Primeras multas de la AEPD de más de 40.000 euros por aprovecharse de los datos de los clientes que usan el wifi de los negocios
La Agencia Española de Protección de Datos (AEPD) ha colocado el foco sobre el manejo de los datos personales que las empresas recogen a través del wifi en sus establecimientos, advirtiendo de posibles sanciones de alta cuantía para aquellos que pongan en riesgo la privacidad de sus clientes.
Estas sanciones pueden oscilar entre los 40.000 euros y los 20 millones de euros, pudiendo llegar incluso a comprometer la supervivencia de los pequeños negocios.
Uso del wifi tracking
El Wi-Fi tracking, también conocido como tecnología de seguimiento Wi-Fi, es una herramienta que permite identificar y rastrear dispositivos móviles a través de las señales Wi-Fi que estos emiten. Su propósito principal es detectar la presencia de dispositivos en zonas específicas y analizar los patrones de movimiento. Se utiliza, entre otras cosas, para estimar la cantidad de personas en un lugar, analizar los flujos de movimiento y medir los tiempos de permanencia.
Esta tecnología tiene aplicaciones en una amplia variedad de contextos, como centros comerciales, museos, lugares de trabajo, espacios públicos, transporte público y eventos masivos. No obstante, es crucial señalar que esta práctica presenta importantes riesgos para la privacidad, ya que podría permitir el seguimiento de los movimientos de las personas sin su consentimiento o conocimiento, y, por lo tanto, sin una base legal adecuada.
La AEPD ha puesto el foco aquellos negocios que, sin las medidas de prevención adecuadas, permiten identificar y rastrear aquellos dispositivos electrónicos que se hayan conectado a la red del local.
Vulneración del consentimiento explícito
Es importante recordar que todo tratamiento de datos personales debe ajustarse a los principios establecidos en el artículo 5 del RGPD y cumplir con al menos una de las bases legales enumeradas en el artículo 6 del RGPD. Esto también se aplica al Wi-Fi tracking cuando el responsable del tratamiento elige una tecnología que permita dicho tratamiento.
Es importante recordar que el artículo 4.11 del RGPD define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
La tecnología de Wi-Fi tracking permite a los negocios rastrear dispositivos de forma exhaustiva, por lo que deberá garantizarse que el tratamiento se realice de manera justa y transparente, siendo imprescindible que las personas comprendan con claridad qué datos se están manejando y de qué manera a través del Wi-Fi tracking. Esta información debe proporcionarse de forma accesible y fácil de entender, independientemente de las dificultades técnicas o prácticas que el Wi-Fi tracking pueda presentar para el responsable del tratamiento en el cumplimiento de estos principios.
Otra posibilidad que el comercio podría alegar es que prima el interés legítimo del responsable del tratamiento, recogido en el artículo 6.1.f) RGPD. Sin embargo, el responsable del tratamiento debe garantizar que este tratamiento es necesario para la satisfacción de dichos intereses y en ningún momento prevalecen los intereses o los derechos y libertades de los interesados, teniendo en cuenta las expectativas razonables de los mismos.
Para ello se requiere una evaluación meticulosa de si puede llevarse a cabo el tratamiento y que estos priman sobre ello, prueba de sopesamiento, incluso si un interesado puede preverlo de forma razonable en el momento y en el contexto de la recogida de datos personales. Esta prueba de sopesamiento la debe realizar el responsable.
Medidas para la prevención
Las autoridades encargadas de la protección de datos en España han desarrollado guías específicas para los responsables que utilizan tecnología de seguimiento Wi-Fi. Estas guías examinan tanto desde el punto de vista técnico como legal las implicaciones del seguimiento Wi-Fi, identifican los riesgos principales y ofrecen recomendaciones para un uso adecuado y conforme a la normativa de protección de datos. Más allá de informar de forma clara a los usuarios, entre estas recomendaciones se incluyen:
- Anonimizar los datos inmediatamente después de su recopilación.
- Restringir el ámbito en el que se realiza el seguimiento Wi-Fi.
- No cruzar datos de geolocalización con información proveniente de otras fuentes.
- Evitar asignar el mismo identificador a un dispositivo móvil en diferentes visitas al mismo lugar.
- Proporcionar una opción efectiva para que los usuarios puedan optar por no participar.
- Establecer contratos de tratamiento que limiten el uso de los datos a las instrucciones del responsable.
- Evitar transferencias internacionales sin las garantías adecuadas.
- Realizar auditorías independientes.
- Implementar medidas de seguridad adaptadas al nivel de riesgo y sujetas a revisiones continuas.