Orientacions per a tractaments que incorporin tecnologies de seguiment wifi

RESUM DE LA GUIA “TECNOLOGIES DE SEGUIMENT WIFI: ORIENTACIONS PER A RESPONSABLES DEL TRACTAMENT”

PUBLICADA PER LES AUTORITATS DE CONTROL ESPANYOLES

TECNOLOGIES DE SEGUIMENT WIFI, UN POSSIBLE TRACTAMENT DE DADES PERSONALS

A la guia “Tecnologies de seguiment wifi: orientacions per a responsables del tractament”, les autoritats de control espanyoles (AEPD, APDCAT, AVPD i CTPDA) analitzen les implicacions d'aquestes tecnologies, identifiquen els riscos principals i ofereixen una sèrie de recomanacions per a un ús responsable i compatible amb la normativa de protecció de dades.

El seguiment wifi o wifi Tracking és una tecnologia que permet identificar i rastrejar dispositius mòbils a través dels senyals wifi que aquests emeten, detectant la presència del dispositiu en una zona específica i identificant patrons de moviment. Poden trobar aplicacions pràctiques a centres comercials, museus, centres de treball, àrees públiques, transports o grans esdeveniments, emprant-se per a l'estimació d'aforaments, l'anàlisi de fluxos de persones o el mesurament de temps de permanència.

Les autoritats de protecció de dades exposen que l'ús d'aquesta tecnologia pot suposar un tractament de dades personals i, per tant, s'han de sotmetre al conjunt de principis, drets i obligacions establerts al Reglament General de Protecció de Dades (RGPD). A més, el seu ús planteja seriosos riscos per a la privadesa, ja que podria permetre el seguiment dels moviments de les persones sense que aquestes siguin conscients i sense una base legal apropiada.

BASES JURÍDIQUES QUE PODEN LEGITIMAR AQUESTS TRACTAMENTS

A les orientacions, les autoritats de control analitzen totes les bases jurídiques de l'art. 6.1 RGPD determinant sobre això, i sobre cadascuna:

Consentiment (art. 6.1.a RGPD): la majoria de les tècniques de wifi tracking operen sense necessitat que el dispositiu estigui connectat a la xarxa wifi i sense el coneixement de la persona propietària del mateix. Per això, resultaria materialment impossible sol·licitar el consentiment a l'interessat i, per tant, hauria de descartar-se en principi com una base legitimadora, excepte en algun escenari concret, on l'usuari realitzés la connexió a la xarxa wifi de forma voluntària, i després d'aquesta connexió es us informarà i sol·licitarà el consentiment per tractar les seves dades mitjançant wifi tracking.

Contracte (art. 6.1.b RGPD): només si el tractament de dades estigués relacionat amb la prestació d'un servei específic en el context de wifi tracking. En aquest cas seria essencial poder demostrar que el tractament és necessari per complir les obligacions contractuals, cosa que no serà habitual, excepte en certs casos de serveis de geolocalització sol·licitats per l'usuari.

Obligació legal (art. 6.1.c RGPD): només seria aplicable quan existís una obligació legal que exigís al responsable el compliment d'una finalitat per a la qual sigui necessari l'ús de les tècniques de wifi tracking. Addicionalment, de conformitat amb la LOPDGDD, aquesta obligació hauria d'estar prevista en una llei, que ha de ser clara i precisa i la seva aplicació previsible per als seus destinataris, incloent-hi les mesures per garantir un tractament lícit i equitatiu i proporcional per fi legítim perseguit.

Interès vital (art. 6.1.d RGPD): el tractament de dades personals en el context de wifi tracking difícilment podria justificar-se per aquesta raó, però, no es pot descartar completament la seva aplicació en situacions en què els interessos vitals estiguessin realment en perill, com ara emergències, auxili o recerca i rescat de persones desaparegudes, cosa que requeriria una anàlisi rigorosa del cas concret que en justifiqués l'aplicació.

