Modern technology gives us many things.

Ο διοργανωτής του MWC επιβλήθηκε πρόστιμο GDPR για τους ελέγχους βιομετρικών ταυτοτήτων δέουσας επιμέλειας

Συνέδρια και άλλες προσωπικές εκδηλώσεις που σπεύδουν να επιβάλουν την αναγνώριση προσώπου στους συμμετέχοντες στην Ευρώπη χωρίς να κάνουν την απαραίτητη δέουσα επιμέλεια σχετικά με τους κινδύνους προστασίας δεδομένων, προσέξτε: Οι διοργανωτές της παγκόσμιας βιομηχανίας συνδεσιμότητας υποχωρούν Mobile World Congress (MWC), που λαμβάνει χώρα ετησίως στη Βαρκελώνη, έχει επιβληθεί πρόστιμο 200.000 ευρώ (~224 χιλιάδες δολάρια) από την ισπανική αρχή προστασίας δεδομένων για παραβίαση των κανόνων απορρήτου κατά τη διάρκεια της έκδοσης του 2021.

Σε 8σέλιδο απόφαση (PDF στα ισπανικά) απορρίπτοντας έφεση του διοργανωτή της MWC, της GSMA, κατά της διαπίστωσης παράβασης, Agencia Española de Protección de Datos (AEPD) καταλήγει στο συμπέρασμα ότι παραβιάζει το άρθρο 35 του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) — το οποίο αφορά τις απαιτήσεις για τη διενέργεια εκτίμησης επιπτώσεων στην προστασία δεδομένων (DPIA).

Το πόρισμα παραβίασης σχετίζεται με τη συλλογή βιομετρικών δεδομένων από το GSMA για τους παρευρισκόμενους στην εκπομπή, συμπεριλαμβανομένου ενός συστήματος αναγνώρισης προσώπου που εφάρμοσε (ονομαζόμενο BREEZZ), το οποίο πρόσφερε στους παρευρισκόμενους τη δυνατότητα να χρησιμοποιήσουν αυτοματοποιημένη επαλήθευση ταυτότητας για να εισέλθουν στο χώρο αυτοπροσώπως αντί να δείξουν με μη αυτόματο τρόπο την ταυτότητά τους τεκμηρίωση στο προσωπικό.

Αν ρίξετε το μυαλό σας πίσω στο 2021, θα θυμηθείτε ότι η εκδήλωση της βιομηχανίας κινητής τηλεφωνίας έλαβε χώρα σε μια εποχή που οι ανησυχίες που σχετίζονται με την πανδημία του COVID-19 σχετικά με τη συμμετοχή σε προσωπικές εκδηλώσεις εξακολουθούσαν να είναι μεγάλες. Όχι ότι αυτό εμπόδισε τον διοργανωτή του MWC να προχωρήσει σε μια φυσική διάσκεψη το καλοκαίρι εκείνου του έτους — μήνες αργότερα από το συνηθισμένο χρονοδιάγραμμα της έκθεσης και σε μια αδυσώπητα αδυνατισμένη μορφή με πολύ λιγότερους εκθέτες και συμμετέχοντες από ό,τι στο παρελθόν.

Στην πραγματικότητα, λιγότεροι από 20.000 εγγεγραμμένοι παρακολούθησαν το MWC 2021 αυτοπροσώπως (17.462 για την ακρίβεια), σύμφωνα με τις αποκαλύψεις του GSMA που έγιναν στην AEPD — και από αυτά τα μόλις 7.585 χρησιμοποίησαν στην πραγματικότητα το σύστημα αναγνώρισης προσώπου BREEZZ για πρόσβαση στον χώρο. Η πλειοψηφία προφανώς επέλεξε την εναλλακτική λύση του χειροκίνητου ελέγχου των εγγράφων ταυτότητάς τους. (Αν και, με το MWC 2021 να πραγματοποιείται (ακόμα) εν μέσω της πανδημίας, το GSMA προσέφερε επίσης εικονική συμμετοχή, με συνεδρίες συνεδρίων να μεταδίδονται σε τηλεθεατές από απόσταση — και δεν απαιτούνταν έλεγχοι ταυτότητας για αυτόν τον τύπο συμμετοχής.)

Επιστρέφοντας στον GDPR, ο κανονισμός απαιτεί να διενεργείται προληπτικά μια DPIA σε περιπτώσεις όπου η επεξεργασία δεδομένων ανθρώπων ενέχει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων. φάΗ τεχνολογία αναγνώρισης, εν τω μεταξύ, συνεπάγεται την επεξεργασία βιομετρικών δεδομένων — τα οποία, όπου χρησιμοποιούνται για την αναγνώριση ατόμων, ταξινομούνται ως δεδομένα ειδικής κατηγορίας σύμφωνα με τον GDPR. Αυτό σημαίνει ότι οι χρήσεις βιομετρικών στοιχείων για ταυτοποίηση εμπίπτουν αναπόφευκτα σε αυτόν τον τύπο κατηγορίας υψηλού κινδύνου που απαιτεί προληπτική αξιολόγηση.

