CN14-040_DIC_D15-009 - Agencia Vasca de Protección de Datos

Anuncio
CN14-040
DICTAMEN RELATIVO A LA CONSULTA FORMULADA POR […] EN RELACIÓN CON
EL USO DE DISPOSITIVOS MÓVILES DE LOCALIZACIÓN Y SEGUIMIENTO A
USUARIOS TURÍSTICOS.
ANTECEDENTES
PRIMERO: Con fecha 16 de diciembre de 2014 se recibe en la Agencia Vasca de
Protección de Datos solicitud de dictamen remitida por […], en relación con el asunto
referenciado en el encabezamiento. En dicho escrito, se recoge lo siguiente:
“Con carácter general, debe indicarse que los artículos 1 y 2 de la Ley Orgánica de
Protección de Datos de Carácter Personal extienden su protección a los derechos de
los ciudadanos en lo que se refiere al tratamiento automatizado de sus datos de
carácter personal, siendo definidos éstos en el artículo 3.a) de la citada Ley como
“cualquier información concerniente a personas físicas identificadas o identificables.”
El artículo 2 de la Directiva 2002/58/CE relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas define los datos de localización como “cualquier dato tratado en una red
de comunicaciones electrónicas que indique la posición geográfica del equipo
terminal de un usuario de un servicio de comunicaciones electrónicas disponible para
el público”.
Por consiguiente, habida cuenta de que los datos de localización se refieren siempre
a una persona física identificada o identificable, constituyen datos personales, por lo
que les son de aplicación las disposiciones sobre la protección de éstos contenidas
en la LOPD y su normativa de desarrollo.
La Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos
dispone que dicha Agencia atenderá las consultas que en materia de protección de
datos de carácter personal le formulen las Administraciones públicas.
En uso de dicha facultad se solicita informe sobre la siguiente cuestión:
Con el fin de analizar y estudiar el comportamiento del turista una vez está en
Euskadi, y poder así definir las políticas y estrategias que ayuden a mejorar la
competitividad de nuestro destino, queremos implantar una “huella” en las
aplicaciones móviles de Turismo Euskadi tanto de iOs como Android.
Para ello contaríamos con una plataforma denominada Apptrack que es una
herramienta desarrollada por CICTourgune y que permite obtener y analizar
información referente a los usuarios de aplicaciones móviles de forma transparente al
propio usuario, ya que obtiene los datos en segundo plano.
Conviene remarcar que una vez se baje la app de […] con la huella al dispositivo
móvil, el envío de información sobre los movimientos de la persona viajera se
mantendrían aun cuando no la estuviera utilizando. Esto es posible porque Apptrack
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 [email protected] - www.avpd.eus
va guardando el posicionamiento del usuario. Para que esto no ocurra sería
necesario desinstalar la app”.
El escrito de consulta va acompañado de un documento denominado “Consideraciones
Implementación Apptrack” y de otro denominado “apptrack Plataforma para el análisis de
la movilidad del visitante”. De este último documento interesa destacar los siguientes
párrafos:
“La plataforma apptrack posibilita la obtención de información del visitante en
movilidad desde su dispositivo móvil, con el fin de poder analizar su comportamiento
en destino y facilitar así la definición de políticas y estrategias para mejorar la
competitividad del destino”.
…
“Política de privacidad
La plataforma apptrack incluye un sistema de monitorización del usuario para obtener
la localización del dispositivo móvil. Esta información es totalmente anónima y no se
asocia a ningún dato de carácter personal que pueda identificar personalmente y
unívocamente a los usuarios. Para ello, simplemente se asigna un código generado
aleatoriamente a cada usuario móvil.
Además, apptrack no genera perfiles de usuarios particulares y concretos a partir de
los datos recopilados, sino que realiza estudios agregados, manteniéndose por tanto
el anonimato total de cada usuario particular.
De todas formas, se recomienda alertar al usuario móvil de que su localización va a
ser monitorizada. Para ello, se plantean dos posibles formas:
Mensaje en la propia app o sitio web móvil. Se le mostrará al usuario un mensaje
como el que sigue a continuación.
Esta app no guarda ningún dato que le pueda identificar personalmente. A fin de
conocer sus preferencias y adaptar la oferta a las necesidades, CICtourGUNE se
reserva el derecho de analizar estadísticamente los datos en forma de huella digital
dejada por UD. Sobre su movilidad de forma totalmente anónima. Aceptando esta
cláusula Ud. Admite que CICtourGUNE disponga de dicha información para realizar
trabajos de investigación con carácter científico. Además, los datos recogidos de
forma totalmente anónima, podrán ser consultados por terceros”.
SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de
Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de
Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de
Datos la siguiente función:
“Atender a las consultas que en materia de protección de datos de carácter personal
le formulen las administraciones públicas, instituciones y corporaciones a que se
refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en
relación con los tratamientos de datos de carácter personal incluidos en el ámbito de
aplicación de esta Ley”.
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa
citada, la emisión del dictamen en respuesta a la consulta formulada.
2
CONSIDERACIONES
I
La presente consulta se inserta en el campo de las comunicaciones electrónicas, más
concretamente en la denominada geolocalización y su afectación al derecho fundamental
a la protección de datos de carácter personal. Por ello, analizaremos primero el concepto
y características del dato de localización, continuando después con el estudio de su
régimen jurídico.
Según la Guía sobre seguridad y privacidad de las herramientas de geolocalización del
Instituto Nacional de Tecnologías de la Comunicación (INTECO), se denomina
“geolocalización” al conjunto de tecnologías que combinan la georreferenciación de
elementos del mundo real con la información obtenida a través de una conexión a
Internet, siendo, a juicio de este Instituto, una de las manifestaciones más populares del
desarrollo actual de las Tecnologías de la Información y las Comunicaciones (TIC), que
está experimentando un auge relevante en los últimos tiempos.
El marco normativo aplicable a la presente consulta se contiene en la Directiva 95/46 cuya
transposición al derecho interno se materializa en La Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD). Esta Ley
define los datos de carácter personal en su artículo 3.a) como “cualquier información
concerniente a personas físicas identificadas o identificables”.
El Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD, amplía la definición anterior conceptuando al dato de carácter
personal en su artículo 5.1.f) como “cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas
o identificables”.
Por otra parte, el grupo del artículo 29 (órgano consultivo de la Comisión Europea en
materia de Protección de Datos), ha considerado de forma inequívoca que estamos ante
datos de carácter personal, en los supuestos de geolocalización. Así, su Dictamen
13/2011 sobre geolocalización en dispositivos móviles establece en el punto 6.1 lo
siguiente:
“El marco jurídico de la UE para el uso de los datos de geolocalización procedentes
de dispositivos móviles inteligentes es fundamentalmente la Directiva sobre
protección de datos. Los datos de localización procedentes de dispositivos móviles
inteligentes son datos personales...”.
La importancia de estos datos podemos comprobarla en aspectos tales como las
especiales medidas de seguridad que se deben observar: así, el Reglamento de
desarrollo de la LOPD el regular las medidas de seguridad incluye la siguiente previsión
para los datos de tráfico en su artículo 81.4:
“A los ficheros de los que sean responsables los operadores que presten sus
servicios de comunicaciones electrónicas disponibles al público o exploten redes
públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos
de localización, se aplicarán, además de las medidas de seguridad de nivel básico y
medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este
Reglamento” (Registro de accesos).
3
Por otro lado, en el Borrador de Reglamento Europeo de Protección de Datos se incluye
en el artículo 33 una previsión sobre la evaluación de impacto relativa a la protección de
datos y autorización previa. El punto 1 de dicho establece:
“Cuando las operaciones de tratamiento entrañen riesgos específicos para los
derechos y libertades de los interesados en razón de su naturaleza, alcance o fines,
el responsable o el encargado del tratamiento que actúe por cuenta del responsable
llevarán a cabo una evaluación del impacto de las operaciones de tratamiento
previstas en la protección de datos personales”.
La Agencia Española de Protección de Datos en su “Guía para una Evaluación de
Impacto en la Protección de Datos Personales” considera aconsejable realizar
evaluaciones de impacto en supuestos de tratamiento de datos de geolocalización al
entender que constituye una tecnología especialmente invasiva sobre la privacidad.
Estamos por tanto ante una categoría de datos a los que, como hemos visto, los
legisladores europeo y estatal, así como las autoridades de control otorgan especial
relevancia, debido a su fuerte afectación a la privacidad.
II
Una vez expuesta la naturaleza de los datos objeto de consulta, ha de centrarse ahora el
análisis en el tratamiento de tales datos, así como los principios que dicho tratamiento
debe respetar.
