Privacyboete voor Mobile World Congres wegens inzet gezichtsherkenning
Het Mobile World Congress moet 200.000 euro boete betalen omdat het onvoldoende de impact van gezichtsherkenning voor bezoekers in kaart bracht. De Spaanse gegevensbeschermingsautoriteit AEPD is van oordeel dat MWC artikel 35 van de GDPR schendt, dat verband houdt met het beoordelen van impact van technologie op privacy.
MWC, de grootste telecombeurs ter wereld en de grootste techbeurs van Europa, krijgt de boete voor de editie van 2021. De beurs gebruikt sinds dat jaar gezichtsherkenning om bezoekers toe te laten. Wie dat niet wou doen, kon een identiteitsbewijs laten zien. MWC werkt daarvoor samen met Breezz, ook in de edities van 2022 en 2023 deed het dat.
De kritiek van AEPD gaat volgens Techcrunch niet zozeer over dat de gezichtsherkenning niet mocht worden gebruikt, wel om de beoordeling die MWC zelf moest maken. De noodzaak en proportionaliteit werden te weinig bestudeerd. Ook heeft de organisatie te weinig zicht op mogelijke beveiligingsrisico’s, terwijl er wel biometrische gegevens van duizenden mensen werden verwerkt.
Spreker diende klacht in
Opmerkelijk: de zaak ging aan het rollen door een spreker die op MWC in 2021 was uitgenodigd. Dr. Anastasia Dedyukhina sprak er (virtueel) over digitaal welzijn, maar kreeg ook de vraag om biometrische data te uploaden om haar identiteit te bevestigen. Zonder het delen van die gegevens kon ze niet ter plaatse deelnemen, wat uiteindelijk niet gebeurde. Op LinkedIn legt ze uit hoe die wrevel uiteindelijk leidde tot een klacht en twee jaar later tot een boete.
De editie van 2021 ging in volle coronapandemie door en telde daarom slechts 17.462 bezoekers. Uit de beslissing van de AEPD leren we dat 7.585 mensen de gezichtsherkenning toen gebruikten. Ter vergelijking: de editie van 2023 telde 88.500 mensen. Pre-corona in 2019 waren dat er zelfs 109.000.
In samenwerking met Data News