La AEPD, las autoridades de control catalana y vasca y el Consejo de Transparencia y Protección de Datos de Andalucía han elaborado un documento en el que se recogen diversas orientaciones dirigidas a los responsables sobre los tratamientos que incorporen tecnología de seguimiento Wi-Fi. Tal y como indica la AEPD, esta tecnología “permite identificar y rastrear dispositivos móviles a través de las señales Wi-Fi que estos emiten, detectando la presencia del dispositivo en una zona específica e identificando patrones de movimiento”, resultando de enorme utilidad para muchas entidades (como, por ejemplo, museos, centros comerciales, tiendas, etc.) a efectos de conocer el aforo de un local, cómo se desplazan los usuarios o cuánto tiempo están en determinadas ubicaciones.
Así, en este informe se analizan, entre otras cuestiones, las implicaciones que estas nuevas tecnologías pueden suponer en los afectados, identificándose los principales riesgos (por cuanto, como se ha expuesto, permitiría el seguimiento de las personas que llevasen encima sus dispositivos móviles sin que, en principio, fueran conscientes de ello o sin que existiese una base legitimadora apropiada) a efectos de facilitar una serie de recomendaciones que garantizarían un uso responsable de las mismas y conforme con la normativa de protección de datos.
En la Guía publicada se analizan las distintas bases legitimadoras del tratamiento recogidas en el RGPD y que podrían ser utilizadas para fundamentar los tratamientos de datos por tecnologías de seguimiento Wi-fi (entre ellas, el consentimiento de los afectados, la ejecución de un contrato, el cumplimiento de una obligación legal o el interés legítimo, entre otras).
Habida cuenta de la existencia de los riesgos indicados en el documento (impacto sobre la intimidad de los afectados al poder singularizarlos e inferir datos en función de su ubicación; intromisión en su domicilio al no poder limitar claramente donde se puede recoger la señal del dispositivo; tratamiento de categorías especiales de datos ya que al poder conocer qué lugares son visitados, se puede conocer determinados intereses políticos o religiosos; impacto en la libertad personal o cualquier riesgo asociado a los datos de localización), teniendo en cuenta los tipos de tratamientos que se pueden realizar, los responsables del tratamiento deben efectuar, con anterioridad a la implementación de cualquier tratamiento que incorpore estas tecnologías de seguimiento, una Evaluación de Impacto.
Entre las medidas que pueden ser implementadas para mitigar los riesgos, se recoge la posibilidad de anonimizar los datos recabados, de tratar únicamente aquellos que sean necesarios (principio de minimización de datos), “limitar el ámbito en el que se realiza el seguimiento Wi-Fi” o “no asignar el mismo identificador a un dispositivo móvil en las distintas visitas que realice al mismo lugar”.
Asimismo, se pone de manifiesto por las autoridades la necesidad de, debido al tipo de tecnología utilizada, “intensificar el cumplimiento del principio de transparencia”, facilitando la información de manera clara y accesible, a través de carteles informativos que sean visibles o alertas sonoras, por ejemplo.
Puede acceder al documento elaborado por las distintas autoridades de control aquí.