Informe jurídico de la Agencia Española de Protección de Datos

La consulta plantea la aplicabilidad de la normativa de protección de datos al sistema que pretende desarrollar la entidad consultante, consistente en el tratamiento de la señal recibida por los dispositivos de captación y análisis de señales Wifi que se instalan en determinadas tiendas, al objeto de conocer los recorridos y tránsitos realizados por terminales electrónicos con emisión de dicha señal –“Wifi tracking”-. Este tratamiento de datos tendría por objeto la detección de los productos que generan mayor interés en los clientes para la posterior realización de acciones de mercadotecnia.

Antes de proceder a la emisión del presente informe, debe señalarse que el mismo solo puede analizar, atendiendo a los propios datos manifestados con la consultante, las cuestiones planteadas por la misma con carácter general, sin poder analizar, con carácter exhaustivo, las concretas medidas planteadas, no correspondiendo a esta Agencia validar, con carácter previo, ningún tipo de tratamiento, debiendo ser los responsables del tratamiento los que velen por su adecuación a la normativa de protección de datos personales, sin perjuicio de los supuestos excepcionales en que proceda formular consulta previa y de los poderes de investigación que corresponden a la misma.

I

La primera cuestión que debe analizarse consiste en determinar si el sistema descrito en la consulta implica o no un tratamiento de datos de carácter personal, en el sentido previsto por Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos –RGPD-), y por tanto si debe o no aplicarse la normativa indicada.

En primer lugar, debe tenerse en cuenta que el artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, define los datos personales como “: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

A su vez, de acuerdo con el contenido de la “Definición” del punto 2 del propio artículo 4 del RGPD, para que exista tratamiento de datos de carácter personal, se requiere la realización de “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”. Por su parte, la definición de “fichero” se contiene en el apartado 6 del artículo 4, que refiere a “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.

 Los apartados 1 y 2 del artículo 2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales –LOPDPGDD-, “Ámbito de aplicación de los Títulos I a IX y de los artículos 89 a 94”, establecen que:

“1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. (…)”

Según se expone en la consulta, se trata de desplegar un sistema de escáneres en el interior de instalaciones y establecimientos -ya sea aprovechando la infraestructura Wifi del propietario o implementando una nueva-, que detecte todas las señales que emiten los dispositivos electrónicos cuando tienen el Wifi encendido –Wifi tracking-. Así, el hecho de conocer qué zonas provocan más interés en los clientes, a través de la localización por Wifi, puede permitir la creación de nuevas estrategias de marketing o promociones a los clientes con el fin de mejorar su participación en el mercado y posicionar las marcas a nivel más competitivo. wifi

Pues bien, las cuestiones planteadas ya han sido resueltas en informes anteriores de esta Agencia – 0310/2010 y 0060/2011, ambos de 3 de junio de 2011, 0149/2014, de 30 de julio de 2014, y 0175/2015, de 3 de marzo de 2016-, y en dictámenes del Grupo de Trabajo de Autoridades de Protección de Datos, creado por el artículo 29 de la Directiva 95/46/CE. wifi

Reiterando que el tema ha sido tratado por el Grupo de Trabajo de Autoridades de Protección de Datos, creado por el artículo 29 de la Directiva 95/46/CE, ha de partirse del Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio (documento WP 136), que recuerda que es posible hablar de la existencia de datos personales incluso en supuestos en los que no se cuenta con una identificación singularizada del interesado, dado que: wifi