Αυτή η αξιολόγηση πρέπει να λαμβάνει υπόψη την αναγκαιότητα και την αναλογικότητα της προτεινόμενης επεξεργασίας, καθώς και να εξετάζει τους κινδύνους και να αναφέρει λεπτομερώς τα προβλεπόμενα μέτρα για την αντιμετώπιση των εντοπισμένων κινδύνων. Ο GDPR δίνει έμφαση στους υπευθύνους επεξεργασίας δεδομένων που διενεργούν μια ισχυρή και αυστηρή προληπτική αξιολόγηση της επικίνδυνης επεξεργασίας — επομένως το γεγονός ότι η AEPD διαπίστωσε ότι η GSMA παραβίαζε το Άρθρο 35 δείχνει ότι απέτυχε να αποδείξει ότι είχε κάνει την απαιτούμενη δέουσα επιμέλεια σε αυτό το θέμα.

Στην πραγματικότητα, η ρυθμιστική αρχή διαπίστωσε ότι το DPIA της GSMA ήταν «απλώς ονομαστικό», σύμφωνα με το ψήφισμα — λέγοντας ότι δεν εξέτασε «ουσιαστικές πτυχές» της επεξεργασίας δεδομένων. ούτε αξιολόγησε τους κινδύνους ή την αναλογικότητα και την αναγκαιότητα του συστήματος που εφάρμοσε.

«Αυτό που καταλήγει στο ψήφισμα είναι ότι α [DPIA] που δεν λαμβάνει υπόψη τα βασικά του στοιχεία δεν είναι ούτε αποτελεσματικό ούτε εκπληρώνει κανέναν στόχο», προσθέτει η AEPD, επιβεβαιώνοντας την άποψή της ότι το DPIA της GSMA δεν πληρούσε τις απαιτήσεις του GDPR [NB: this is a machine translation of the original Spanish text].

Περισσότερα από το ψήφισμα της ΑΕΠΔ:

ο [GSMA’s DPIA] Το έγγραφο στερείται αξιολόγησης της αναγκαιότητας και της αναλογικότητας των εργασιών επεξεργασίας σε σχέση με τον σκοπό του· τη χρήση της αναγνώρισης προσώπου για την πρόσβαση σε εκδηλώσεις, την εκτίμησή της για τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 35 παράγραφος 1 του GDPR και των μέτρων που προβλέπονται για την αντιμετώπιση των κινδύνων, συμπεριλαμβανομένων διασφαλίσεων, μέτρων ασφαλείας και μηχανισμούς για τη διασφάλιση της προστασίας των προσωπικών δεδομένων και την απόδειξη της συμμόρφωσης με τον GDPR, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων προσώπων που επηρεάζονται. Αναφέρει επίσης τα στοιχεία διαβατηρίου και ταυτότητας που δηλώνει ότι απαιτούνται από το Mossos d`Esquadra [local police] που φέρεται να έχουν σκοπό, προκειμένου να το συνδέσουν με τη φωτογραφία που τραβήχτηκε με το λογισμικό, το οποίο ξεκινά τη διαδικασία αναγνώρισης προσώπου, ταιριάζοντας την ταυτότητά σας για να διευκολύνει την πρόσβαση.

Μια περιγραφή του DPIA της GSMA στο ψήφισμα της AEPD υποδηλώνει ότι, εκτός από την αποτυχία διεξαγωγής κατάλληλης αξιολόγησης, η GSMA δάνεισε μια αιτιολόγηση ασφαλείας για τη συλλογή διαβατηρίων/εγγράφων ταυτότητας ΕΕ των παρευρισκομένων — λέγοντας ότι είχε λάβει οδηγίες από την ισπανική αστυνομία να βάλει εφαρμόζονται «αυστηρές διαδικασίες» για τους συμμετέχοντες στον έλεγχο ταυτότητας.

Φαίνεται επίσης ότι απαιτούσε από τους παρευρισκόμενους να συναινέσουν στη βιομετρική επεξεργασία των δεδομένων του προσώπου τους ως μέρος της διαδικασίας μεταφόρτωσης ταυτότητας, με την AEPD να σημειώνει τις πληροφορίες συγκατάθεσης που παρέχονται στο BREEZZ, οι οποίες ζήτησαν από το άτομο τη συγκατάθεσή τους σε αυτήν χρησιμοποιώντας «βιομετρικά δεδομένα που ελήφθησαν από τις φωτογραφίες παρέχεται για σκοπούς επικύρωσης ταυτότητας στο πλαίσιο της ηλεκτρονικής εγγραφής και του MWC Barcelona για σκοπούς πρόσβασης στον τόπο διεξαγωγής».

