Nuevas orientaciones sobre los "riesgos" del Wi-Fi Tracking.

En la actual era digital, la privacidad y la seguridad de los datos personales son primordiales. Con la progresión de las tecnologías de rastreo Wi-Fi, emergen importantes inquietudes respecto a la privacidad y la utilización ética de estas tecnologías.

La Agencia Española de Protección de Datos (“AEPD”), la Autoridad Catalana de Protección de Datos (“APDCAT”), la Autoridad Vasca de Protección de Datos (“AVPD”) y el Consejo de Transparencia y Protección de Datos de Andalucía (“CTDPA”) han llevado a cabo conjuntamente un análisis exhaustivo de las implicaciones que las tecnologías de rastreo Wi-Fi pueden tener en el tratamiento de datos personales por los responsables del tratamiento que implementen dichas tecnologías en sus dispositivos. Furto de dicho análisis son las Orientaciones sobre tratamientos que incorporen tecnología de seguimiento Wi-Fi o Wi-Fi tracking, publicadas el 7 de mayo de 2024 en la sede electrónica de la AEPD.

La tecnología Wi-Fi tracking: ¿un riesgo para la privacidad y uso ético de datos personales?

La tecnología de rastreo Wi-Fi o "Wi-Fi tracking" funciona capturando y analizando "tramas" que contienen una dirección MAC (un identificador único que cada fabricante asigna a sus dispositivos conectados), que identifica al dispositivo de origen. Este proceso, conocido como "fingerprinting", permite detectar la presencia del dispositivo en una zona específica e identificar patrones de movimiento.

Las tecnologías de rastreo Wi-Fi pueden ser útiles en una variedad de entornos, incluyendo centros comerciales, museos, lugares de trabajo, áreas públicas, transporte público y eventos de gran escala. Estas pueden contribuir en la estimación de aforos, análisis de flujos de personas y medición de tiempos de permanencia. 

En este sentido, las autoridades españolas de protección de datos sostienen que el uso de esta tecnología plantea "serios riesgos para la privacidad, ya que podría permitir el seguimiento de los movimientos de las personas sin que estas sean conscientes de ello y sin una base legal apropiada" y, consecuentemente advierten de la necesidad de someterlas a los derechos y obligaciones establecidos en el Reglamento General de Protección de Datos (“RGPD”).  

Aspectos relevantes de las nuevas orientaciones en Wi-Fi Tracking.

Las orientaciones recientemente publicadas por las autoridades de protección de datos buscan analizar las implicaciones técnicas y jurídicas del uso de estas tecnologías. Al respecto, se identifican los principales riesgos asociados y se ofrecen recomendaciones concretas para un uso responsable que sea compatible con la normativa de protección de datos. Entre las recomendaciones, son de destacar las siguientes:

• Es necesario realizar una evaluación de idoneidad, necesidad y proporcionalidad del tratamiento de datos con respecto al objetivo que se busca alcanzar.
• Deberá llevarse a cabo una Evaluación de Impacto en la Protección de Datos (“EIPD”) cuando exista un alto riesgo para los derechos y libertades de las personas. Esto puede suceder en casos de observación sistemática a gran escala, circunstancia que requeriría la realización de la EIPD (artículo 35.3 RGPD). De hecho, teniendo en cuenta los factores de riesgo, se recomienda realizarla incluso cuando el responsable del tratamiento pueda no tener clara su obligatoriedad.
• Además, la particularidad que implica que este tratamiento pueda pasar inadvertido a las personas titulares de los terminales hace más necesario aún el cumplimiento del principio de transparencia a través de una información clara y accesible, como paneles visibles con información, señalización pública, alertas de voz o campañas de información, entre otros, incluyendo todo el contenido exigido por el artículo 13 RGPD.
• Las tecnologías de rastreo Wi-Fi no pueden ser empleadas sin el consentimiento de las personas afectadas en aquellos casos en que el seguimiento pueda revelar categorías especiales de datos, por ejemplo, cuando el tratamiento se lleve a cabo en lugares relacionados con productos o servicios de salud.
• Las orientaciones también incluyen un listado de medidas a implementar si se superan todos los requisitos de cumplimiento de los principios del RGPD, destacando, entre otras, anonimizar y agregar los datos justo después de la recogida, limitar el ámbito en el que se realiza el seguimiento Wi-Fi, no asignar el mismo identificador a un dispositivo móvil en las distintas visitas que realice al mismo lugar, implementar medidas de seguridad adaptadas al nivel de riesgo y realizar auditorías independientes.
• Asimismo, en ningún caso se podrán cruzar los datos de geolocalización obtenidos con datos de otras fuentes.
• El responsable del tratamiento estará obligado a informar a la persona afectada sobre los medios a su disposición para ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD. Dichos medios deberán ser fácilmente accesibles para la persona afectada.
• Atendiendo al criterio de minimización de datos, aunque la recogida de datos tuviera que ser continua, el almacenaje y posteriores operaciones de tratamiento de la posición han de limitarse a señalar las áreas indicadas como de interés impidiendo una recogida detallada y continua de los movimientos de los interesados.

