Lunes, 22 Junio 2020 16:57

Wifi-tracking y protección de datos.

Cada vez más, percibimos como algo corriente ser objeto de seguimiento o rastreo mientras navegamos por internet o usamos nuestros dispositivos conectados, con el fin de que diferentes entidades puedan recopilar información acerca de nosotros, y de este modo poder elaborar perfiles, analizar comportamientos, o monetizar la información recopilada, para la posterior realización de acciones de mercadotecnia.

El uso de estos sistemas está más que instaurado desde hace años, y es por ello por lo que, aunque todavía nos genere cierta inquietud la precisión de los anuncios de publicidad en nuestra navegación por internet, la realidad es que ya no sorprende a ningún usuario.

Dentro de los diferentes métodos de seguimiento, tal vez el ámbito más conocido resulte precisamente el de web tracking, como mecanismo de rastreo dirigido a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Sin embargo, hace ya algunos años que, sin necesidad de navegar en la red, podemos ser objeto de seguimiento o rastreo, con el simple hecho de visitar determinados comercios o tiendas físicas, gracias al wifi-tracking.

Aunque se trata de un método que ya fue empleado por alguna empresa estadounidense en el año 2013 (como la cadena de moda Nordstrom, tal y como se hacía eco ese año el propio New York Times), y en España lleva unos años instaurado, es ahora cuando se ha formulado una consulta ante la Agencia Española de Protección de Datos (AEPD), acerca de si este sistema de seguimiento de usuarios se encuentra sujeto al ámbito de aplicación de la normativa en materia de protección de datos. La autoridad de control española se ha pronunciado sobre ello en su Informe Jurídico 0017/2019, que ahora analizamos en esta publicación.

Con carácter previo a profundizar en los fundamentos de la AEPD, consideramos conveniente exponer de forma breve, en qué consiste el Wi-Fi tracking.

El Wi-Fi tracking se refiere a los sistemas capaces de detectar las señales que periódicamente emiten los dispositivos electrónicos equipados con tecnología Wi-Fi y utilizar esta información para conocer de forma estadística o agregada la presencia o los flujos de dispositivos en diferentes localizaciones.

Si en un espacio determinado, como puede ser un comercio, se instalan rastreadores Wi-Fi, estos permitirán recoger y registrar la señal única que cada teléfono envía en la búsqueda de una red Wi-Fi (Dirección MAC), y usar esa información para el seguimiento del cliente a través de una zona para construir un perfil en torno a sus hábitos de compra. Por ejemplo, podría registrarse el tiempo que el dispositivo de un cliente ha esperado en la línea de caja, a qué hora ha entrado y salido, o qué zonas de la tienda ha visitado.

Situado ya el funcionamiento de este método de seguimiento, comenzamos con las cuestiones que la AEPD aborda para dar respuesta a la consulta objeto del Informe:

¿Un sistema de Wi-Fi tracking, implica un tratamiento de datos personales?

Publicado en Blog

En los tiempos que corren es difícil no ser conocedor de la existencia de las aplicaciones de citas, las cuales, sin lugar a duda, están revolucionando el entorno digital, así como la manera de relacionarnos entre los seres humanos.

A tenor de la reciente noticia, relativa a la publicación de miles de fotografías de los usuarios de la aplicación Tinder en diversos foros de internet, en el presente artículo, en el que tomaremos como base el Informe “OUT OF CONTROL: How consumers are exploited by the online advertising industry” (FUERA DE CONTROL: Cómo los consumidores son explotados por la industria de la publicidad online”, disponible en inglés) elaborado por el Consejo de Consumidores de Noruega, así como las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo del Artículo 29 (“GT29”, y actual Comité Europeo de Protección de Datos), analizaremos cómo Tinder,  una de las aplicaciones más populares de citas y encuentros, que cuenta con más de 100 millones de descargas, estaría vulnerando algunas de las exigencias y principios en materia de protección de datos que recoge el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Además, trataremos de explicar cómo debe proceder la industria de las “apps”, para cumplir con la normativa vigente en esta materia.  

