Se publican por parte de las autoridades de control de protección de datos españolas unas orientaciones para tratamientos que incorporen tecnologías de seguimiento Wi-Fi. Su uso plantea riesgos para la privacidad de las personas, ya que podrían permitir su rastreo y localización sin que estas lleguen a ser conscientes y sin una base legal adecuada para ello. Para conocer las recomendaciones de uso de estas tecnologías indicadas por las autoridades, accede al artículo.
El pasado mes de mayo, la Agencia Española de Protección de Datos (AEPD), la Autoritat Catalana de Protecció de Dades (APDCAT), el Consejo de Transparencia y Protección de Datos de Andalucía y la Autoridad Vasca de Protección de Datos publicaron conjuntamente un nuevo documento sobre “Tecnologías de Seguimiento Wi-fi: Orientaciones para responsables del tratamiento”.
El documento proporciona una guía detallada sobre la tecnología de seguimiento Wi-Fi (o Wi-fi Tracking), una práctica que permite identificar y rastrear dispositivos móviles a través de las señales Wi-Fi que emiten.
Esta tecnología se utiliza ampliamente en la estimación de aforos, el análisis de flujos de personas y la medición de tiempos de permanencia en áreas específicas. Sus aplicaciones prácticas son diversas y abarcan desde centros comerciales y museos hasta áreas públicas y grandes eventos. No obstante, el uso del Wi-Fi tracking plantea serios riesgos para la privacidad, ya que permite el seguimiento de los movimientos de las personas (datos de localización) sin su conocimiento y muchas veces sin una base jurídica adecuada.
En este contexto, los responsables del tratamiento se pueden cuestionar de si el Wi-Fi tracking, por defecto, siempre trata datos personales y, en consecuencia, aplica la normativa del Reglamento General de Protección de Datos Personales (RGPD). En este punto, las citadas Autoridades indican que en sí misma la tecnología Wi-Fi tracking no es un tratamiento de datos personales, pero, en su caso, podría formar parte de él. En particular, cuando nos encontramos con un proceso de datos tipo “fingerprinting” o huella digital en el contexto del Wi-Fi tracking, ello puede suponer de acuerdo con lo establecido en el RGPD, un tratamiento de datos personales.
Se entiende como huella digital el “conjunto de elementos de información que identifica un dispositivo o instancia de aplicación”, esto es, cualquier información que pueda ser empleada para individualizar, vincular o inferir a un usuario o dispositivo a lo largo del tiempo. Por tanto, la huella digital proporciona la capacidad de distinguir un dispositivo de otro y podría utilizarse para rastrear la ubicación o el comportamiento de un usuario en el tiempo, incluso si no se cuenta con una identificación directa o expresa de la persona.
Dependiendo de las características de la huella digital, el uso de Wi-Fi tracking puede suponer un tratamiento de datos personales, en ocasiones no solo desconocido por el usuario del terminal, sino también por el propio responsable del tratamiento, en la medida que entienda que no se trata de un dato personal, lo que puede ser erróneo. Según estas Orientaciones, la huella digital de los Wi-Fi tracking, permiten identificar dispositivos de manera continua, superando las medidas de anonimización (como la aleatorización de direcciones MAC). A su vez, el teléfono móvil, convertido en un elemento inseparable para muchas personas, actúa como un vínculo directo con su usuario, generando una identificabilidad tanto directa como indirecta.
Por otro lado, los datos de localización captados por la individualización de un dispositivo determinando y su posición a lo largo del tiempo, representan una tipología de datos personales de alto riesgo para la privacidad de las personas, pues pueden ser datos suficientes por si solos o en combinación con otros para la identificación de personas, y el responsable del tratamiento debería considerarlo tratamiento de datos personales.
Algunos ejemplos de tratamientos de datos personales con uso de tecnología de seguimiento Wi-Fi, podrían ser, entre otros:
- Análisis del flujo de personas en instalaciones privadas para optimizar el diseño del espacio físico o de la dotación de personal.
- Gestión de multitudes en lugares de acceso público: aeropuertos, transporte público, estadios, vías públicas etc., para controlar aforos máximos, gestionar el tráfico de personas, optimizar rutas o proporcionar información en tiempo real, mejorando la seguridad y la comodidad.
- Marketing y publicidad dirigida, para enviar promociones o anuncios a los dispositivos de los usuarios cuando acceden o se acercan a una ubicación específica, o en función del comportamiento o patrones de movimiento.
- Obtener los recorridos habituales entre estancias de un museo necesitará singularizar a los individuos como mínimo durante determinados periodos de tiempo y antes de anonimizar los datos para determinar, por ejemplo, el orden de visita de las estancias de cada individuo o un mapa de calor de los espacios más transitados.
Adicionalmente, estas orientaciones analizan tanto las implicaciones técnicas como legales, identificando los principales riesgos asociados y ofreciendo recomendaciones concretas para mitigar estos riesgos.
Una de las recomendaciones clave para proteger la privacidad es la anonimización temprana de los datos, es decir, anonimizar justo después de la recogida de los datos. La anonimización consiste en transformar los datos de manera que no puedan ser vinculados a individuos específicos, por ejemplo, el enmascaramiento de direcciones MAC, la desvinculación de datos y la agregación de información. También se deja claro que la anonimización es un tratamiento de datos personales que genera, a partir de un conjunto de datos personales, un nuevo conjunto de información anónima. Por tanto, en todo caso desde que se recopilan los datos hasta que se anonimizan hay siempre una fase en la que hay un tratamiento de datos personales.
Asimismo, en toda anonimización de datos existe cierta probabilidad de que se produzca una reidentificación de los interesados.
Otra medida importante es la minimización de datos, que implica recolectar solo la información estrictamente necesaria para el propósito previsto y eliminarla una vez que ya no sea necesaria.
En la utilización de Wi-Fi Tracking es esencial llevar a cabo evaluaciones de impacto relativas a la protección de datos (EIPD) para identificar y gestionar los riesgos antes de implementar la tecnología, identificando medidas para garantizar que el tratamiento de datos personales se realice de manera legal y segura, protegiendo los derechos y libertades de las personas.
La transparencia es otro aspecto crucial en el uso de tecnologías Wi-Fi Tracking. Los responsables del tratamiento deben informar claramente a los individuos sobre la recolección y el uso de sus datos. Por ejemplo, mediante información por capas, que ofrece detalles básicos en un primer nivel y proporciona información más detallada a quienes deseen profundizar.
En conclusión, las tecnologías Wi-Fi Tracking presentan oportunidades significativas para mejorar la gestión de espacios públicos y privados mediante el análisis de flujos de personas y patrones de comportamiento. Sin embargo, su uso debe equilibrarse cuidadosamente con la necesidad de proteger la privacidad de los individuos. La anonimización temprana de datos es una herramienta vital en este proceso, ya que permite utilizar los beneficios de la tecnología sin comprometer la privacidad. Así, los responsables del tratamiento deben asegurar que cualquier uso de tecnologías de Wi-Fi Tranking, en el caso de utilizar datos que puedan llegar a identificar a una persona física, cumpla con las normativas de protección de datos y respete los derechos de las personas.
El equipo de Tech&Data de Fieldfisher, asesoramos a entidades públicas y privadas en la implementación de medidas técnicas y organizativas adecuadas al uso de estas tecnologías, que junto con la implementación de acciones de comunicación transparentes y efectivas, pueden garantizar la protección de la privacidad de las personas y fomentar la confianza del público en el uso de estas tecnologías.