La Agencia Española de Protección de Datos sancionó a la organización del Mobile World Congress con 200.000€ por no haber llevado a cabo una Evaluación de Impacto en la Protección de los Datos (EIPD) sobre el uso de sistemas de reconocimiento facial para controlar los accesos al recinto, conllevando, dichos sistemas, el tratamiento de datos biométricos.
La AEPD suscribe las palabras del European Data Protection Board (EDPB) y defiende que una EIPD no debe entenderse como una actuación puntual, sino como un proceso. De este modo:
• Reducir la EIPD a una actividad puntual y aislada en el tiempo es incompatible con el concepto de proceso que interpreta las Directrices WP248.
• La EIPD ha de estar documentada, pero la EIPD es más que el informe que refleja sus resultados.
• La EIPD ha de evaluar los riesgos “determinando las medidas para abordarlos”.
La EIPD obliga al responsable a actuar y tiene una dimensión mayor que un mero formalismo plasmado en un documento sobre el que se puedan realizar cambios mínimos para adaptarlo a cualquier tratamiento.
La EIPD es un proceso de análisis de un tratamiento que se extiende en el tiempo, a lo largo de todo el ciclo de vida de un tratamiento de datos personales, y que se ha de revisar de forma continua, “al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento” (artículo 35.11 del RGPD).
Así pues, la reclamada en un primer momento no aporta la EIPD, y una vez aportada, no incluye los requisitos mínimos que señala el RGPD. Por ello, se le sanciona por vulnerar lo dispuesto en el artículo 35 del RGPD.