología de reconocimiento facial implica el procesamiento de datos biométricos, lo que puede representar un alto riesgo para los derechos y libertades individuales, por lo que se requiere una evaluación de impacto previa que la feria no realizó.
Además, se da el caso de que todo el proceso de gestión de datos se realizaba a través de una empresa privada, que ni informaba del uso de la información personal subida por los asistentes, ni tampoco de su tratamiento posterior.
Según afirma Dedyukhina, el Mobile World Congress quería una foto de su cara. Ella se negó y consiguió que la GSMA haya sido «multada con 200.000 euros”, tal y como reveló en un entrevista a El País.
Esto sucedió en 2021, un año después de pandemia y al enterarse de que tenía que ceder su imagen, presentó una queja ante la Agencia Española de Protección de Datos. El organismo responsable de protección de datos le dio la razón el pasado mes de febrero.
Guía de uso para tratamiento de datos personales
Con motivo de este tipo de sucesos, la AEPD ha publicado una guía orientativa para validar el cifrado como medida de seguridad de los datos personales.
El RGPD menciona explícitamente el cifrado como una medida para la mitigación de riesgos de seguridad en la protección de datos personales para los siguientes casos:
- Asegurar un nivel de seguridad apropiado para el riesgo a los derechos y
libertades de los titulares de datos personales, - Garantía que forma parte de las condiciones para la conformidad con el RGPD.
- Como salvaguarda que disminuye la probabilidad de un impacto sobre los
interesados en el marco de una brecha de datos personales.
Estas orientaciones se desgranan los elementos que es recomendable evaluar en el diseño y validación de un sistema de cifrado empleado en un tratamiento de datos personales, algo que no realizó la GSMA.
A los ciudadanos se nos olvida que tenemos derecho a que respeten nuestros derechos, sobre todo, en materia de privacidad digital. Por este motivo, es importante obligar a las empresas a cumplir con la normativa, para que no puedan anteponer sus intereses económicos y comerciales a nuestros derechos.
¡NEWS es un portal de noticias a iniciativa de UNIDEMA, Escuela de Formación para estar informado sin perder el tiempo. Si buscas información de calidad sobre economía, geopolítica, negocios y empresas, NEWS Unidema es exactamente lo que necesitas!