Αυτό είναι σημαντικό δεδομένου ότι ο GDPR θέτει έναν σαφή πήχη ώστε η συναίνεση να είναι έγκυρη νομική βάση — απαιτώντας να είναι ενημερωμένη, συγκεκριμένη (δηλαδή μη ομαδοποιημένη) και να παρέχεται ελεύθερα. Άρα δεν μπορείς να επιβάλεις τη συγκατάθεσή σου. (Ενώ η συγκατάθεση για την επεξεργασία ευαίσθητων δεδομένων, όπως τα βιομετρικά στοιχεία προσώπου, έχει ακόμη υψηλότερο όριο ρητής συναίνεσης για νομική επεξεργασία.)

Ήταν η έλλειψη ελεύθερης επιλογής για τους συμμετέχοντες στο συνέδριο σχετικά με τη μεταφόρτωση ευαίσθητων βιομετρικών δεδομένων που οδήγησε σε μια καταγγελία κατά της επεξεργασίας δεδομένων της GSMA στην AEPD από την Δρ Anastasia Dedyukhina, μια ομιλήτρια ψηφιακής ευεξίας που είχε προσκληθεί να μιλήσει σε πάνελ στο MWC 2021. Είναι το παράπονό της που οδήγησε — μερικά χρόνια αργότερα — στην επιβολή κυρώσεων στο GSMA.

«Δεν μπορούσα να βρω μια λογική δικαιολογία για αυτό», εξήγησε στο α Ανάρτηση στο LinkedIn στα τέλη της περασμένης εβδομάδας, όταν δημοσιοποίησε την καταγγελία της, συζητώντας για τη δυσανάλογη απαίτηση της GSMA από τους συμμετέχοντες στο MWC να ανεβάζουν έγγραφα ταυτότητας. «Ο ιστότοπός τους πρότεινε να φέρω και την ταυτότητα/διαβατήριό μου για προσωπική επαλήθευση, κάτι που δεν με πείραζε. Ωστόσο, οι διοργανωτές επέμειναν ότι, αν δεν ανεβάσω τα στοιχεία του διαβατηρίου μου, ΔΕΝ ΜΠΟΡΟΥΣΑ να παρευρεθώ στη ζωντανή εκδήλωση και θα έπρεπε να συμμετάσχω εικονικά, κάτι που κατέληξα».

Ο τεχνολόγος, Άνταμ Λέον Σμιθ, ο οποίος συνέγραψε την καταγγελία της, έγραψε επίσης για αυτό στο α Ανάρτηση στο LinkedIn — στην οποία προειδοποιεί: «Η αναγνώριση προσώπου είναι ότι οι δημόσιοι χώροι είναι εξαιρετικά ευαίσθητοι και αν πραγματικά χρειάζεται να τη χρησιμοποιήσετε, χρησιμοποιήστε μια εξαιρετική ομάδα δικηγόρων και τεχνολογίας».

Εξηγώντας τις ανησυχίες που εγείρονται στην καταγγελία τους, ο Smith είπε στο TechCrunch: «Πρώτον, διαπιστώσαμε ότι η πολιτική απορρήτου έλεγε ότι παρέχουμε ταυτότητα για την αναγνώριση προσώπου για σκοπούς ταυτότητας βάσει συγκατάθεσης. Ωστόσο, κατέστη σαφές ότι δεν ήταν πραγματικά δυνατό να εξαιρεθεί. Δεύτερον, η εταιρεία που διαχειρίζεται την τεχνολογία βρισκόταν στη Λευκορωσία, εκτός ΕΕ. Αυτές ήταν οι πληροφορίες που μπορούσαμε να βρούμε δημόσια τη στιγμή της υποβολής των καταγγελιών. Βλέπω τη ScanViz, η εταιρεία που παρέχει την τεχνολογία, καταχωρεί τώρα μια διεύθυνση στο Χονγκ Κονγκ στον ιστότοπό της».

«Η AEPD μπόρεσε να ζητήσει εσωτερικά έγγραφα αξιολόγησης απορρήτου από την MWC και μπόρεσε να δει ότι ήταν ξεπερασμένο και ανεπαρκές. Η απόφαση της AEPD επικεντρώνεται κυρίως σε αυτό», είπε επίσης. «Δεν υπήρχαν άλλα συγκεκριμένα διορθωτικά μέτρα, αν και πιστεύω ότι το MWC θα χρειαστεί να διεξαγάγει αυτή την εκτίμηση κινδύνου και επιπτώσεων πολύ προσεκτικά».

