La GSMA, asociación que aglutina a operadores y empresas tecnológicas de todo el mundo, incumple el RGPD (Reglamento General de Protección de Datos, GDPR en inglés). Lo hace en el proceso de registro que ofrece a quienes desean acudir al Mobile World Congress -es la organizadora del evento- que se celebra dentro de dos días en Barcelona -del 25 al 28 de febrero-.
La GSMA solicita permiso a los usuarios que realizan el registro a través de LinkedIn para publicar posts en su nombre, usar su correo electrónico, utilizar todo el perfil completo e incluso utilizar la información de sus contactos de primer y segundo grado, así como enviar invitaciones a otros usuarios para conectar en su nombre.
"El registro no cumple con la GDPR. Se vulnera el principio de minimización. Todo lo que pide la aplicación para el registro debería poder seleccionarse o rechazarse de forma independiente, minimizada. Cuando el usuario acepta, da un conjunto de permisos a la GSMA de buenas a primeras. El procedimiento no debe ser así según la GDPR", explica Tamara Morales, directora de Prodat (Protección de Datos) en Castilla y León, y miembro del despacho NTAbogados.
La GSMA vulnera el artículo 5.1 C) según los expertos consultados: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
"Me parece algo excesivo porque los datos y permisos solicitados deben ser proporcionales a la finalidad para la cual se piden, tal y como expresa la normativa. En este caso está claro que no lo son", considera Leandro Núñez, abogado especializado en protección de datos y socio de Audens y ex asesor en relaciones internacionales de la Agencia Española de Protección de Datos (AEPD).
En concreto, el artículo vulnerado de la GDPR es el 5.1 C): los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).
La GSMA asegura que "trata con seriedad los datos de los usuarios. Los asistentes deciden voluntariamente si desean registrarse mediante redes sociales. Una vez completado el proceso pueden modificar o eliminar los datos importados por LinkedIn antes de aceptar los términos y condiciones al hacer el registro. Este proceso ha sido revisado en su totalidad tanto por nuestro equipo interno de privacidad de datos como por LinkedIn. Trabajamos dentro de la ley y con las mejores prácticas".
Servirse de una red social para facilitar a los usuarios el alta en una aplicación es legal, pero obliga a ser cuidadosos al solicitar permisos
"El tema esencial no es la importación de los datos. Lo esencial es los permisos que obtiene la GSMA para utilizar las redes sociales o el correo de quienes se registran. No son permisos necesarios para realizar un registro. Es posible eliminar los datos que guarda la aplicación, pero la GSMA sigue teniendo, por ejemplo, permiso para publicar en el nombre del registrado. Además todo se acepta en bloque. Cuando, por ejemplo, WhatsApp solicita permisos, lo hace sobre cosas necesarias para dar su servicio. El acceso al micrófono, a la cámara, a los contactos... Y lo hace permiso por permiso, no introduce todos en bloque. En el caso del registro para el MWC el usuario debería poder bloquear por separado aquellos permisos que no quiere dar, pero no es así", asegura Sergio Carrasco Mayans, abogado especializado en nuevas tecnologías de Faseconsulting.
Núñez, por su parte, explica que "servirse de una red social para facilitar a los usuarios el alta en una aplicación es completamente legal, pero obliga a ser cuidadosos a la hora de solicitar permisos. Si pedimos más datos de los necesarios, aun con autorización del usuario, estaríamos vulnerando la normativa; sobre todo si únicamente puede dar su consentimiento en bloque, sin poder desmarcar aquellos permisos que no esté interesado en conceder".
Para Carrasco "la elección de realizar el registro con LinkedIn es una decisión de la GSMA. Existe una diligencia debida a la hora de analizar si el tratamiento de los datos de los asistentes será el adecuado, y no se puede limitar exclusivamente a los datos incorporados al portal. Hay que tener en cuenta qué permisos se le dan a la aplicación".
El registro
El proceso de registro a la feria a través de LinkedIn exige la entrada a la red social por parte del usuario. La GSMA también permite registrarse en la feria mediante la aplicación Mobile Connect.
La GSMA, no obstante, anima a realizar el proceso a través de LinkedIn. "Complete su registro rápidamente y mejore su experiencia de evento iniciando sesión con LinkedIn", se puede leer bajo el logo de LinkedIn en la sección de registro de la web del Mobile World Congress.
Sin control de los datos
"Lo que busca la organización del Mobile World Congress es promocionar el evento de forma gratuita a través del uso de los perfiles de las personas que se registran. Los usuarios pierden el control de sus datos, de sus redes sociales. Esto incumple la GDPR. Esta regulación deja claro que los permisos solicitados deben ser los necesarios para prestar el servicio en cuestión. Pedir la publicación de mensajes públicos y también de mensajes privados a otros usuarios es muy desproporcionado en el caso de una persona que se va a registrar para acudir al MWC", explica Carrasco.
Núñez insiste en la vulneración del principio de minimización. "La GSMA debería ofrecer en LinkedIn la posibilidad de identificarse sin estos permisos. No debería permitir la aceptación de todos ellos en bloque".
Según Núñez, este es el motivo por el que la GSMA también incumple el Artículo 25 de la GDPR: El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.