El Ministerio de Migración y Asilo de Grecia recibió una importante multa de 175.000 euros por violar las normas de protección de datos y privacidad en la implementación de dos sistemas de vigilancia y seguridad de alta tecnología desplegados en varios campos de refugiados griegos.
En una decisión emitida a principios de abril, la Autoridad de Protección de Datos griega (DPA) concluyó que el Ministerio de Migración del país violó varias disposiciones del Reglamento General de Protección de Datos (GDPR) al lanzar los sistemas Centaur e Hyperion, y no cumplió con sus obligaciones como controlador de datos. .
Centaur ha sido descrito como un sistema de seguridad automatizado que se basa en algoritmos (análisis de comportamiento de inteligencia artificial) y hardware, incluidas cámaras, drones y sensores, para detectar automáticamente supuestas amenazas en algunos campos de refugiados, alertando a las autoridades locales y en Atenas. El segundo sistema, Hyperion, utiliza datos biométricos de huellas dactilares para facilitar la entrada y salida de las instalaciones. Ambos sistemas están financiados por la Unión Europea (UE).
Una investigación de Computer Weekly publicada en octubre de 2023 descubrió problemas graves sobre el lanzamiento de los programas y aparentes esfuerzos de las autoridades griegas para dar marcha atrás en el cumplimiento del RGPD solo después de su lanzamiento.
La sanción se produce tras una investigación de dos años por parte de la DPA, que se inició en marzo de 2022 después de que organizaciones de la sociedad civil griega, incluidas Homo Digitalis, HIAS Grecia y la Unión Helénica de Derechos Humanos, junto con el profesor asociado Niovi Vavoula de la Universidad de Luxemburgo. – pidió a la autoridad que examinara el cumplimiento de las normas de protección de datos por parte de los programas. También le pidieron que investigara si el Ministerio de Migración griego completó evaluaciones de impacto durante la fase de diseño y planificación de los proyectos, un requisito según el RGPD.
Eleftherios Chelioudakis, cofundador de Homo Digitalis, acogió con satisfacción el fallo de la DPA griega y señaló que la multa de 175.000 euros es “la mayor jamás impuesta a un [Greek] organismo público desde que entró en juego el RGPD”.
EIPD ‘incompletas y limitadas’
En su decisión del 3 de abril de 2024, el organismo de control de la protección de datos concluyó que el Ministerio de Migración no llevó a cabo evaluaciones de impacto de la protección de datos (DPIA) “completas, integrales y coherentes” “por diseño y por defecto, antes de la adquisición e implementación del Centaur”. y programas Hyperion”, en violación del RGPD. La autoridad calificó las EIPD que revisó como “sustancialmente incompletas y de alcance limitado”.
Según la investigación, el Ministerio de Migración tampoco explicó el procesamiento de datos y las funciones automatizadas del programa Centaur, ni aclaró la interconexión de ambos programas con otros sistemas y bases de datos estatales.
La DPA señaló que los programas “implican el procesamiento de grandes volúmenes de datos, incluidas categorías especiales de datos, en particular datos biométricos”. En particular, señaló que los sistemas “afectan a un gran número de interesados, incluidos trabajadores y personas con características de vulnerabilidad, que tienen dificultades reales para ejercer sus derechos y eventualmente presentar una denuncia”.
‘Falta de cooperación’ con la investigación
Según la DPA, “la falta de cooperación por parte del Ministerio de Migración y Asilo, como responsable del tratamiento” agravó la decisión.
Añadió que los documentos presentados por el Ministerio de Migración como parte de la investigación contenían “información poco clara, incompleta, confusa y contradictoria”, así como “ambigüedades… y referencias incorrectas”.
La autoridad acusó al ministerio de no compartir los contratos firmados con dos empresas privadas (ESA Security AE – Adaptit AE y Space Hellas SA) involucradas en los programas. Por ejemplo, la ESA Security Solutions, con sede en Grecia, tiene un contrato para proporcionar servicios de seguridad para el programa Centaur, incluida la operación de drones en los campos. Según la DPA, el ministerio no compartió cláusulas contractuales relevantes que contengan términos sobre cómo la empresa pretendía procesar los datos personales que recopila durante sus operaciones en los campos.
Chelioudakis dijo que el uso de empresas privadas para la prestación de servicios de seguridad, junto con la “privatización más amplia de la protección fronteriza y el velo de secreto que la rodea, causa desafíos importantes para la protección de datos personales y el ejercicio de los deberes de los datos”. autoridad de protección”.