Interès públic (art. 6.1.e RGPD): el responsable del tractament haurà d'identificar la norma amb rang de llei que li atribueixi una competència concreta en què pugui demostrar que aquest tractament mitjançant wifi tracking és necessari per fer una missió d'interès públic o per exercir poders públics; aquesta llei ha de ser clara i precisa i la seva aplicació previsible per als seus destinataris, incloent-hi les mesures per garantir un tractament lícit i equitatiu, complint un objectiu dinterès públic i proporcional per fi legítim perseguit.

Atès que no hi ha legislació expressa al respecte, seria recomanable el desenvolupament de mesures legislatives, que contemplessin i regulessin aquest tipus de tractaments.

Cal tenir en compte que lactuació de l'Administració se centrarà principalment en espais públics i que les persones tenen una legítima expectativa a gaudir de llibertat de moviment sense ser monitoritzats. En aquests escenaris la intromissió sobre la privadesa de les persones pot ser molt alta si no s'extremen les garanties per part del responsable del tractament.

Interès legítim (art. 6.1.f RGPD): al sector privat i sempre que sigui necessari per a la satisfacció d'aquests interessos i no prevalguin els interessos o els drets i llibertats dels interessats, tenint en compte les expectatives raonables dels mateixos. En tot cas, es requereix una avaluació meticulosa de si es pot dur a terme el tractament, prova de sospesament, fins i tot si un interessat pot preveure'l de manera raonable en el moment i en el context de la recollida de dades personals. Correspon al responsable l'acreditació de la prova de “sospesament”.

El considerant 47 del RGPD indica que, als efectes de l'interès legítim, “els interessos i els drets fonamentals de l'interessat podrien prevaler sobre els interessos del responsable del tractament quan es procedeixi al tractament de les dades personals en circumstàncies en què l'interessat no espereu raonablement que es realitzi un tractament ulterior” i, en el cas del wifi tracking, la captació de dades, en moltes ocasions és aliena al coneixement del titular del terminal.

Només en els casos en què, com a resultat de la ponderació efectuada, no prevalguin els interessos i els drets fonamentals dels afectats, es podrà dur a terme el tractament de dades personals justificat en un interès legítim, cosa que a més exigiria que s'incorporessin al tractament les salvaguardes, garanties i mesures tècniques i organitzatives, incloent-hi les relatives a la seguretat de la informació, que siguin necessàries per protegir les dades personals tractades.

RISCOS I OBLIGACIÓ DE PORTAR A TERME UNA EIPD

Les autoritats consideren que, atesos els factors i elements de risc inherents, en general, es compleixen les condicions perquè abans de dur a terme el tractament sigui obligatori fer una Avaluació d'Impacte en la Protecció de Dades (EIPD). De fet, tenint en compte els factors de risc, recomanen fer-la fins i tot quan el responsable del tractament pugui no tenir clara la seva obligatorietat. A més, per utilitzar aquestes tecnologies cal intensificar el compliment del principi de transparència a través d'una informació clara i accessible, com ara panells visibles amb informació, senyalització pública, alertes de veu o campanyes d'informació, entre d'altres.

MESURES TÈCNIQUES I ORGANITZATIVES APROPIADES

Les orientacions també inclouen un llistat de mesures a implementar si se superen tots els requisits de compliment dels principis del RGPD, destacant, entre d'altres, anonimitzar i afegir just després de la recollida de dades, limitar l'àmbit en què es fa el seguiment wifi, no assignar el mateix identificador a un dispositiu mòbil a les diferents visites que realitzi al mateix lloc, implementar mesures de seguretat adaptades al nivell de risc i sotmeses a revisions contínues o realitzar auditories independents.

TRANSPARÈNCIA I INFORMACIÓ

En considerar-se que l'ús de la tecnologia wifi tracking pot suposar un tractament de dades personals, ja que es recull informació com a resultat de la comunicació entre un terminal (telèfon mòbil o qualsevol altre dispositiu) d'una persona física i una xarxa wifi per tal de generar una empremta digital del dispositiu que el diferenciï de la resta de terminals, el responsable i l'encarregat del tractament hauran de respectar els principis i drets recollits a l'RGPD.