Ενώ το ψήφισμα της ισπανικής ρυθμιστικής αρχής για την προστασία δεδομένων δεν εξετάζει εάν η νομική βάση της GSMA για τη βιομετρική επεξεργασία ήταν έγκυρη ή όχι, ο Smith προτείνει ότι αυτό μπορεί να είναι απλώς μια διαδοχική συνέπεια της εύρεσης του DPIA ανεπαρκούς — δηλαδή μπορεί να είχε αποφασίσει μια πληρέστερη τεχνική αξιολόγηση δεν αξίζει τον κόπο.

«Δεν θα εκπλαγώ αν εγκατέλειπαν τη χρήση της τεχνολογίας αναγνώρισης προσώπου», πρότεινε στο GSMA. «Αυτό το είδος εφαρμογής της τεχνολογίας θα εμπίπτει στην κατηγορία υψηλού κινδύνου στα τελευταία προσχέδια του [EU] AI Act, αυτό σημαίνει ότι θα χρειαζόταν κάποια μορφή αξιολόγησης της συμμόρφωσης από ένα ανεξάρτητο μέρος.»

Η GSMA επικοινώνησε για να σχολιάσει το πέναλτι της AEPD, αλλά τη στιγμή που γράφονταν αυτά τα στοιχεία δεν είχε απαντήσει.

Αξίζει να σημειωθεί ότι ενώ η διοικητική διαδικασία της AEPD για αυτήν την καταγγελία ολοκληρώνεται με αυτό το ψήφισμα, η GSMA θα μπορούσε να επιδιώξει να αμφισβητήσει το αποτέλεσμα μέσω νομικής προσφυγής στο Audiencia Nacional (Εθνικό Ανώτατο Δικαστήριο της Ισπανίας).

Κάνοντας σμίκρυνση, όπως επισημαίνει ο Smith, ο εισερχόμενος νόμος για την τεχνητή νοημοσύνη σε επίπεδο ΕΕ πρόκειται να εισαγάγει ένα πλαίσιο βασισμένο στον κίνδυνο για τη ρύθμιση των εφαρμογών της τεχνητής νοημοσύνης τα επόμενα χρόνια.

Το σχέδιο έκδοσης αυτής της νομοθεσίας που πρότεινε η Επιτροπή το 2021 περιλαμβάνει μια απαγόρευση της χρήσης βιομετρικών στοιχείων εξ αποστάσεως, όπως η αναγνώριση προσώπου, σε δημόσιους χώρους, η οποία —αν μπει στην τελική έκδοση— σίγουρα θα αυξήσει τον ρυθμιστικό κίνδυνο σχετικά με την εφαρμογή αυτοματοποιημένους ελέγχους επαλήθευσης στο μέλλον. (Προσθέστε σε αυτό, οι βουλευτές υπήρξαν πιέζοντας για περαιτέρω ενίσχυση της εξ αποστάσεως απαγόρευσης βιομετρικών στοιχείων.) Και αυτό είναι πέραν των υφιστάμενων κινδύνων GDPR για οποιονδήποτε εκτελούντα την επεξεργασία δεδομένων που ακολουθούν μια ατημέλητη προσέγγιση όσον αφορά τη δέουσα επιμέλεια κινδύνου (ή μάλιστα τη σκληρή απαίτηση να υπάρχει έγκυρη νομική βάση για τέτοια ευαίσθητη επεξεργασία δεδομένων).

Από την πλευρά του, το GSMA συνέχισε να παρέχει μια επιλογή αυτοματοποιημένου ελέγχου ταυτότητας βάσει βιομετρικών στοιχείων προσώπου για τους συμμετέχοντες στο MWC (τόσο φέτος όσο και πέρσι) — καθώς και συνεχίζει να απαιτεί μεταφορτώσεις εγγράφων ταυτότητας για εγγραφή για προσωπική παρουσία. Θα είναι λοιπόν ενδιαφέρον να δούμε εάν θα τροποποιήσει τις αποκαλύψεις απορρήτου ή/και θα κάνει αλλαγές στη διαδικασία εγγραφής για το MWC 2024 υπό το φως της κύρωσης GDPR. (Και, εάν συνεχίσει να προσφέρει μια επιλογή αυτοματοποιημένου ελέγχου ταυτότητας βάσει βιομετρικών στοιχείων στην έκθεση στο μέλλον, ίσως συνιστάται να διασφαλίσει ότι ο προμηθευτής τεχνολογίας της βρίσκεται εξ ολοκλήρου εντός της ΕΕ.)



techcrunch.com

Follow TechWar.gr on Google News

Απάντηση