Wifi-tracking y protección de datos.

Lunes, 22 Junio 2020 16:57
Publicado en Blog
Escrito por  Visto 226 veces
Valora este artículo
(6 votos)

Cada vez más, percibimos como algo corriente ser objeto de seguimiento o rastreo mientras navegamos por internet o usamos nuestros dispositivos conectados, con el fin de que diferentes entidades puedan recopilar información acerca de nosotros, y de este modo poder elaborar perfiles, analizar comportamientos, o monetizar la información recopilada, para la posterior realización de acciones de mercadotecnia.

El uso de estos sistemas está más que instaurado desde hace años, y es por ello por lo que, aunque todavía nos genere cierta inquietud la precisión de los anuncios de publicidad en nuestra navegación por internet, la realidad es que ya no sorprende a ningún usuario.

Dentro de los diferentes métodos de seguimiento, tal vez el ámbito más conocido resulte precisamente el de web tracking, como mecanismo de rastreo dirigido a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Sin embargo, hace ya algunos años que, sin necesidad de navegar en la red, podemos ser objeto de seguimiento o rastreo, con el simple hecho de visitar determinados comercios o tiendas físicas, gracias al wifi-tracking.

Aunque se trata de un método que ya fue empleado por alguna empresa estadounidense en el año 2013 (como la cadena de moda Nordstrom, tal y como se hacía eco ese año el propio New York Times), y en España lleva unos años instaurado, es ahora cuando se ha formulado una consulta ante la Agencia Española de Protección de Datos (AEPD), acerca de si este sistema de seguimiento de usuarios se encuentra sujeto al ámbito de aplicación de la normativa en materia de protección de datos. La autoridad de control española se ha pronunciado sobre ello en su Informe Jurídico 0017/2019, que ahora analizamos en esta publicación.

Con carácter previo a profundizar en los fundamentos de la AEPD, consideramos conveniente exponer de forma breve, en qué consiste el Wi-Fi tracking.

El Wi-Fi tracking se refiere a los sistemas capaces de detectar las señales que periódicamente emiten los dispositivos electrónicos equipados con tecnología Wi-Fi y utilizar esta información para conocer de forma estadística o agregada la presencia o los flujos de dispositivos en diferentes localizaciones.

Si en un espacio determinado, como puede ser un comercio, se instalan rastreadores Wi-Fi, estos permitirán recoger y registrar la señal única que cada teléfono envía en la búsqueda de una red Wi-Fi (Dirección MAC), y usar esa información para el seguimiento del cliente a través de una zona para construir un perfil en torno a sus hábitos de compra. Por ejemplo, podría registrarse el tiempo que el dispositivo de un cliente ha esperado en la línea de caja, a qué hora ha entrado y salido, o qué zonas de la tienda ha visitado.

Situado ya el funcionamiento de este método de seguimiento, comenzamos con las cuestiones que la AEPD aborda para dar respuesta a la consulta objeto del Informe:

¿Un sistema de Wi-Fi tracking, implica un tratamiento de datos personales?

Para poder dar respuesta a esta pregunta deben abordarse dos cuestiones: si se encuentran implicados datos personales, y en su caso, si existe un tratamiento de los mismos.

La AEPD da inicio al estudio de estas cuestiones indicando que las mismas ya han sido resueltas por la propia Agencia (Informes 0310/2010; 0060/2011; 0149/2011 y 0175/2015), así como en Dictámenes del Grupo de Trabajo del Artículo 29 (GT29) y, aunque en todos estos documentos se tuvo en consideración la normativa entonces vigente  (Directiva 95/46/CE y Ley Orgánica 15/1999), se trata de criterios que pueden ser extrapolables al contexto normativo en vigor en la actualidad, Reglamento General de Protección de Datos (en adelante RGPD), y Ley Orgánica de Protección de Datos garantía de los derechos digitales.

Entonces, y en base al criterio de la AEPD y el GT29 nos preguntamos ¿la dirección MAC es un dato personal?

El Dictamen 4/2007 del GT29 incide en que la posibilidad de identificar a una persona ya no equivale necesariamente a la capacidad de poder llegar a conocer su nombre y apellidos, puesto que existen otros identificadores que permiten singularizar a alguien.