Las bases jurídicas que pueden legitimar estos tratamientos son asimismo analizadas en las orientaciones. Entre otras cuestiones, se destaca que la mayoría de las técnicas de rastreo Wi-Fi operan sin necesidad de que el dispositivo esté conectado a la red wifi y sin el conocimiento de la persona propietaria del mismo. Por ello, resultará materialmente imposible solicitar el consentimiento al interesado (artículo 6.1.a) RGPD) y, por tanto, debería en principio descartarse como una base legitimadora, salvo en algún escenario concreto, donde el usuario realizara la conexión a la red wifi de forma voluntaria, y tras dicha conexión se le informara y solicitara el consentimiento para tratar sus datos mediante wifi tracking.

En cuanto al resto de bases legitimadoras, las orientaciones establecen que la ejecución de una relación contractual (artículo 6.1.b) RGPD), solo se considera si el tratamiento de datos estuviera relacionado con la prestación de un servicio específico en el contexto de rastreo Wi-Fi.

Asimismo, ante la falta de una ley que lo prevea expresamente o que le atribuya una competencia concreta al responsable del tratamiento, las bases de legitimación relativas al cumplimiento de una obligación legal (artículo 6.1.c) RGPD) y a la observancia de un interés público (artículo 6.1.e) RGPD) no serían aplicables.

El uso de tecnologías de rastreo Wi-Fi para la protección de intereses vitales (artículo 6.1.d) RGPD) se considera difícil de justificar, aunque no se descarta completamente su aplicación en situaciones en las que los intereses vitales estén realmente en peligro, como emergencias o rescate de personas, lo que requeriría un análisis riguroso del caso concreto que justifique su aplicación.

Finalmente, el interés legítimo (artículo 6.1.f) RGPD) se considera una base de legitimación válida siempre que sea necesario para la satisfacción de dichos intereses y no prevalezcan los intereses o los derechos y libertades de los interesados, teniendo en cuenta las expectativas razonables de los mismos.

Para ello, es responsabilidad del responsable del tratamiento llevar a cabo la correspondiente evaluación de interés legítimo donde se sopesen los intereses en juego. Solo cuando la evaluación concluya que los intereses y derechos fundamentales de los afectados no prevalecen, se podrá justificar el tratamiento de datos personales basado en un interés legítimo. Esto también requeriría la integración de salvaguardas, garantías y medidas técnicas y organizativas al tratamiento, incluyendo aquellas relacionadas con la seguridad de la información, que sean necesarias para proteger los datos personales tratados.

Por último, la guía hace una mención final al Reglamento Europeo de Inteligencia Artificial (“RIA”), anticipando que en el contexto tecnológico actual es posible que se realicen tratamientos de datos personales que combinen la tecnología de rastreo Wi-Fi y sistemas de inteligencia artificial (“IA”). Al respecto, las autoridades destacan que, desde la perspectiva de la protección de datos personales el RIA no tiene por objeto afectar a la aplicación del RGPD, y se aplicará sin perjuicio de éste con el propósito de que los responsables cumplan con sus obligaciones en materia de protección de datos cuando incorporen sistemas de inteligencia artificial.

En definitiva, las orientaciones para tratamientos que incorporen tecnologías de seguimiento Wi-Fi constituyen un avance significativo hacia la salvaguarda de la privacidad en un mundo cada vez más interconectado. Estas pautas proporcionan un marco que permite a las organizaciones emplear dichas tecnologías de forma ética y responsable, garantizando el respeto a los derechos de privacidad de las personas y el cumplimiento de la legislación en vigor. La transparencia, la responsabilidad y el respeto a la privacidad deben constituir los cimientos esenciales en la implantación de cualquier tecnología con la capacidad de recolectar y procesar datos personales.