La DPA concluyó que “siguen existiendo graves deficiencias en cuanto al cumplimiento por parte del ministerio de determinadas disposiciones del RGPD en relación con la implementación de los sistemas”.
Se ha ordenado al ministerio que adopte “todas las medidas necesarias para cumplir con las obligaciones” previstas en el RGPD en un plazo de tres meses. Si no lo hace, se le podría imponer una sanción mayor.
El Ministerio de Migración afirma que las pruebas se evaluaron “incorrectamente”
En un comunicado de prensa posterior a la decisión, el Ministerio de Migración y Asilo dijo que las medidas correctivas para las deficiencias identificadas por la DPA “en gran medida ya se han implementado… o están en proceso de implementación”.
El ministerio defendió sus programas y escribió que el organismo de control de datos “no tuvo en cuenta que estos sistemas fueron adoptados parcialmente y puestos a prueba en algunas instalaciones de acogida, no en todas, lo que hizo necesario realizar evaluaciones de impacto individuales y no en su conjunto, ya que no fue posible evaluar el procesamiento de datos personales antes de la puesta en funcionamiento de los sistemas”.
El ministerio dijo que debido a que la DPA evaluó “incorrectamente” las pruebas presentadas, “tiene la intención de evaluar legalmente la posibilidad de impugnar la decisión”.
El ministerio también afirmó que las cláusulas de “confidencialidad” le impiden revelar a la autoridad los contratos de suministro con empresas privadas, un hecho que el ministerio dijo que “señaló repetidamente” durante la investigación.
Tecnología financiada por la UE en instalaciones financiadas por la UE bajo escrutinio
Introducida en varios centros de recepción de inmigrantes de “nueva generación” financiados por la UE en las islas del Egeo, que comenzaron a abrir en 2021, la tecnología ha sido analizada anteriormente por organizaciones de la sociedad civil y el Defensor del Pueblo Europeo por cuestiones de privacidad y transparencia.
Centaur e Hyperion se financian a través del fondo de recuperación Covid de la UE y del Fondo de Seguridad Interior.
La Comisión Europea dijo a Computer Weekly en un comunicado que está “consciente” de la decisión de la DPA griega: “La aplicación del RGPD recae en las autoridades nacionales de protección de datos y la comisión no comenta sobre estos casos.
“Las autoridades griegas están desarrollando sistemas que permitirán monitorear las áreas de recepción para garantizar la seguridad de los residentes, el personal y la población local… Estas tecnologías son parte de una inversión más amplia para promover la transformación digital, que facilitará el procedimiento de asilo y mejorará la recepción. condiciones.”
La comisión sostiene que desde el inicio de los proyectos, “ha solicitado a las autoridades griegas que lleven a cabo una evaluación del impacto en materia de protección de datos y derechos fundamentales”. Añadió que “permanece en estrecho contacto con las autoridades griegas” y “seguirá supervisando de cerca la implementación de estos proyectos, de acuerdo con los requisitos de la legislación de la UE”.
Falta de transparencia desde el inicio de los programas.
Algorithm Watch reveló por primera vez los planes para los sistemas en abril de 2021. En septiembre de ese año, el entonces ministro de migración de Grecia, Notis Mitarakis, desvelado una sala de control centralizada en el edificio del Ministerio de Migración cerca de la capital griega, a la que ya estaban conectados los sistemas del campo.
En diciembre de 2021, funcionarios del Ministerio de Migración dieron a Al Jazeera un recorrido por la sala de control y dijeron que el proyecto Centaur ya estaba operativo en varios campamentos. Sin embargo, no respondieron a las preguntas de Al Jazeera sobre si se habían completado las evaluaciones de impacto de protección de datos requeridas legalmente.
El sitio de investigación griego Solomon reveló más tarde que los programas Centaur e Hyperion fueron diseñados, financiados y lanzados sin la contratación previa de un responsable de protección de datos.
A pesar de las solicitudes de acceso a los documentos de evaluación, los funcionarios griegos y la Comisión Europea mantuvieron los estudios de impacto sellados, en contra de las directrices de la UE que recomiendan que los resúmenes se hagan públicos.
Computer Weekly obtuvo las evaluaciones de impacto en materia de protección de datos y derechos fundamentales tras una denuncia ante el Defensor del Pueblo Europeo. Una revisión de los documentos confirma que las primeras versiones de las evaluaciones se completaron en enero de 2022, más de tres meses después de que el Ministerio de Migración anunciara inicialmente que el programa estaba activo.