Además de lo anterior, también recuerda que, la posibilidad de identificación del interesado se trata de una prueba dinámica. Esto quiere decir que es posible que la identificación no sea factible hoy con el conjunto de los medios que puedan ser razonablemente utilizados en la actualidad, pero dependiendo del periodo de vida de la información y el avance tecnológico durante ese tiempo, dicha información adquiera la categoría de datos personales. Por lo tanto, supondría una importante diferencia hablar de un mes o de diez años como plazo máximo de conservación de los datos, ya que la identificación podría llegar a producirse más adelante.

Así, y aproximándonos al caso ahora analizado, se remarca en el citado Dictamen que las direcciones IP dinámicas se configuran como datos sobre una persona identificable, y esta misma opinión se singulariza en relación con los dispositivos de telefonía móvil que permiten la localización del interesado (Dictamen 13/2011). Los dispositivos móviles inteligentes están íntimamente ligados a las personas físicas, y normalmente existe una identificabilidad directa e indirecta. De este modo, la combinación de los números de identificación únicos de un dispositivo, permiten la identificabilidad indirecta.

Atendiendo a que cada dispositivo móvil posee al menos un identificador único, la dirección MAC, y que también pueden existir otros números de identificación únicos o información adicional que pueden facilitar la identificabilidad (información que se genera de la descarga y uso de aplicaciones, geolocalización, etc.), concluye el GT29 que la dirección MAC se considera como un dato personal.

La AEPD, por su parte, remitiéndose a los Informes ya citados en esta publicación, mantiene que la información tratada a través del sistema de Wi-Fi tracking solamente podría estar exenta de cumplir con la legislación de protección de datos, en el supuesto de realizar un proceso de anonimización tal, que resultase irreversible conocer qué datos se ocultan bajo el número aleatorio asignado a cada usuario.

Debemos recordar que el propio RGPD recoge en sus Considerandos 26 y 28 la distinción entre la no aplicación de la normativa a la información previamente anonimizada versus la aplicación de la normativa a los datos personales seudonimizados.

En la consulta objeto de análisis por parte de la AEPD, la propia entidad consultante manifiesta que únicamente someterá los datos recabados a un proceso de seudonimización, y sobre ellos adoptará otra serie de medidas técnicas y organizativas, en aras de disminuir los riesgos de intromisión ilegítima en la privacidad. En consecuencia, al tratar información seudonimizada debe entenderse la existencia de un tratamiento de datos personales.

Determinada la aplicación de la normativa al tratamiento de datos personales que se realiza mediante el sistema WiFi-tracking, la AEPD continúa su Informe con una exposición de los principios y medidas que deben aplicarse en aras de garantizar el cumplimiento de la normativa en materia de protección de datos.

Proporcionalidad de la medida. Siendo el derecho a la protección de datos un derecho fundamental, antes de adoptar una medida restrictiva de este derecho, como puede ser el tratamiento de datos en el WiFi-tracking, debe analizarse la proporcionalidad de dicha medida. Para ello, ha de tenerse muy en cuenta el principio de minimización de datos, art. 5.1.c) RGPD), en aras de tratar datos que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines que se persiguen.

¿Considera la AEPD proporcionado este tratamiento? Sin dar respuesta exacta a esta cuestión, deja en manos de las figuras intervinientes en el tratamiento, garantizar el cumplimiento de la normativa y los principios que rigen la misma, debiendo tener en especial consideración la protección de datos desde el diseño y por defecto y el principio de responsabilidad proactiva o accountability.

Licitud del tratamiento. La AEPD parte de la premisa general de que el tratamiento de datos de localización requiere del consentimiento previo del afectado, por tratarse de un asunto especialmente sensible, toda vez que se refiere a la libre circulación de las personas, y así se contempla en el art. 48.2.c) de la Ley General de Telecomunicaciones (aunque no resulte de aplicación al caso estudiado), y en el propio RGPD. Sin embargo, la base jurídica que se tiene en consideración y analiza para el caso concreto es el interés legítimo (art. 6.1.f) RGPD).

A este respecto, y atendiendo al Dictamen 6/2014 del GT29, es necesaria una evaluación meticulosa por parte del responsable del tratamiento en el marco del juicio de proporcionalidad (prueba de sopesamiento), en la que deberán considerarse los siguientes factores:

  • La naturaleza y la fuente del interés legítimo.
  • La repercusión para el interesado.
  • Las garantías adicionales que podrían limitar un impacto indebido sobre el interesado.

