Regulador de proteção de dados multa organizador da MWC por uso de reconhecimento facial

O organizador da Mobile World Congress (MWC), conferência anual de conectividade que acontece em Barcelona, foi multado pelo órgão de proteção de dados espanhol por coletar dados biométricos dos participantes da feira, especialmente para um sistema de reconhecimento facial, durante a edição de 2021.

A violação custará € 200 mil (cerca de US$ 222 mil ou R$ 1,2 bilhão em convergência direta) à GSMA, que teve o recurso rejeitado pela Agencia Española de Protección de Datos (AEPD).

De acordo com a decisão da autoridade, o organizador infringiu o Artigo 35 da General Data Protection Regulation (GDPR) — que trata dos requisitos para a realização de uma avaliação de impacto sobre a proteção de dados (DPIA).

Imagem: Ian Hughes, CC BY 2.0 <https://creativecommons.org/licenses/by/2.0>, via Wikimedia Commons

“O que a resolução conclui é que uma [DPIA] que não contempla seus elementos essenciais não é eficaz nem cumpre qualquer objetivo”, acrescenta a AEPD, confirmando a decisão de que a DPIA da GSMA não cumpriu os requisitos do GDPR [tradução automática do texto original em espanhol].

Embora muitas feiras internacionais recorreram a cancelamentos ou edições virtuais naquele ano, com preocupações relacionadas à pandemia de Covid-19 em alta, a MWC foi uma das poucas a insistir em evento híbrido.

Na edição de 2o21, pouco menos de 20 mil pessoas registradas compareceram à feira, de acordo com as informações da GSMA à AEPD — e dessas, apenas 7.585 realmente usaram o sistema de reconhecimento facial BREEZZ para acessar o local pessoalmente. Aparentemente, a maioria optou pela alternativa de verificação manual, apresentando seus respectivos documentos de identificação.

No entanto, a descrição da DPIA da organizadora na resolução do regulador espanhol sugere que, além de não ter tido uma avaliação adequada, a GSMA se baseou em uma justificativa de segurança para coletar dados do passaporte ou documentos de identidade dos participantes, argumentando de que se tratava de uma instrução da polícia espanhola para implementar “processos rigorosos” para a triagem de identidade dos participantes.

A AEPD adiciona que a organização parece ter exigido dos participantes o consentimento para o processamento biométrico de dados faciais como parte do processo de upload de identificação, ao observar a seguinte informação sobre consentimento descrita pela BREEZZ: o uso de “dados biométricos obtidos das fotografias fornecidas para fins de validação de identificação no contexto do registro on-line e do MWC Barcelona para fins de acesso ao local”.

Sob a GDPR, há um padrão claro para que o consentimento seja uma base legal válida, obrigatoriamente informado, específico (não pode ser agrupado) e dado livremente. Portanto, não se pode forçar o consentimento — em caso de processamento de dados confidenciais, como a biometria facial, o nível é ainda mais alto de consentimento explícito para que seja processado legalmente.

A falta dessa livre escolha para os participantes da feira foi o que gerou a reclamação de uma das palestrantes convidadas da MWC 2021, Anastasia Dedyukhina. A queixa apresentada por ela à AEPD alguns anos antes resultaria na atual sanção contra a GSMA.

“Não consegui encontrar uma justificativa razoável para isso”, explicou ela em uma publicação no LinkedIn no fim da semana passada — quando tornou pública a reclamação —, afirmando que a exigência da GSMA aos participantes do MWC sobre upload de documentos de identificação era desproporcional. “O site deles sugeriu que eu também poderia levar minha identidade/passaporte para verificação pessoal, o que não me incomodou. No entanto, os organizadores insistiram que, a menos que eu fizesse o upload dos detalhes do meu passaporte, eu NÃO PODERIA participar do evento ao vivo e precisaria participar virtualmente, o que acabei fazendo.”

Imagem: Rawpixel.com/Freepik

O coautor da reclamação de Dedyukhina, o tecnólogo Adam Leon Smith, acrescentou em uma postagem na mesma rede social que “O reconhecimento facial em espaços públicos é altamente sensível e, se você realmente precisar usá-lo, use um excelente advogado e uma equipe de tecnologia.”

“Em primeiro lugar, descobrimos que a política de privacidade dizia que estávamos fornecendo identificação para reconhecimento facial para fins de identidade com base no consentimento. No entanto, ficou claro que não era realmente possível optar por não participar. Em segundo lugar, a empresa que gerenciava a tecnologia ficava em Belarus, fora da UE. Essas foram as informações que conseguimos encontrar publicamente no momento em que fizemos as reclamações. Vejo que a ScanViz, a empresa que fornece a tecnologia, agora está listando um endereço de Hong Kong em seu site.”, disse Smith ao TechCrunch.

“A AEPD conseguiu solicitar documentos internos de avaliação de privacidade da MWC e pôde constatar que estavam desatualizados e eram insuficientes. A decisão da AEPD se concentra principalmente nisso”, adicionou o tecnólogo. “Não houve nenhuma outra solução específica, embora eu ache que a MWC precisará realizar essa avaliação de risco e impacto com muito cuidado.”

Embora a decisão do regulador espanhol não faça considerações sobre a base legal da GSMA sobre o processamento biométrico ser válida, Smith sugere que isso se trata apenas de uma consequência sequencial do fato de a DPIA ter sido considerada inadequada, já que uma avaliação mais completa não seria necessária.

“Eu não ficaria surpreso se eles abandonassem o uso da tecnologia de reconhecimento facial”, sugeriu ele sobre a GSMA. “Esse tipo de aplicação da tecnologia se enquadraria na categoria de alto risco nas últimas versões da IA Act [Lei da IA], o que significa que eles precisariam de alguma forma de avaliação de conformidade por uma parte independente.”

Em nota, um porta-voz da organização da MWC afirmou que “a resolução da AEPD não está relacionada a uma violação de dados. Não houve violação de dados ou acesso não autorizado aos sistemas da GSMA e em nenhum momento os dados pessoais dos participantes do MWC Barcelona 2021 foram comprometidos ou usados indevidamente.”

“A resolução está relacionada à abordagem da GSMA para realizar uma avaliação do impacto da proteção de dados para o uso da tecnologia de reconhecimento facial no MWC 2021. O reconhecimento facial foi uma opção para os participantes do MWC 2021 como parte de um programa abrangente de saúde e segurança.”

MWC continua a oferecer verificação por reconhecimento facial

Este ano quanto no ano passado, a MWC continuou a oferecer uma opção de verificação automatizada nos mesmos moldes de 2021: baseada em biometria facial e com exigência de upload de documentos de identificação para registro de participação presencial.

Imagem: Ministry of the Presidency. Government of Spain (Attribution or Attribution), via Wikimedia Commons

Ainda não se sabe, porém, se haverá alguma mudança após a organização sofrer a sanção sob a GDPR.