¿Quieres contactar con nosotros?
El paso 7 de mayo la Agencia Española de Protección de Datos (en adelante, AEPD), junto con las autoridades de control de protección de datos del País Vasco, Cataluña y Andalucía, publicó la Guía de orientaciones para la correcta implementación de tecnologías de seguimiento WiFi (en adelante, la Guía), en la que ofrece un análisis de las implicaciones tanto técnicas como legales que conlleva la utilización de esta tecnología, identificando los principales riesgos asociados a la misma y ofreciendo una serie de recomendaciones concretas a los responsables del tratamiento.
El WiFi Tracking es una tecnología que posibilita la identificación y seguimiento de dispositivos móviles mediante las señales WiFi emitidas por estos, con el fin de detectar su presencia en una zona específica.
La Guía ofrece una descripción detallada del marco tecnológico del WiFi tracking, facilitando la comprensión de su funcionamiento y la identificación de los riesgos asociados en cada etapa del proceso, desde la captación de la señal del dispositivo hasta el monitoreo y análisis de la información recabada.
En este contexto, en la Guía se identifican los elementos clave para determinar que las MACs dinámicas de los dispositivos se consideran datos personales. En concreto, la AEPD enfatiza el concepto de “singularización”, refiriéndose a la capacidad de distinguir a un individuo dentro de un grupo mediante registros vinculados a un terminal, incluso sin un identificador constante. Se destaca como las técnicas de machine learning y analítica de datos facilitan la asociación de información.
La AEPD sostiene que, debido a los factores y elementos de riesgo inherentes, con carácter general se requiere realizar una Evaluación de Impacto en la Protección de Datos (EIPD). De hecho, se recomienda efectuar dicha evaluación incluso cuando no esté clara la obligatoriedad de la misma por parte del responsable del tratamiento. Además, para el uso de estas tecnologías, se debe reforzar el principio de transparencia mediante información clara y accesible, como paneles informativos, señalización pública, alertas de voz o campañas informativas, entre otros.
Finalmente, se ofrece un listado de medidas que deben implementarse tras cumplir con todos los requisitos del Reglamento General de Protección de Datos (RGPD). Destacan, entre otras, las técnicas de anonimización y agregación automática de datos, la limitación del alcance del seguimiento WiFi, la no asignación de un mismo identificador a un dispositivo en visitas sucesivas al mismo lugar, la adopción de medidas de seguridad proporcionales al nivel de riesgo y la realización de revisiones continuas o auditorías independientes.
Cuestiones más relevantes para tener en cuenta
Reglamento de Inteligencia Artificial (RIA): El RIA es complementario al RGPD y se aplicará sin perjuicio de este con el propósito de permitir que los responsables y los encargados estén en condiciones de cumplir sus obligaciones en materia de protección de datos cuando incorporan sistemas de IA en sus tratamientos. Se garantizará el derecho a recibir explicaciones claras y significativas sobre el papel del sistema de inteligencia artificial en el procedimiento de toma de decisiones.
Artículo elaborado por Marta Llamazares Carreño, manager de Regulación Digital de PwC Tax & Legal, e Ignacio de Sebastián, senior associate de Regulación Digital de PwC Tax & Legal.
Contacta con nosotros
