RESUMEN DE LA GUÍA “TECNOLOGÍAS DE SEGUIMIENTO WIFI: ORIENTACIONES PARA RESPONSABLES DEL TRATAMIENTO”
PUBLICADA POR LAS AUTORIDADES DE CONTROL ESPAÑOLAS
TECNOLOGÍAS DE SEGUIMIENTO WIFI, UN POSIBLE TRATAMIENTO DE DATOS PERSONALES
En la guía “Tecnologías de seguimiento wifi: orientaciones para responsables del tratamiento”, las autoridades de control españolas (AEPD, APDCAT, AVPD y CTPDA) analizan las implicaciones de dichas tecnologías, identifican los principales riesgos y ofrecen una serie de recomendaciones para un uso responsable y compatible con la normativa de protección de datos.
El seguimiento wifi o wifi Tracking es una tecnología que permite identificar y rastrear dispositivos móviles a través de las señales wifi que estos emiten, detectando la presencia del dispositivo en una zona específica e identificando patrones de movimiento. Pueden encontrarse aplicaciones prácticas en centros comerciales, museos, centros de trabajo, áreas públicas, transportes o grandes eventos, empleándose para la estimación de aforos, el análisis de flujos de personas o la medición de tiempos de permanencia.
Las autoridades de protección de datos exponen que el uso de esta tecnología puede suponer un tratamiento de datos personales y, por tanto, deben someterse al conjunto de principios, derechos y obligaciones establecidos en el Reglamento General de Protección de Datos (RGPD). Además, su uso plantea serios riesgos para la privacidad, ya que podría permitir el seguimiento de los movimientos de las personas sin que estas sean conscientes de ello y sin una base legal apropiada.
BASES JURÍDICAS QUE PUEDEN LEGITIMAR ESTOS TRATAMIENTOS
En las orientaciones, las autoridades de control analizan todas las bases jurídicas del art. 6.1 RGPD determinando al respecto, y sobre cada una de ellas:
Consentimiento (art. 6.1.a RGPD): la mayoría de las técnicas de wifi tracking operan sin necesidad de que el dispositivo esté conectado a la red wifi y sin el conocimiento de la persona propietaria del mismo. Por ello, resultaría materialmente imposible solicitar el consentimiento al interesado y, por tanto, debería en principio descartarse como una base legitimadora, salvo en algún escenario concreto, donde el usuario realizara la conexión a la red wifi de forma voluntaria, y tras dicha conexión se le informara y solicitara el consentimiento para tratar sus datos mediante wifi tracking.
Contrato (art. 6.1.b RGPD): solo si el tratamiento de datos estuviera relacionado con la prestación de un servicio específico en el contexto de wifi tracking. En ese caso sería esencial poder demostrar que el tratamiento es necesario para cumplir con las obligaciones contractuales, lo que no será habitual, salvo en ciertos casos de servicios de geolocalización solicitados por el usuario.
Obligación legal (art. 6.1.c RGPD): sólo sería aplicable cuando existiese una obligación legal que exigiese al responsable el cumplimiento de una finalidad para la que sea necesario el empleo de las técnicas de wifi tracking. Adicionalmente, de conformidad con la LOPDGDD, dicha obligación tendría que estar prevista en una ley, que debe ser clara y precisa y su aplicación previsible para sus destinatarios, incluyendo las medidas para garantizar un tratamiento lícito y equitativo y proporcional al fin legítimo perseguido.
Interés vital (art. 6.1.d RGPD): el tratamiento de datos personales en el contexto de wifi tracking difícilmente podría justificarse por esta razón, sin embargo, no puede descartarse por completo su aplicación en situaciones en las que los intereses vitales estuvieran realmente en peligro, tales como emergencias, auxilio o búsqueda y rescate de personas desaparecidas lo que requeriría de un riguroso análisis del caso concreto que justificara su aplicación.
Interés público (art. 6.1.e RGPD): el responsable del tratamiento deberá identificar la norma con rango de ley que le atribuya una competencia concreta en la que pueda demostrar que dicho tratamiento mediante wifi tracking es necesario para realizar una misión de interés público o para ejercer poderes públicos; dicha ley debe ser clara y precisa y su aplicación previsible para sus destinatarios, incluyendo las medidas para garantizar un tratamiento lícito y equitativo, cumpliendo un objetivo de interés público y proporcional al fin legítimo perseguido.
Dado que no existe legislación expresa al respecto, sería recomendable el desarrollo de medidas legislativas, que contemplasen y regulasen este tipo de tratamientos.
Debe tenerse en cuenta que la actuación de la Administración se centrará principalmente en espacios públicos y que las personas tienen una legítima expectativa a disfrutar de libertad de movimiento sin ser monitorizados. En estos escenarios la intromisión sobre la privacidad de las personas puede ser muy alta si no se extreman las garantías por parte del responsable del tratamiento.
Interés legítimo (art. 6.1.f RGPD): en el sector privado y siempre que sea necesario para la satisfacción de dichos intereses y no prevalezcan los intereses o los derechos y libertades de los interesados, teniendo en cuenta las expectativas razonables de los mismos. En todo caso, se requiere una evaluación meticulosa de si puede llevarse a cabo el tratamiento, prueba de sopesamiento, inclusive si un interesado puede preverlo de forma razonable en el momento y en el contexto de la recogida de datos personales. Corresponde al responsable la acreditación de la prueba de “sopesamiento”.
El considerando 47 del RGPD, indica que, a los efectos del interés legítimo, “los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior” y, en el caso del wifi tracking, la captación de datos, en muchas ocasiones es ajena al conocimiento del titular del terminal.
