De GSMA, de organisator van het Mobile World Congress (MWC), krijgt een boete van 200.000 euro voor het gebruik van gezichtsherkenningstechnologie bij de editie van 2021. De Spaanse toezichthouder stelt dat de Data Protection Impact Assessment (DPIA) de Europese privacyregels heeft overtreden, omdat de gegevensbeschermingseffectbeoordeling niet goed was uitgevoerd. De GSMA kan nog bezwaar aantekenen tegen de boete.
Dat schrijft de Amerikaanse techsite TechCrunch, die de hand heeft weten te leggen op het boetebesluit (pdf) van de Agencia Española de Protección de Datos (AEPD) (1).
Het Mobile World Congress of MWC is een evenement waar smartphoneproducen hun nieuwste mobiele telefoons en technologische hoogstandjes aan de wereld tonen. De eerste editie vond plaats in Cannes in 1987 en werd toen door slechts een handjevol enthousiastelingen bezocht. Vandaag de dag is het MWC uitgegroeid tot het grootste smartphone-evenement ter wereld. Vanwege het toenemend aantal bezoekers, verhuisde het MWC in 2006 naar Barcelona.
In 2019 bezochten 109.000 smartphoneliefhebbers, journalisten en managers het MWC. Vanwege de coronapandemie en de vele afzeggingen als gevolg daarvan, kon het evenement in 2020 niet doorgaan. Het jaar daarop werd het maximum aantal bezoekers vastgelegd op 50.000. Slechts 17.462 bezoekers bezochten daadwerkelijk het evenement.
Om bezoekers te identificeren, werd er dat jaar door de organisatie gezichtsherkenningstechnologie ingezet. De GSMA gebruikte hiervoor de software van Breez. “BREEZ gebruikt gezichtsherkenning om uw ID te controleren, uw registratie sneller te verwerken en onmiddellijk verificatie te krijgen”, zo schrijft de organisatie op haar website.
De Algemene Verordening Gegevensbescherming (AVG) eist dat een bedrijf of organisatie een DPIA of gegevensbeschermingseffectbeoordeling uitvoert zodra er (bijzondere) persoonsgegevens op grote schaal worden verwerkt. Artikel 35 bepaalt dat dit in het bijzonder belangrijk is als er ‘nieuwe technologieën’ worden gebruikt bij de verwerking van persoonsgegevens. Gezichtsherkenning valt onder deze noemer.
De Spaanse toezichthouder ontving een klacht van een van de deelnemers aan het evenement. Zij was niet te spreken over de inzet van gezichtsherkenningstechnologie, zo vertelt ze op LinkedIn. Ze schrijft dat medewerkers van het MWC haar verplichtte om haar paspoortgegevens te uploaden.
Zoals de regels voorschrijven heeft de GSMA een DPIA laten uitvoeren. De Spaanse toezichthouder verwijt de organisatie echter een “gebrek aan zorgvuldigheid”. Volgens de AEPD miste de beoordeling “essentiële elementen”, zoals eventuele beveiligingsrisico’s, en beantwoordt deze “aan geen enkel doel”. Inhoudelijke aspecten van de biometrische gegevensverwerking werden niet onderzocht. De organisatie keek evenmin naar de noodzaak, subsidiariteit en proportionaliteit van de maatregel.
Het handelen is in strijd met artikel 35 lid 1 van de AVG. Vanwege de ernst van de overtreding heeft de Spaanse toezichthouder besloten om een boete van 200.000 euro op te leggen. Gezichtsherkenning was weliswaar vrijwillig voor bezoekers, maar dat doet volgens de AEPD niet ter zake. Van de 17.462 bezoekers gebruikten 7.585 bezoekers de gezichtsherkenningstechnologie van BREEZ. Het merendeel koos ervoor om zich op de ouderwetse manier te legitimeren, of om een live streaming bij te wonen.
De GSMA kan in hoger beroep gaan tegen de boete. Of de organisator van het MWC dat ook doet, is onbekend. De GSMA heeft nog niet gereageerd op de AVG-boete van de Spaanse toezichthouder.
Update: de GSMA laat in een reactie weten dat ze op de hoogte is van de uitspraak van de Spaanse toezichthouder (2). De organisator van het MWC zegt dat de uitspraak geen betrekking heeft op een datalek of ongeoorloofde toegang tot persoonsgegevens van deelnemers aan het congres in 2021. De AEPD had enkel kritiek op de aanpak van de DPIA voor het gebruik van gezichtsherkenningstechnologie.
“De GSMA neemt gegevensbescherming uiterst serieus en heeft een robuust nalevingsprogramma om haar verplichtingen omtrent gegevensbescherming na te komen. De GSMA herziet en actualiseert voortdurend haar aanpak van gegevensbescherming en maakt gebruik van innovatieve technologie om een veilige deelnemerservaring te bieden”, aldus de organisator in een persverklaring.
Tot slot zegt de GSMA dat ze contact heeft met de Spaanse toezichthouder, het boetebesluit bestudeert en alle opties overweegt om hierop te reageren.
https://www.aepd.es/es/documento/reposicion-ps-00553-2021.pdf
GSMA statement on AEPD resolution