“(…) conviene señalar que, si bien la identificación a través del nombre y apellidos es en la práctica lo más habitual, esa información puede no ser necesaria en todos los casos para identificar a una persona. Así puede suceder cuando se utilizan otros «identificadores» para singularizar a alguien. Efectivamente, los ficheros informatizados de datos personales suelen asignar un identificador único a las personas registradas para evitar toda confusión entre dos personas incluidas en el fichero. También en Internet, las herramientas de control de tráfico permiten identificar con facilidad el comportamiento de una máquina y, por tanto, la del usuario que se encuentra detrás. Así pues, se unen las diferentes piezas que componen la personalidad del individuo con el fin de atribuirle determinadas decisiones. Sin ni siquiera solicitar el nombre y la dirección de la persona es posible incluirla en una categoría, sobre la base de criterios socioeconómicos, psicológicos, filosóficos o de otro tipo, y atribuirle determinadas decisiones puesto que el punto de contacto del individuo (un ordenador) hace innecesario conocer su identidad en sentido estricto. En otras palabras, la posibilidad de identificar a una persona ya no equivale necesariamente a la capacidad de poder llegar a conocer su nombre y apellidos. La definición de datos personales refleja este hecho. (…) Las autoridades nacionales de protección de datos se han enfrentado a casos en los que el responsable del tratamiento sostenía que sólo se habían tratado informaciones dispersas, sin referencias a nombres u otros identificadores directos, y abogaba por que los datos no se considerasen como personales y no estuvieran sujetos a las normas de protección de los datos. Y, sin embargo, el tratamiento de esa información sólo cobraba sentido si permitía la identificación de individuos concretos y su tratamiento de una manera determinada. En estos casos, en los que la finalidad del tratamiento implica la identificación de personas, puede asumirse que el responsable del tratamiento o cualquier otra persona implicada tiene o puede tener medios que «puedan ser razonablemente utilizados», para identificar al interesado. De hecho, sostener que las personas físicas no son identificables, cuando la finalidad del tratamiento es precisamente identificarlos, sería una contradicción flagrante. Por lo tanto, debe considerarse que la información se refiere a personas físicas identificables y el tratamiento debe estar sujeto a las normas de protección de datos.” wifi

Y en cuanto a la posibilidad de identificación del interesado, el documento además recuerda lo siguiente: “Por otra parte, se trata de una prueba dinámica, por lo que debe tenerse en cuenta el grado de avance tecnológico en el momento del tratamiento y su posible desarrollo en el período durante el cual se tratarán los datos. Puede que la identificación no sea factible hoy con el conjunto de los medios que puedan ser razonablemente utilizados en la actualidad. Si lo previsto es que los datos se conserven durante un mes, puede que no sea factible adelantar la identificación para que esté terminada dentro del «período de vida» de la información y, por lo tanto, esa información no debe considerarse como datos personales. Ahora bien, si el período de conservación previsto es de diez años, el responsable del tratamiento debe barajar la posibilidad de que la identificación pueda producirse al cabo de nueve años, con lo que adquiriría en ese momento la categoría de datos personales. Es preciso que el sistema sea capaz de adaptarse a los progresos tecnológicos a medida que éstos se produzcan y que introduzca las medidas técnicas y organizativas apropiadas a su debido tiempo.” wifi

Por último, en lo que respecta al tratamiento de la dirección IP dinámica asignada por el operador por parte de otras entidades, el documento también considera posible entender que la misma tiene la condición de dato personal, al señalar que:

“El Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable. En ese sentido ha declarado que «los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente en un fichero la fecha, la hora, la duración y la dirección IP dinámica asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de servicios de Internet que mantienen un fichero registro en el servidor HTTP. En estos casos, no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 2 de la Directiva». wifi

 Especialmente en aquellos casos en los que el tratamiento de direcciones IP se lleva a cabo con objeto de identificar a los usuarios de un ordenador (por ejemplo, el realizado por los titulares de los derechos de autor para demandar a los usuarios por violación de los derechos de propiedad intelectual), el responsable del tratamiento prevé que los «medios que pueden ser razonablemente utilizados» para identificar a las personas pueden obtenerse, por ejemplo, a través de los tribunales competentes (de otro modo la recopilación de información no tiene ningún sentido), y por lo tanto la información debe considerarse como datos personales.”

 Y más específicamente en relación con el asunto que nos ocupa, esta opinión se singulariza en relación con los dispositivos de telefonía móvil que permiten la localización del interesado en su Dictamen 13/2011 sobre los servicios de geo localización en los dispositivos móviles inteligentes (documento WP185). wifi

En dicho documento, tras recordar las conclusiones ya alcanzadas en su anterior Dictamen 5/2005 (WP115), de las que se desprende que “debido a que los datos de localización que se obtienen de las estaciones base se refieren a una persona física identificada o identificable, estos están sujetos a las disposiciones relativas a la protección de los datos de carácter personal que se establecen en la Directiva 95/46/CE del 24 de octubre de 1995”, concluye, en lo que afecta a la aplicación de la citada Directiva, lo siguiente:

“Conforme a la Directiva sobre protección de datos, se entiende por datos personales toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social – artículo 2 (a) de la Directiva. wifi

 El considerando 26 de la Directiva presta especial atención al término “identificable” cuando señala: “considerando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona.” wifi

El considerando 27 de la Directiva expone el amplio alcance de la protección: “considerando que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión;”

En su Dictamen 4/2007 sobre el concepto de datos personales, el Grupo de Trabajo ha facilitado una amplia orientación sobre la definición de datos personales.

 Dispositivos móviles inteligentes

Los dispositivos móviles inteligentes están inextricablemente ligados a las personas físicas. Normalmente existe una identificabilidad directa e indirecta.

En primer lugar, los operadores de telecomunicaciones que proporcionan acceso a Internet móvil y a través de la red GSM poseen normalmente un registro con el nombre, la dirección y los datos bancarios de cada cliente, junto con varios números únicos del dispositivo, como el IMEI y el IMSI.

En segundo lugar, la compra de software adicional para el dispositivo (de aplicaciones o apps) suele requerir un número de tarjeta de crédito y de ahí que enriquezca la combinación del o de los números únicos y los datos de localización con datos directamente identificativos.

La identificabilidad indirecta puede lograrse mediante la combinación del o de los números únicos del dispositivo, junto con una o más ubicaciones calculadas.

Cada dispositivo móvil inteligente posee al menos un identificador único, la dirección MAC. El dispositivo puede tener otros números de identificación únicos, que puede añadir el desarrollador del sistema operativo. Estos identificadores pueden transmitirse y tratarse posteriormente en el contexto de los servicios de geolocalización. Es cierto que la ubicación de un dispositivo concreto puede calcularse de forma muy precisa, especialmente cuando se combinan las distintas infraestructuras de geolocalización. Dicha ubicación puede apuntar a una casa o a un empleador. Es posible, especialmente a través de las observaciones repetidas, identificar al propietario del dispositivo.

A la hora de considerar los medios disponibles para la identificabilidad, los avances deben tenerse en cuenta ya que las personas tienden a divulgar cada vez más datos de localización personal en Internet, por ejemplo, publicando la ubicación de su casa o su trabajo junto con otros datos identificables. Este tipo de divulgaciones también puede darse sin su conocimiento, cuando otras personas les geo etiquetan. Gracias a este avance resulta más fácil vincular una ubicación o un patrón de comportamiento con una persona específica.

Además, conforme al Dictamen 4/2007 sobre el concepto de datos de carácter personal, debe señalarse que un identificador único, en el contexto descrito anteriormente, permite realizar un seguimiento de un usuario de un dispositivo específico y, por tanto, permite “singularizar” al usuario incluso aunque se desconozca su verdadero nombre.”

Por consiguiente, la dirección MAC es un dato de carácter personal, debiendo su tratamiento estar sujeto a esta normativa. Y específicamente en cuanto a los datos de localización, así lo ha reiterado posteriormente el mismo Grupo del Art. 29 de la Directiva 1995/46/CE en su Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes; tanto en la introducción como entre los datos personales tratados por las aplicaciones que pueden incidir significativamente en la vida privada de los usuarios y otras personas se incluye la localización.