YOTI LTD (en adelante, Yoti), ha desarrollado una solución de gestión de la identidad digital, usado por millones de usuarios como sistema de verificación, tanto en accesos físicos como digitales, utilizando diversos sistemas para ello como un software de servicio (Saas) y una app móvil (App Digital ID).
La Agencia Española de Protección de Datos (AEPD) inició un procedimiento para conocer en profundidad la plataforma y los tratamientos llevados a cabo por la misma, especialmente, la forma en la que se recaban los datos de los usuarios, el consentimiento para el uso de los mismos, y los detalles de seguridad y privacidad de la aplicación.
La AEPD averiguó que durante el registro tanto en la plataforma como en la app, los usuarios debían proporcionar distintos datos personales, como su número de teléfono, fotografías de su rostro, documentos de identidad y datos de tarjeta de crédito, los cuales, según la entidad, se almacenaban durante un período de 3 años de inactividad. Para poder utilizar la aplicación, los usuarios debían además confirmar que eran mayores de 14 años y prestar su consentimiento para la realización de un escaneo facial.
Este escaneo se utilizaba para generar una plantilla biométrica que posteriormente permitía realizar diversas verificaciones dentro de la aplicación. Asimismo, durante la configuración inicial existía una opción activada por defecto que permitía a Yoti utilizar los datos biométricos de los usuarios con fines de investigación y desarrollo, debiendo los propios usuarios desactivarla manualmente en caso de no desear participar en dicho tratamiento.
A raíz de las averiguaciones hechas, la AEPD acordó iniciar procedimiento sancionador contra Yoti que concluye con las siguientes estimaciones:
(i) Yoti es la responsable del tratamiento de los datos personales (Art. 4.7 RGPD) toda vez que, a través de su App digital ID, recoge y conserva datos de personas físicas (nombre, apellido, fechas de nacimiento, fotografías o parón biométrico facial) y determina los fines y medios por los cuales serán empleados.
(ii) El escaneo facial del usuario en la aplicación de Yoti para obtener una plantilla biométrica, es un tratamiento realizado con el fin de identificar de forma inequívoca a una persona. Este tipo de tratamientos entran dentro del concepto de datos de categoría especial (art. 9.1 RGPD), cuyo tratamiento está prohibido salvo excepciones que no han sido acreditadas por Yoti. La entidad incurre en error al no considerar a los datos recabados como datos biométricos y, por ello, el consentimiento recabado para el tratamiento de esos datos no es válido.
(iii) Los usuarios de la aplicación Yoti consienten por defecto el uso de sus datos solo pudiendo negarse si desactivan manualmente las casillas premarcadas. Esta actuación por parte de Yoti es contraria al artículo 7 RGPD, el cual exige que el consentimiento sea un acto voluntario y consciente por parte del usuario.
(iv) Los datos tratados por Yoti (entre los que se incluyen los datos biométricos y de geolocalización) eran conservados por plazos que resultaban desproporcionados (3 años de inactividad para los datos biométricos) que exceden la finalidad para la que fueron originalmente recabados, lo cual vulnera el principio de limitación del plazo de conservación (art. 5.1.e) RGPD).
Por todo lo anterior, la AEPD acuerda sancionar a Yoti con una multa total de 950.000 euros, que comprende:
• 500.000 euros por la infracción de articulo 9 RGPD
• 200.000 euros por la infracción del artículo 7 RGPD
• 250.000 euros por la infracción del articulo 5.1.e) RGPD