Procedemos a dividir el presente análisis de la aplicación Tinder en los siguientes apartados:

  1. Elaboración de perfiles que realiza la aplicación a sus usuarios.
  2. Legitimación del tratamiento de los datos de sus usuarios.
  3. Principios de la normativa en materia de protección de datos.

ELABORACIÓN DE PERFILES

La aplicación de citas y encuentros Tinder realiza perfilado de sus usuarios mediante diferentes medios de tecnología publicitaria, con el fin de mostrarles publicidad dirigida y personalizada, procediendo a una previa categorización de los mismos.

El artículo 4.4 RGPD define el concepto de elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

 Asimismo, el Reglamento faculta a toda persona física a oponerse a este tratamiento automatizado de sus datos, indicando en su artículo 22.1 que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

Con carácter general, el interesado tiene derecho a no ser objetivo de decisiones basadas en tratamientos automatizados, donde encontramos la elaboración de perfiles, siempre y cuando no concurran las excepciones recogidas en el artículo 22.2 RGPD:

  • Ejecución de un contrato.
  • Autorizado por el Derechos de la Unión o de los Estados Miembros de la UE.
  • Consentimiento explícito del interesado.

Del contenido de la Política de Privacidad de Tinder, que en los siguientes puntos también analizaremos, no podemos considerar que se indique de manera clara, cuál de las excepciones previstas en el artículo 22.2 RGPD, aplica Tinder para realizar perfilado de sus usuarios.

LEGITIMACIÓN DEL TRATAMIENTO

La política de privacidad de la aplicación establece que las bases legitimadoras del tratamiento de los datos que la aplicación recaba de sus usuarios son los siguientes:

  1. Consentimiento: con el fin de utilizar la información de los usuarios para razones específicas (no se detallan más cuestiones al respecto). También se da la opción al usuario de retirar el consentimiento en el momento que así desee.
  2. Interés legítimo: a la hora de analizar el comportamiento de sus usuarios sobre sus servicios para sugerirles y mejorarles ofertas que les puedan ser de su interés.

En relación con el consentimiento podemos observar que la aplicación Tinder no estaría cumpliendo con las exigencias dispuestas en la normativa a tal efecto, las cuales, tal y como señala el artículo 4 apartado 11 RGPD, deberá ser en todo caso una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa”, el tratamiento de sus datos. Igualmente, en el considerando 32 se establece la obligación de dar el consentimiento para cada uno de los fines del tratamiento, cuestión que podemos comprobar que no se realiza, al ser cada una de las filiales responsables en el tratamiento de los datos que recaban, y no otorgarse consentimiento para dichas cesiones de datos. 

En la propia política de privacidad de Tinder, se indica que la aplicación compartirá “cierta información de los usuarios con proveedores de servicios y socios que nos asisten en la operación de nuestros servicios, como otras compañías de Match Group y, en algunos casos, con las autoridades legales.” Podemos inferir, por tanto, que la empresa podrá ceder sus datos a más de las 45 empresas pertenecientes a Match Group, compañía que pertenece y opera con datos de sitios web, entre los que se encuentra la citada aplicación.

Publicado en Blog

El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l'informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.

Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.

En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única

El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.

En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:

- Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
- Tratará el asunto la autoridad de control que le haya informado.

En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.

Publicado en Blog

Con el artículo de hoy ponemos fin a la serie dedicada a los derechos del interesado, que tal y como decíamos siete artículos atrás vienen recogidos en el capítulo III del RGPD.

En relación al derecho de oposición el artículo 21 del RDLOPD indica que el interesado tiene derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular, incluso en los casos en que tales datos se estén tratando de forma lícita, ya sea:

1. Porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público.

2. Para el ejercicio de poderes públicos conferidos al responsable del tratamiento.

3. Por motivos de intereses legítimos del responsable o de un tercero.

En estos casos, el RGPD obliga al responsable a demostrar que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.

Por otro lado y respecto de los tratamientos realizados con una finalidad de marketing directo, tal y como está regulado actualmente, en el RGPD el afectado tiene derecho a oponerse a ese tratamiento y en consecuencia los datos dejarán de ser tratados para dichos fines, y así deberá comunicarse explícitamente al interesado.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal