Anastasia Dedyukhina ia participar de uma conferência no Mobile World Congress em Barcelona em 2021: “Eu me dedico a dar palestras, tenho muito interesse em ir a uma feira tão grande.” A presença física é fundamental no seu trabalho, onde os contatos te levam a novas oportunidades. “Ainda era meio da pandemia, mas tomei as vacinas, estava tudo resolvido. Então eles me pediram um teste biométrico”, lembra. Ou seja, fazer o upload do seu passaporte com a foto para o sistema. O pedido era para entrar na feira com reconhecimento facial e evitar mais contato físico. Foi quando começou uma longa troca de e-mails com representantes da GSMA, organizadores do Mobile, consultas com advogados e uma reclamação à Agência Espanhola de Proteção de Dados (AEPD) que terminou. com multa de 200.000 euros aos organizadores do Mobile.
Dedyukhina é uma cidadã russa e britânica de 41 anos e especialista em bem-estar digital que deu palestras TED. Quando recebeu esse pedido, foi ler as letras miúdas dos termos do Mobile: “Lá disseram que eu poderia optar por não carregar meu documento”, explica, e apresentá-lo pessoalmente uma vez em Barcelona. Mas naquele ano não foi permitido: o motivo foram infecções por covid, responderam, e os Mossos, a polícia regional catalã, exigem isso.
“Não me senti à vontade, não é porque sou a grande defensora da privacidade, apenas porque conheço o Regulamento de Proteção de Dados e sei o que posso pedir”, raciocina ao EL PAÍS de sua residência em Londres. “Merecia pelo menos uma explicação básica”, acrescenta. Essa explicação clara nunca veio e Dedyukhina acabou participando virtualmente do congresso. “Eles nunca me explicaram como iriam armazenar minhas informações. Eu perguntei várias vezes, eles me enviaram links que não funcionaram, eles deletaram um parágrafo de seu site, eles editaram, nada correspondeu. Parecia negligência, como se houvesse um desentendimento entre o que eles diziam e o que estava escrito no site deles”, diz Dedyukhina, que chegou a trocar e-mails com o oficial de dados da GSMA.
Um dos problemas acrescidos de Dedyukhina é que supostamente havia servidores que iam armazenar estes dados fora da UE, segundo a resolução da AEPD agora diz: “A entidade SCANVIS com a qual tem um sistema de reconhecimento facial ordem de tratamento para aceder ao sede, está em um país fora da UE, e a GSMA assinou cláusulas contratuais padrão com a SCANVIS”, desenvolve o órgão regulador. Não ficou claro, portanto, o que aconteceu com essas informações depois de carregadas. A AEPD sancionou a GSMA por violação do artigo 35.º, que prevê que se o tratamento de dados “envolver um elevado risco para os direitos e liberdades das pessoas”, o responsável deve realizar “uma avaliação de impacto”. Aquele relatório, segundo a AEPD, carecia de “avaliação da necessidade e proporcionalidade das operações”.
A pedido deste jornal, A GSMA emitiu uma declaração onde repete que a multa se deve à “abordagem da GSMA para conduzir uma avaliação de impacto na proteção de dados para o uso da tecnologia de reconhecimento facial no MWC 2021”. Além disso, garante que eles levem a proteção de dados “muito a sério” e que “usem tecnologia inovadora para fornecer uma experiência segura” aos participantes. Sobre a sanção, dizem que vão continuar a cooperar com a AEPD e que estão “a rever a resolução e a ponderar opções de resposta”. A declaração também afirma que nunca houve uma “violação de dados”.
as pessoas têm que relatar
Depois de participar online no Mobile, Dedyukhina conversou com um amigo advogado e apresentou queixa à AEPD. “Existem vários problemas com a abordagem do MWC”, diz Adam Leon Smith, um especialista em proteção de dados que colaborou na denúncia. “No entanto, o principal problema era que eles não haviam concluído uma avaliação de risco suficiente, não eram claros sobre questões importantes como o consentimento e alegavam que os Mossos insistiam na autenticação biométrica. Dificilmente a polícia vai pedir uma tecnologia específica”, diz o advogado.
O Regulamento de Proteção de Dados exige que as pessoas registrem reclamações. Dedyukhina admite que sua decisão é um pouco mais fácil porque ela está dentro do setor e conhece melhor seus direitos: “Foi fácil para mim pedir e não tive que pagar nada, senão provavelmente teria desanimado”, diz ela. “O celular queria uma foto do meu rosto. Eu recusei e eles foram multados em 200.000 euros”. O que você realmente conseguiu? “Bem, não recebo nenhum desses 200.000 euros e terei problemas potenciais até o final dos meus dias com o Mobile, mas é uma satisfação moral, fiz isso pela minha integridade profissional, porque digo às pessoas que a privacidade é importante”, reconhece.
Este detalhe é fundamental: “O Regulamento de Proteção de Dados funciona com reclamações. As pessoas deveriam registrar queixas!”, critica Smith, o advogado. Sem os esforços de cidadãos como Dedyukhina, esses casos não existiriam. Na AEPD encontraram apenas três outras resoluções recentes para reconhecimento facial na Espanha. Um de 2,5 milhões de euros contra a Mercadona e outros dois menores. Em todos os casos, há um cidadão ou funcionário que levantou a situação junto do regulador.
“Minha recomendação é pelo menos fazer perguntas”, resume Dedyukhina. “Isso pressiona a empresa a responder. Temos uma espécie de realidade distorcida onde tenho que provar, quando na realidade são eles que têm de o fazer. Pedir explicações para nossos dados biométricos deve ser o novo normal. É isso que estamos deixando acontecer ao não pedir”, raciocina.
Um caso como este tem razões suficientes para haver uma sanção, segundo Smith, mas é necessária uma denúncia: “Neste caso, esperava uma investigação, porque as práticas pareciam estranhas e havia uma empresa fora da UE que disse em seu site que processou dados confidenciais. A principal lição que aprendi é que, se algo parece suspeito em uma política de privacidade, provavelmente é.”
você pode seguir O PAÍS Tecnologia em Facebook y Twitter ou cadastre-se aqui para receber nossos newsletter semanal.
Inscreva-se para continuar lendo
Leia sem limites
Com informações do EL Pais / Tecnología
Compartilhe este post