Entre aquests principis, larticle 5.1 a) del RGPD reconeix el principi de transparència conjuntament amb els principis de licitud i lleialtat. La particularitat que implica que aquest tractament pugui passar inadvertit a les persones titulars dels terminals fa encara més necessari el compliment del principi de transparència a través d'una informació clara i accessible, que inclogui tot el contingut exigit per l'art. 13 RGPD, que conforme a l'art. 11 LOPDGDD es pot facilitar pel sistema de capes.

EXERCICI DELS DRETS

Quan el responsable del tractament hagi dut a terme un procés danonimització de les dades personals tractades i sigui capaç de demostrar que no està en condicions didentificar linteressat. Els articles 15 a 20 del RGPD no seran aplicables (art. 11 RGPD) en tractar-se de dades anonimitzades, però sí que s'aplicaran a les dades personals que el responsable estigui tractant en les fases del tractament prèvies a la seva anonimització.

El responsable del tractament estarà obligat a informar la persona afectada sobre els mitjans a la seva disposició per exercir els drets reconeguts als articles 15 a 22 del RGPD. Aquests mitjans han de ser fàcilment accessibles per a la persona afectada. El responsable ha destablir mecanismes visibles, accessibles i senzills, inclosos mitjans electrònics, per a lexercici de drets.

Aquests mecanismes, en particular, quan es tracti de lexercici per mitjans electrònics, han dincorporar procediments per verificar la identitat de les persones afectades que els utilitzen, així com de la recepció de lexercici del corresponent dret, i la seva oportuna contestació.

REGLAMENT D'INTEL·LIGÈNCIA ARTIFICIAL

Atesa la situació tecnològica actual, és possible que es facin tractaments de dades personals en què es combini l'ús de la tecnologia wifi tracking i sistemes d'intel·ligència artificial (IA). Aquest tipus de tractaments de dades personals estan subjectes al sistema de principis, obligacions per als responsables i drets per als interessats que estableix el RGPD. Addicionalment, l?ús de determinats sistemes d?IA es trobarà regulat pel Reglament d?Intel·ligència Artificial (RIA), que en el moment de la publicació d?aquesta Guia encara no ha estat publicat.

Des de la perspectiva de la protecció de dades personals, el RIA no té per objecte afectar l'aplicació del dret fonamental a la protecció de dades. El RIA és complementari al RGPD i s'aplicarà sense perjudici del mateix amb el propòsit de permetre que responsables i encarregats estiguin en condicions de complir les seves obligacions en matèria de protecció de dades quan incorporen sistemes d'IA en els tractaments (cd. 78 RGPD) per implementar la protecció de dades des del disseny del tractament.

En aquest sentit, com a exemple, quan partint de les dades obtingudes mitjançant la tecnologia wifi tracking com a informació d'entrada, s'implementin decisions que produeixin efectes jurídics a una persona o l'afectin significativament mitjançant sistemes d'intel·ligència artificial (amb independència del tipus que siguin) basades únicament en el tractament automatitzat de dades personals, s'aplicarà el que preveu el RGPD (art. 13,14,15 i 22 i cd. 71 RGPD).

A més, per a aquest supòsit, en el cas concret que el sistema d'intel·ligència artificial en què es basa la decisió fos d'alt risc d'acord amb el RIA, de manera complementària als drets contemplats a l'RGPD, quan la persona considerés que la decisió té un impacte advers sobre la seva salut, seguretat o els seus drets fonamentals, serà aplicable el que preveu la Regulació d'IA en relació que la persona afectada pugui tenir dret a rebre explicacions clares i significatives sobre el paper del sistema d'intel·ligència artificial en el procediment de presa de decisions i els elements principals de la decisió adoptada.