La Agencia Española de Protección de Datos, junto con las autoridades autonómicas de protección de datos de Cataluña, País Vasco y Andalucía, han elaborado unas orientaciones sobre Protección de Datos y Tecnologías Wi-Fi.
Las orientaciones, denominadas “tratamientos que incorporen tecnología de seguimiento Wi-Fi o Wi-Fi tracking”, analizan las implicaciones del uso de la tecnología wifi sobre los datos personales, identifican los principales riesgos y ofrecen recomendaciones para su uso responsable y conforme a Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).
Protección de Datos y Tecnologías Wi-Fi
El seguimiento Wi-Fi permite rastrear e identificar dispositivos móviles a través de las señales Wi-Fi que emiten. Esta tecnología detecta la presencia de un dispositivo en una zona específica e identifica patrones de movimiento.
El Wi-Fi tracking tiene aplicaciones prácticas en áreas públicas, centros comerciales, centros de trabajo, museos, grandes eventos y transportes, donde se usa para analizar flujos de personas, estimar aforos y medir tiempos de permanencia.
Estas aplicaciones plantean riesgos para la privacidad dado que permiten el seguimiento de los movimientos de las personas sin una base jurídica adecuada, sin que ellas lo sepan ni den su consentimiento.
Muchos usos del Wi-Fi tracking implican la recogida y tratamiento de datos personales, por lo que deben cumplir con los principios, derechos y obligaciones establecidos en el RGPD.
Bases legitimadoras del tratamiento
Todo tratamiento de datos personales debe respetar los principios regulados en el artículo 5 del RGPD y cumplir con alguna de las condiciones de licitud del tratamiento previstas en su artículo 6. Esto se aplica al Wi-Fi tracking cuando el responsable del tratamiento elige una opción tecnológica que lo permita.
El tratamiento de datos debe ser leal y transparente. Es decir, las personas deben saber qué datos se tratan y cómo se tratan mediante Wi-Fi tracking. Además, esta información debe ser fácil de entender y accesible.
Los fines del tratamiento mediante Wi-Fi tracking deben ser explícitos, legítimos y comunicados a las personas interesadas en el momento de la recogida de sus datos.
Es fundamental asegurarse de que el tratamiento de datos se ajusta a las finalidades establecidas y comunicadas a las personas interesadas, los datos recogidos para una finalidad concreta mediante Wi-Fi tracking no pueden usarse para una finalidad posterior incompatible.
Por ejemplo, si se tratan los datos Wifi para optimizar la ubicación física de productos en un local comercial, basado en un interés legítimo del responsable, sería difícil justificar que las personas reciban notificaciones de ofertas comerciales.
Es esencial que los datos personales tratados sean pertinentes, adecuados y limitados a lo estrictamente necesario para su finalidad. Si es posible alcanzar la finalidad con una técnica menos intrusiva que el Wi-Fi tracking, se debe usar esa técnica.
Los datos deben tratarse en sus categorías, frecuencia y granularidad de forma estrictamente necesaria, y su plazo de conservación debe ser el mínimo indispensable, procediendo a su anonimización efectiva o eliminación cuando ya no se necesiten.
También se debe cumplir el principio de exactitud, suprimiendo o rectificando los datos inexactos, y garantizar la confidencialidad y seguridad de los datos personales.
El responsable del tratamiento debe cumplir con los principios relativos del tratamiento y ser capaz de demostrarlo, asegurándose de que el tratamiento cumple con alguna de las condiciones de licitud del artículo 6.1 del RGPD. Es importante recordar que los datos personales solo deben tratarse si la finalidad del tratamiento no puede lograrse razonablemente por otros medios, antes de considerar cualquier condición de licitud
Según el principio de responsabilidad proactiva (artículo 5.2 del RGPD) la base legitimadora aplicable a cada tratamiento requiere un análisis teniendo en cuenta la naturaleza, contexto, ámbito y fines del tratamiento.
Protección de Datos y Tecnologías Wi-Fi: EIPD
Teniendo en cuenta los factores y elementos de riesgo inherentes al uso de tecnologías Wifi, generalmente se cumplen las condiciones para que sea necesario realizar una EIPD o Evaluación de Impacto en la Protección de Datos antes de llevar a cabo el tratamiento Wi-Fi tracking.
Ante el uso de tecnologías Wi-Fi tracking se recomienda realizar una EIPD incluso cuando el responsable del tratamiento no tenga clara su obligatoriedad.
Para utilizar estas tecnologías es necesario reforzar el cumplimiento del principio de transparencia mediante información clara y accesible, por ejemplo, mediante señalización pública, paneles visibles, campañas de información o alertas de voz.
Riesgos para los derechos y libertades de las personas físicas
El responsable del tratamiento tiene la obligación de gestionar los riesgos derivados del tratamiento de datos personales que supongan un riesgo para los derechos y libertades de las personas, teniendo en cuenta el ámbito, la naturaleza, el contexto y los fines del tratamiento.
Cualquier organización que decida de poner en marcha el uso de Wi-Fi tracking deberá gestionar los riesgos para las personas que se verán afectadas por el tratamiento de datos personales.
La gestión de riesgos debe hacerse considerando el tratamiento de datos personales en su conjunto. Un mero análisis aislado de los posibles riesgos de la tecnología Wi-Fi tracking no tendría sentido y sería insuficiente conforme al RGPD.
Hay que tener en cuenta que el Wi-Fi tracking es un medio que puede utilizarse en tratamientos de diversa complejidad que impliquen el uso combinado de otras tecnologías (blockchain, nube, IOT, IA, etc.).
Protección de datos y tecnologías Wi-Fi: medidas a implementar
Si se cumplen todos los requisitos del RGPD, las medidas recomendables a implementar parra el uso de tecnologías Wi-Fi tracking incluyen:
- Anonimizar y agregar datos después de su recogida.
- No asignar el mismo identificador a un dispositivo móvil en distintas visitas al mismo lugar.
- Limitar el ámbito del seguimiento Wi-Fi.
- Implementar medidas de seguridad adaptadas al nivel de riesgo.
- Realizar auditorías independientes o revisiones continuas.
Deja un comentario