Еще большее давление на Мексиканскую федерацию футбола: INAI расследует использование биометрических данных болельщиков

Национальный институт прозрачности (INAI) в эту среду принял решение начать процедуру санкций против могущественной Мексиканской федерации футбола (FMF или Femexfut) за непрозрачное использование ее приложения Fan ID, с помощью которого через третью сторону она собирает личные и биометрические данные посетителей стадионов. Члены комиссии INAI на закрытом заседании приняли решение провести расследование в отношении Femexfut, но оставили за рамками санкций фирму Incode Technologies, которая собирает личную информацию болельщиков и передает ее Федерации футбола. Это решение принято в чрезвычайно деликатный момент для INAI. Она находится в процессе исчезновения как автономный орган и перехода под контроль правительства, к тому же в предыдущие недели разразился скандал, связанный с предполагаемым вымогательством чиновниками органа Transparency у представителей Femexfut с целью смягчения санкций. В Мексике действует федеральный закон, обязывающий компании защищать личные данные, за которые они несут ответственность, и использовать их законным, контролируемым образом, гарантирующим неприкосновенность частной жизни людей, предоставивших им доступ к ним. Fan ID от Femexfut собирает конфиденциальные данные, такие как имя, номер телефона, адрес электронной почты, дата рождения, официальное удостоверение личности, которое обычно включает адрес, и даже автопортрет пользователя с биометрической информацией, которая может быть получена из селфи для распознавания лица, сетчатки глаза или радужной оболочки глаза. Регистрация Fan ID является обязательной для посещения футбольного матча. Для сбора этих данных федерация привлекла компанию Incode Technologies, которая предоставляла услуги биометрической аутентификации INE и Палате депутатов, а также частным банкам. Femexfut внедрила систему Fan ID в 2022 году, сначала с целью выявления и наказания фанатов, стоявших за гомофобными выкриками, из-за которых ФИФА наложила жесткие санкции на мексиканскую сборную и ее болельщиков. Затем, после эпизода экстремального насилия, развязанного фанатами на стадионе «Коррегидора» в Керетаро в марте того же года, федерация отстаивала полезность приложения для помощи властям в выявлении возможных агрессоров. Более того, в разгар процедуры санкций, которой она подверглась, Femexfut заявила, что система помогла идентифицировать субъекта, который в минувшие выходные ударил другого болельщика на Estadio Olímpico Universitario, эпизод, который стал вирусным в социальных сетях. Вопрос в NACI заключался в том, чтобы определить, какая организация несет основную ответственность за защиту данных фанатов, зарегистрированных в Fan ID. Закон различает понятия «контроллер» и «процессор». Первый решает, какие персональные данные находятся в его распоряжении, а второй взаимодействует с этими данными от имени контролера. Физические или юридические лица должны предоставить пользователю (субъекту данных) уведомление о конфиденциальности, в котором подробно описывается, как будет обрабатываться его личная информация. Пользователь должен выразить свое согласие с этим уведомлением. В своих заявлениях в INAI компания Femexmut признала, что несет ответственность за личные данные фанатов, в то время как Incode защищала себя тем, что занималась только сбором и передачей информации в Федерацию. Однако Секретариат INAI по защите персональных данных пришел к выводу, что Incode формирует базу данных, которая, хотя и отправляется в Femexmut, остается под ее контролем; кроме того, Уведомление о конфиденциальности сервиса Fan ID размещено этой фирмой, а не Федерацией, которая теоретически несет конечную ответственность за обработку данных. На самом деле, на странице «Фемексмут», запрашивающей создание Fan ID, говорится, что предоставленные персональные данные «хранятся в биометрической системе, за которую Incode несет ответственность по внедрению необходимых средств контроля безопасности для защиты конфиденциальности, целостности и доступности данных». Проект, за который проголосовали члены комиссии INAI в среду, предполагал начало процедуры санкций против Femexfut и Incode за то, что они не подтвердили, что получили «письменное согласие владельцев на обработку их чувствительных персональных данных», и «не приняли необходимых мер для обеспечения должного соблюдения принципов защиты персональных данных, установленных законом по данному вопросу, нарушив принципы информирования, лояльности, пропорциональности, ответственности и законности». Однако после полуторачасового закрытого заседания члены комиссии приняли решение только о начале процедуры санкций в отношении Femexfut, а Incode осталась в стороне от какой-либо ответственности. INAI официально исчезнет 20 марта в рамках реформы, проводимой Мореной и направленной на ликвидацию автономных учреждений. Процедура санкций в отношении Femexfut и возможное назначение наказания будут переданы в руки Секретариата по борьбе с коррупцией и надлежащему управлению - агентства исполнительной власти, которое возьмет на себя функции INAI. Расследование этого дела длится уже более двух лет и затянулось, в частности, из-за процесса исчезновения Института, которому подверглась правящая партия, что привело к техническому параличу на несколько месяцев, не позволившему ей проводить заседания. На протяжении всего долгого пути расследования случались заминки и сбои в соблюдении процессуальных норм. В конце января, когда должно было состояться обсуждение ответственности Femexfut и Incode - что наконец-то произошло в среду, - в СМИ взорвались обвинения Федерации в адрес двух чиновников, которые якобы два года назад потребовали несколько билетов на матч открытия Чемпионата мира 2026 года, который должен был состояться на стадионе «Ацтека» в Мехико, в обмен на помощь Femexfut в сокращении объема санкций. Обвиняемые чиновники, секретарь по защите данных института Джонатан Мендоса и генеральный директор по защите прав и санкций Мигель Новоа, отвергли обвинения, но спустя несколько дней были исключены из института. Источники INAI, с которыми консультировалась эта газета, относятся к решению, принятому против Femexfut, скептически, поскольку считают, что в нем есть пороки, которые могут принести пользу влиятельной федерации в суде, например, утечка части досье и то, что некоторые члены комиссии продвинули смысл своего голосования до заседания в среду, в дополнение к обвинениям в предполагаемом вымогательстве. Пока неясно, повлияет ли запутанная процедура обработки персональных и биометрических данных, собранных Fan ID, на позицию Мексики в отношении проведения матчей чемпионата мира 2026 года.