Solo en los casos en que, como resultado de la ponderación efectuada, no prevalezcan los intereses y los derechos fundamentales de los afectados, podrá llevarse a cabo el tratamiento de datos personales justificado en un interés legítimo, lo que además exigiría que se incorporasen al tratamiento las salvaguardas, garantías y medidas técnicas y organizativas, incluyendo las relativas a la seguridad de la información, que resultaren necesarias para proteger los datos personales tratados.
RIESGOS Y OBLIGACIÓN DE LLEVAR A CABO UNA EIPD
Las autoridades consideran que, dados los factores y elementos de riesgo inherentes, en general, se cumplen las condiciones para que antes de llevar a cabo el tratamiento sea obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD). De hecho, teniendo en cuenta los factores de riesgo, recomiendan realizarla incluso cuando el responsable del tratamiento pueda no tener clara su obligatoriedad. Además, para utilizar estas tecnologías es necesario intensificar el cumplimiento del principio de transparencia a través de una información clara y accesible, como paneles visibles con información, señalización pública, alertas de voz o campañas de información, entre otros.
MEDIDAS TÉCNICAS Y ORGANIZATIVAS APROPIADAS
Las orientaciones también incluyen un listado de medidas a implementar si se superan todos los requisitos de cumplimiento de los principios del RGPD, destacando, entre otras, anonimizar y agregar justo después de la recogida de datos, limitar el ámbito en el que se realiza el seguimiento wifi, no asignar el mismo identificador a un dispositivo móvil en las distintas visitas que realice al mismo lugar, implementar medidas de seguridad adaptadas al nivel de riesgo y sometidas a revisiones continuas o realizar auditorías independientes.
TRANSPARENCIA E INFORMACIÓN
Al considerarse que el uso de la tecnología wifi tracking puede suponer un tratamiento de datos personales, ya que se recoge información como resultado de la comunicación entre un terminal (teléfono móvil o cualquier otro dispositivo) de una persona física y una red wifi con el fin de generar una huella digital del dispositivo que lo diferencie del resto de terminales, el responsable y el encargado del tratamiento deberán respetar los principios y derechos recogidos en el RGPD.
Entre esos principios, el artículo 5.1 a) del RGPD reconoce el principio de transparencia conjuntamente con los principios de licitud y lealtad. La particularidad que implica que este tratamiento pueda pasar inadvertido a las personas titulares de los terminales hace más necesario aún el cumplimiento del principio de transparencia a través de una información clara y accesible, que incluya todo el contenido exigido por el art. 13 RGPD, que conforme al art. 11 LOPDGDD puede facilitarse por el sistema de capas.
EJERCICIO DE LOS DERECHOS
Cuando el responsable del tratamiento haya llevado a cabo un proceso de anonimización de los datos personales tratados y sea capaz de demostrar que no está en condiciones de identificar al interesado. Los artículos 15 a 20 del RGPD no serán de aplicación (art. 11 RGPD) al tratarse de datos anonimizados, pero sí se aplicarán a los datos personales que el responsable esté tratando en las fases del tratamiento previas a su anonimización.
El responsable del tratamiento estará obligado a informar a la persona afectada sobre los medios a su disposición para ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD. Dichos medios deberán ser fácilmente accesibles para la persona afectada. El responsable debe establecer mecanismos visibles, accesibles y sencillos, incluidos medios electrónicos, para el ejercicio de derechos.
Estos mecanismos, en particular, cuando se trate del ejercicio por medios electrónicos, deben incorporar procedimientos para verificar la identidad de las personas afectadas que los utilizan, así como de la recepción del ejercicio del correspondiente derecho, y su oportuna contestación.
REGLAMENTO DE INTELIGENCIA ARTIFICIAL
Dada la situación tecnológica actual, es posible que se realicen tratamientos de datos personales en los que se combine el uso de la tecnología wifi tracking y sistemas de inteligencia artificial (IA). Este tipo de tratamientos de datos personales está sujeto al sistema de principios, obligaciones para los responsables y derechos para los interesados que establece el RGPD. Adicionalmente, el uso de determinados sistemas de IA se encontrará regulado por el Reglamento de Inteligencia Artificial (RIA), que en el momento de la publicación de esta Guía aún no ha sido publicado.
Desde la perspectiva de la protección de datos personales, el RIA no tiene por objeto afectar a la aplicación del derecho fundamental a la protección de datos. El RIA es complementario al RGPD y se aplicará sin perjuicio del mismo con el propósito de permitir que responsables y encargados estén en condiciones de cumplir sus obligaciones en materia de protección de datos cuando incorporan sistemas de IA en sus tratamientos (cdo. 78 RGPD) para implementar la protección de datos desde el diseño del tratamiento.
En este sentido, como ejemplo, cuando partiendo de los datos obtenidos mediante la tecnología wifi tracking como información de entrada, se implementen decisiones que produzcan efectos jurídicos a una persona o le afecten significativamente mediante sistemas de inteligencia artificial (con independencia del tipo que sean) basadas únicamente en el tratamiento automatizado de datos personales, se aplicará lo ya previsto en el RGPD (art. 13,14,15 y 22 y cdo. 71 RGPD).
Además, para este supuesto, en el caso concreto de que el sistema de inteligencia artificial en el que se basa la decisión fuese de alto riesgo de acuerdo con el RIA, de manera complementaria a los derechos contemplados en el RGPD, cuando la persona considerase que la decisión tiene un impacto adverso sobre su salud, seguridad o sus derechos fundamentales, será de aplicación lo previsto en la Regulación de IA en relación a que la persona afectada pueda tener derecho a recibir explicaciones claras y significativas sobre el papel del sistema de inteligencia artificial en el procedimiento de toma de decisiones y los principales elementos de la decisión adoptada.