A estos factores, debe añadirse lo previsto en la Opinión 7/2015 del Supervisor Europeo de Protección de Datos, al considerar como una buena práctica para acudir al interés legítimo, el dar a los interesados la opción de op-out a la recogida de sus datos.

En atención a lo expuesto acerca de la legitimación del tratamiento, la AEPD concluye enunciando que no le corresponde pronunciarse sobre la licitud de esta, y recuerda una vez más la necesidad de que los responsables del tratamiento valoren la existencia de garantías que permitan garantizar los derechos y libertades de los interesados.

Sin embargo, sí que enuncia una serie de criterios generales, que los responsables del tratamiento deberán tener en consideración:

  • Adoptar medidas que garanticen la anonimización temprana de los datos.
  • Valorar el ámbito en el que se realiza el WiFi-tracking, atendiendo a la existencia de una relación comercial, y evitar, en todo caso, su empleo en la vía pública.
  • Limitar y acotar las zonas en las que se realiza, evitando un control de los movimientos en zonas muy amplias, y en aquellas que puedan suponer una injerencia excesiva en la privacidad de la persona, como en los aseos.
  • Contar con el consentimiento de los afectados para su uso en aquellas zonas en que se puedan revelar categorías especiales de datos, como las de productos relacionados con la salud.
  • No cruzar los datos de geolocalización con otros datos procedentes de otras fuentes (pagos con tarjeta de crédito o imágenes de los sistemas de videovigilancia, etc.).
  • El almacenaje y posteriores operaciones de tratamiento de la posición han de limitarse a señalar las áreas indicadas como de interés de mercadotecnia por el responsable.
  • No se deberá utilizar en el servidor para los datos recogidos de un interesado en los locales de distintos responsables.
  • No asignar el mismo identificador a un mismo interesado en las distintas visitas que realice en el tiempo al mismo local.
  • No condicionar el acceso a la WiFi del responsable al consentimiento en el tratamiento de datos del interesado.
  • Permitir a los interesados ejercer la opción de opt-out a la recogida de sus datos.
  • Garantizar que los interesados tengan pleno conocimiento de que se está procediendo al tratamiento de sus datos personales, así como de su derecho a oponerse.

Principio de información. Sin perjuicio de todo lo anterior, habrá que garantizar en todo caso el cumplimiento del principio de información. Para ello, los propios responsables manifiestan en su consulta, optar por los sistemas recogidos en las Directrices WP260 del GT29, sobre transparencia en el RGPD: alertas de voz, detalles por escrito, paneles visibles con información, señalización pública, etc. En cualquier caso, la AEPD insiste en que será necesario garantizar el acceso a una capa informativa adicional.

Privacy by design. Para concluir, se recoge en el Informe un apartado fundamental, dedicado a destacar el principio de responsabilidad proactiva, directamente relacionado con el principio de protección de datos desde el diseño y por defecto (art. 25 RGPD).

¿Qué obligaciones derivan de estos principios? Para el adecuado cumplimiento de dichos principios, responsables y encargados disponen de ciertos instrumentos en el RGPD, que han de utilizar para valorar el riesgo que pueda implicar el tratamiento, y así adoptar las medidas que procedan, siendo estos el Análisis de riesgos y la Evaluación de Impacto. Destacar únicamente a este respecto, que la AEPD considera que, si bien la realización de la Evaluación de Impacto en materia de protección de datos corresponde al responsable del tratamiento, en el supuesto analizado debería ser proporcionada a este por el desarrollador de la aplicación, quien, en el desarrollo y diseño de dichos productos, debería haberse asegurado de cumplir los principios de protección desde el diseño y por defecto.

En definitiva, el WiFi-tracking se trata de un método de seguimiento que vuelve a poner en riesgo la garantía del derecho a la protección de datos, si no se aplican y cumplen de forma escrupulosa los principios básicos de la regulación que protege este derecho fundamental. Se suma así a otras tecnologías analizadas recientemente en este blog (tecnología 5G, sistemas de videovigilancia con reconocimiento facial, que buscan de forma incansable aprovechar y explotar un bien tan preciado como son los datos personales.

Inicia sesión para enviar comentarios

Modificado por última vez en Martes, 23 Junio 2020 10:13

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal