Wi-Fi tracking y su adaptación al RGPD
Riesgo del wi-fi tracking
Las autoridades de control competentes en España, la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía han elaborado unas orientaciones sobre tratamientos que incorporen tecnología de seguimiento Wi-Fi, mediante las cuales se analizan las implicaciones de esta tecnología ante los riesgos en materia de protección de datos que comienzan a estar presentes en nuestro día a día.
Conocemos que el Wi-Fi tracking es una herramienta tecnológica que nos permite identificar y rastrear dispositivos móviles a través de las señales Wi-Fi que estos emiten, detectando la presencia del dispositivo en una zona específica e identificando patrones de movimiento. Esta tecnología la vemos aplicada en multitud de escenas de nuestra sociedad: se emplean para el análisis de flujos de personas, de aforo, de permanencia, de salida y un largo etcétera.
Tanto que nos ofrece grandes facultades competitivas para el desarrollo y promoción de nuestro día a día que dicha utilidad está proliferando cada día en ámbitos más dispares de aplicación, es por ello que, las autoridades de protección de datos están tratando de hacer eco sobre sus implicaciones en el tratamiento de datos personales.
El riesgo que implica el seguimiento de los movimientos de personas sin que estas interesadas sean conscientes de ello o sin un base legal que les aporte seguridad sobre dicho tratamiento, está marcando un revulsivo en el avance de la adecuación normativa, cada vez está requiriendo ser más sofisticada y exhaustiva con los derechos de los interesados.
Protección de datos
La tecnología Wi-Fi tracking, si bien no constituye por sí sola un tratamiento de datos personales, puede ser un componente de un tratamiento más amplio. Los análisis de presencia y localización, basados en esta tecnología, permiten obtener información valiosa sobre los movimientos de los dispositivos dentro de un área determinada.
Sin embargo, es fundamental que los responsables del tratamiento evalúen cuidadosamente las opciones tecnológicas disponibles y seleccionen aquellas que minimicen el impacto en la privacidad de los individuos.
Los fines del tratamiento mediante Wi-Fi tracking deben ser explícitos, es decir, deben indicarse claramente, deben ser legítimos y deben comunicarse a las personas interesadas, a más tardar, en el momento de la recogida. Adicionalmente, los datos recogidos para una finalidad concreta mediante Wi-Fi tracking no podrán ser utilizados para una finalidad posterior que sea incompatible. Para ello es fundamental asegurarse que el tratamiento posterior no se aparta de las finalidades ya establecidas para el tratamiento, y de las que se ha de informar a las personas interesadas.
La AEPD recuerda que la finalidad del tratamiento no es realizar Wi-Fi tracking, por lo que, si es posible conseguir la finalidad última con una técnica menos intrusiva, no se estaría cumpliendo con el principio de minimización de datos. Si no fuese posible otra técnica que no fuera Wi-Fi tracking, para cumplir el principio de minimización los datos tratados tendrían que ajustarse, en sus categorías, frecuencia, granularidad, etc., a lo estrictamente necesario, así como que su plazo de conservación sea el mínimo indispensable, procediendo a su eliminación o anonimización efectiva, mediante procesos automatizados siempre que sea posible.
La exactitud de los datos es crucial, especialmente en aquellos casos donde se utilizan métodos probabilísticos para establecer relaciones. Los datos erróneos deben ser corregidos o eliminados. La seguridad y confidencialidad son requisitos indispensables. El responsable del tratamiento debe demostrar el cumplimiento del artículo 6.1 del RGPD, asegurando que el tratamiento es necesario y proporcionado.
Refuerzo en la transparencia
Las autoridades han determinado que el tratamiento de datos en cuestión presenta un nivel de riesgo elevado. Por ello, recomiendan la realización de una Evaluación de Impacto en la Protección de Datos (EIPD) antes de iniciar cualquier actividad. Además, para garantizar la transparencia y el cumplimiento del RGPD, es fundamental implementar medidas informativas claras y accesibles, como paneles visibles con información, señalización pública, alertas de voz o campañas de información.
En conclusión, la determinación de un alto riesgo en el tratamiento de datos marca un punto de inflexión que exige una mayor atención y cuidado en la gestión de la información personal. Es de gran importancia las medidas establecidas por las autoridades mediante las cuales se busca garantizar un equilibrio entre la innovación y la protección de los derechos fundamentales de los individuos.