La LOPD define el tratamiento en su artículo 3 c) como “operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
Si bien en el apartado correspondiente a la política de privacidad de la aplicación se
señala que la información es anónima, asignándose un código generado aleatoriamente a
cada usuario móvil, a nuestro juicio esta circunstancia puede considerarse una
seudonomización o utilización de seudónimos pero no una disociación, ya que esta última
exige que la desvinculación con la identidad de la persona sea irreversible. Así, en el
Dictamen 05/2014 sobre técnicas de anonimización señala en su punto 4 lo siguiente:
“4. Seudonimización
La seudonimización consiste en la sustitución de un atributo (normalmente un
atributo único) por otro en un registro. Por consiguiente, sigue existiendo una alta
probabilidad de identificar a la persona física de manera indirecta; en otras palabras,
el uso exclusivo de la seudonimización no garantiza un conjunto de datos anónimo.
No obstante, el presente dictamen examina este método debido a las numerosas
ideas falsas y errores existentes sobre él.
La seudonimización reduce la vinculabilidad de un conjunto de datos con la identidad
del interesado; se trata, por tanto, de una medida de seguridad útil, pero no es un
método de anonimización”.
Por este motivo, entendemos plenamente aplicables las previsiones de la LOPD sobre el
tratamiento de datos de carácter personal.
4
La captación de información sobre la localización geográfica a través del dispositivo
utilizado por una persona identificada o identificable constituye un tratamiento de datos de
carácter personal, pudiendo advertirse diferentes supuestos. Así, El Grupo del Artículo 29
ha estudiado de forma específica el tratamiento de los datos de geolocalización en sus
diferentes posibilidades y lo ha plasmado en su Dictamen 13/2011. Este Dictamen analiza
distintas posibilidades en función de la naturaleza del responsable del tratamiento de los
datos, diferenciando entre:

Datos tratados por los proveedores de infraestructuras de geolocalización, en
particular los operadores de telecomunicaciones.

Datos tratados por proveedores de aplicaciones y servicios de geolocalización,
como prestatarios de servicios de la Sociedad de la Información.

Datos tratados por el creador del Sistema Operativo del dispositivo.
Así, en el caso de que el tratamiento de datos de geolocalización fuese efectuado por el
operador de telecomunicaciones (caso que no se ajusta a las concretas circunstancias de
la consulta), también sería de aplicación la Directiva 2002/58/CE sobre la protección de la
intimidad y las comunicaciones electrónicas, modificada por la Directiva 2009/136/CE y la
correspondiente trasposición nacional que es la Ley 9/2014, de 9 de mayo, de
Telecomunicaciones. En especial lo previsto en sus artículos 41 y 48. Precisamente, el
apartado segundo del artículo 48.2.c trata sobre los datos de geolocalización, en los
siguientes términos:
“Respecto a la protección de datos personales y la privacidad (…) los usuarios
finales de los servicios de comunicaciones electrónicas tendrán los siguientes
derechos:
(…) c) A que sólo se proceda al tratamiento de sus datos de localización distintos a
los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento
informado y únicamente en la medida y por el tiempo necesarios para la prestación,
en su caso, de servicios de valor añadido, con conocimiento inequívoco de los datos
que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el
servicio de valor añadido que vaya a ser prestado. Los usuarios finales dispondrán
del derecho de retirar su consentimiento en cualquier momento y con efecto
inmediato para el tratamiento de los datos de localización distintos de tráfico”.
En el caso concreto que nos ocupa en el presente dictamen, se trataría de un tratamiento
de datos por proveedores de aplicaciones y servicios de geolocalización, como
prestatarios de servicios de la Sociedad de la Información. Según el Dictamen antes
mencionado, “el proveedor de una aplicación que sea capaz de procesar datos de
geolocalización es el responsable del tratamiento de datos personales resultantes de la
instalación y uso de la aplicación”.
Corresponde por ello al responsable la aplicación a estos tratamientos, de los principios
básicos del derecho fundamental a la protección de datos, principios como los relativos a
la información y el consentimiento, que han sido abordados en el Dictamen 13/2011 del
Grupo del artículo 29 sobre los servicios de geolocalización en los dispositivos móviles
inteligentes.
Como aspectos más destacables de dicho documento puede señalarse que en lo
referente a la privacidad se resalta el impacto que sobre la misma tienen los servicios de
5
geolocalización al estar dichos dispositivos ligados a una persona concreta, existiendo la
posibilidad de identificar a la misma. Se destaca asimismo la posibilidad de que, a través
de esta tecnología puedan crearse patrones de conducta del propietario del dispositivo y
elaborar perfiles completos del mismo.
Esta especial afectación a la privacidad ha llevado a la Comisión a expresar en su
Dictamen, que los servicios de geolocalización no pueden estar activados de serie,
debiendo realizarse la activación tras un consentimiento informado.
