ORIENTACIONES PARA TRATAMIENTOS CON TECNOLOGÍAS DE
SEGUIMIENTO WI-FI

La Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía han elaborado unas Orientaciones sobre tratamientos que incorporen tecnología de seguimiento Wi-Fi o Wi-Fi tracking en las que han analizado e identificado las implicaciones de esta tecnología y sus principales riesgos. Argumentan que el uso de esta tecnología puede suponer un tratamiento de datos personales y, por tanto, deben someterse al conjunto de principios, derechos y obligaciones establecidos en el Reglamento General de Protección de Datos.

El seguimiento Wi-Fi o Wi-Fi tracking, es una tecnología que permite identificar y rastrear dispositivos móviles a través de las señales Wi-Fi que estos emiten, para detectar la presencia del dispositivo en una zona específica y para identificar patrones de movimiento. Ejemplos de ello los vemos a diario en centros comerciales, museos, lugares de especial interés, centros de trabajo, áreas públicas, transporte público, grandes eventos públicos, escenarios de emergencias, etc. Sin embargo, el uso de dichas tecnologías plantea serios riesgos para la privacidad al permitir el seguimiento de los movimientos de las personas sin que estas sean conscientes de ello y sin una base legal apropiada.

Asimismo, dicha tecnología Wi-Fi es una tecnología inalámbrica basada en protocolos de comunicación estandarizados (familia de protocolos IEEE802.11), caracterizada por un conjunto de terminales (móviles o no) que se conectan a un “Punto de Acceso” (AP, por sus siglas en inglés). Un conjunto de AP administrado bajo una misma entidad conforma una red Wi-Fi.

En lo relativo a brechas de seguridad, el hecho de que ni el responsable ni los encargados pretendan singularizar, ni identificar a los interesados, ni perfilar a los interesados no implica que no pueda suceder. El riesgo se materializa cuando se producen brechas de datos personales tanto por parte de elementos internos o externos a la propia organización y cualquier tratamiento de datos personales es susceptible de sufrir una brecha de datos personales independientemente de las medidas técnicas y organizativas implantadas en el tratamiento.

Así pues, en tratamientos de datos personales que utilicen Wi-Fi tracking es especialmente importante considerar la probabilidad de que ocurra una brecha de confidencialidad, bien porque se produzca una exfiltración de datos o bien porque se pueda revertir la anonimización aplicada al conjunto de datos.

Las autoridades anteriormente mencionadas consideran que, dados los factores y elementos de riesgo inherentes, en general, se cumplen las condiciones para que antes de llevar a cabo el tratamiento sea obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD), recomendando realizarla incluso cuando el responsable del tratamiento pueda no conocer su obligatoriedad. Será importante y necesario reforzar el cumplimiento del principio de transparencia a través de una información clara y accesible, como paneles visibles con información, señalización pública, alertas de voz o campañas de información, entre otros.

El uso de la tecnología Wi-Fi tracking en la que se recoge información como resultado de la comunicación entre un terminal (teléfono móvil o cualquier otro dispositivo) de una persona física y una red Wi-Fi, a fin de generar una huella digital del dispositivo que lo diferencie del resto de terminales, puede suponer un tratamiento de datos personales, y por tanto el responsable y encargado del tratamiento deberán respetar los principios y derechos recogidos en el RGPD. Entre esos principios, el artículo 5.1 a) del RGPD reconoce el principio de transparencia juntamente con los principios de licitud y lealtad. La particularidad que implica que este tratamiento pueda pasar inadvertido a las personas titulares de los terminales hace más necesario aún el cumplimiento del principio de transparencia a través de una información clara y accesible.

El artículo 13 del RGPD detalla la información necesaria que deberá facilitarse al interesado cuando los datos personales se obtengan del mismo. Dicho precepto dispone que “cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; b) los datos de contacto del delegado de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento (…)”

Finalmente, las orientaciones incluyen un listado de medidas a implementar si se superan todos los requisitos de cumplimiento de los principios del RGPD. Entre otras, destacan las de anonimizar y agregar justo después de la recogida de datos, limitar el ámbito en el que se realiza el seguimiento Wi- Fi, no asignar el mismo identificador a un dispositivo móvil en las distintas visitas que realice al mismo lugar, implementar medidas de seguridad adaptadas al nivel de riesgo y sometidas a revisiones continuas o realizar auditorías independientes.