Merecen, a nuestro juicio destacarse las previsiones contenidas en relación con la
información, el consentimiento (al que identifica como interés legítimo) y los derechos de
los afectados, previsiones que reproducimos a continuación:
“Información
•La información deberá ser clara, completa, comprensible para un público amplio y
no técnico, y accesible de forma permanente y fácil. La validez del consentimiento
está vinculada indisolublemente a la calidad de la información sobre el servicio.
•Los terceros, como los navegadores y los sitios de redes sociales, deben
desempeñar un papel clave en lo que se refiere a la visibilidad y la calidad de la
información sobre el tratamiento de los datos de geolocalización.
Interés legítimo
Debido a que los datos de localización de los dispositivos móviles inteligentes
revelan detalles íntimos sobre la vida privada de su propietario, el principal interés
legítimo aplicable es el consentimiento fundamentado previo.
El consentimiento no puede obtenerse a través de condiciones generales.
El consentimiento debe ser específico para los diferentes fines para los que se
procesen los datos, por ejemplo para elaborar perfiles y orientaciones de
comportamiento. Si la finalidad del tratamiento de los datos cambia de forma
sustancial, el responsable del tratamiento deberá obtener la renovación del
consentimiento específico.
Por defecto, los servicios de localización deben estar desconectados. Un posible
mecanismo de exclusión voluntaria no constituye un mecanismo adecuado para
obtener el consentimiento del usuario informado.
El consentimiento es problemático en el caso de los trabajadores asalariados y los
niños. Por lo que respecta a los trabajadores, los empresarios solo podrán adoptar
esta tecnología cuando sea una necesidad demostrable para un fin legítimo y el
mismo objetivo no pueda ser alcanzado con medios menos intrusivos. Por lo que
respecta a los niños, los padres deben juzgar si la utilización de dicha aplicación
está justificada en circunstancias específicas.
Como mínimo, deberán informar a sus hijos y, tan pronto como sea
razonablemente posible, les permitirán participar en la decisión de utilizar dicha
aplicación.
El Grupo de trabajo recomienda limitar el período de validez de la autorización y
recordar su existencia a los usuarios al menos una vez al año.
Recomienda igualmente una claridad suficiente en el consentimiento con respecto
a la precisión de los datos de localización.
6
Los interesados deberán poder retirar su consentimiento de forma muy fácil, sin
consecuencias negativas para el uso de su producto.
Con respecto a la cartografía de puntos de acceso WiFi, las empresas pueden
tener un interés legítimo en la necesaria recogida y tratamiento de direcciones
MAC y las localizaciones calculadas de los puntos de acceso WiFi para el fin
específico de prestación de servicios de geolocalización. El balance de intereses
entre los derechos del responsable del tratamiento de datos y de los afectados
exige que el responsable del tratamiento ofrezca el derecho a borrarse fácil y
permanentemente de la base de datos, sin solicitar datos personales adicionales.
Derechos de los interesados
•Los distintos responsables del tratamiento de información de geolocalización
procedente de dispositivos móviles deben permitir a sus clientes acceder a sus
datos de localización en un formato legible por personas y permitir la rectificación
y el borrado sin recoger datos personales excesivos.
•Los interesados también tendrán derecho de acceso, rectificación y borrado de
posibles perfiles basados en estos datos de localización.
•El Grupo de trabajo recomienda la creación de un acceso en línea (seguro)”.
En cuanto al periodo de conservación de los datos, en el Dictamen se establece que los
proveedores de servicios de geolocalización deben garantizar que tanto dichos datos
como los perfiles elaborados a partir de los mismos, se eliminen tras un periodo justificado
de tiempo.
Por último, además del Dictamen relativo a la geolocalización, el Grupo del Artículo 29
adoptó el 27 de febrero de 2013 el Dictamen 02/2013 sobre las aplicaciones de los
dispositivos inteligentes, cuyo estudio puede resultar de utilidad a la consultante.
En resumen, las obligaciones mencionadas y relativas a: información (clara, sencilla,
entendible por cualquier persona), consentimiento (informado, específico, desvinculado de
las obligaciones y condiciones generales, fácilmente revocable), conservación limitada de
los datos y respeto a los derechos de los usuarios, deberán ser observadas en el
tratamiento de los datos de geolocalización realizado mediante la aplicación objeto de
consulta.
En Vitoria-Gasteiz, 2 de marzo de 2015
7
Descargar