Geolocalizaci贸n y protecci贸n de datos

Spread the love

Como es sabido, los datos de ubicaci贸n, pueden servir para inferir y conocer diversa informaci贸n personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compa帽铆as de servicios digitales, con base en pr谩cticas de geolocalizaci贸n irrespetuosas con el ordenamiento.

Invierno. By M.A. D铆az
  • En noviembre 2022, un grupo de 40 Attorney General聽 (fiscales generales) de Minesota en EEUU聽 lleg贸 a un acuerdo con Google LLC, a ra铆z de una sobre la presunta violaci贸n por parte de la compa帽铆a de las correspondientes normativas estatales de protecci贸n del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalizaci贸n. Poco antes, se hab铆a alcanzado un acuerdo similar en Arizona. Seg煤n ha trascendido, Google habr铆a trasmitido聽 la err贸nea impresi贸n de que cuando los usuarios desactivaban los servicios de seguimiento de localizaci贸n la compa帽铆a dejar铆a de recopilar datos de geolocalizaci贸n sobre ellos. En realidad, Google segu铆a acumulando estos datos y luego los ofrec铆a a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de d贸lares, as铆 como facilitar a los usuarios informaci贸n adicional al activar o desactivar un determinado ajuste relacionado con la localizaci贸n; y tiene que asegurar que la obtenci贸n de informaci贸n clave sobre el seguimiento de la localizaci贸n sea 芦insoslayable禄 para los usuarios , as铆 como proporcionar informaci贸n detallada sobre los tipos de datos de localizaci贸n que recopila y utiliza. M谩s aqu铆
  • En la UE, dado que los sistemas de geolocalizaci贸n capturan, almacenan y analizan la informaci贸n geogr谩fica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicaci贸n el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimaci贸n. Cuando el dispositivo sea propiedad de una persona f铆sica ser谩 necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalizaci贸n se instale en un dispositivo responsabilidad de una empresa, se podr谩 legitimar por inter茅s leg铆timo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recu茅rdese que el art. 20.3 del Estatuto de los Trabajadores permite聽芦adoptar las medidas que estime m谩s oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales禄. Estas medidas, deber谩n, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constituci贸n Espa帽ola, en coherencia adem谩s con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibici贸n del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopci贸n de la medida. La noci贸n de 鈥渇ines鈥 del art. 5.1.c RGPD, relativo al principio de minimizaci贸n, excluye todo intento de aprovecharse de los datos de car谩cter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Adem谩s, los datos de localizaci贸n se deben conservar exclusivamente durante el tiempo oportuno en funci贸n de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localizaci贸n deber谩 restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma leg铆tima en funci贸n de sus finalidades. Por consiguiente, los empresarios deber谩n adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducci贸n de medidas de verificaci贸n e identificaci贸n.

 

Adem谩s de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalizaci贸n estar谩n sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habr谩n de llevar un registro de las actividades de tratamiento que efect煤en bajo su responsabilidad (art. 30 RGPD).
  2. El an谩lisis de riesgos聽con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad.聽En este documento se van a recoger las medidas t茅cnicas y organizativas de seguridad que garanticen la protecci贸n de los datos personales, y que demuestren la adecuaci贸n con el GDPR, teniendo en consideraci贸n los derechos e intereses leg铆timos de las personas f铆sicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluaci贸n de impacto聽(DPIA) en el caso el tratamiento se realice a gran escala e implique la observaci贸n, monitorizaci贸n, supervisi贸n, geolocalizaci贸n o control del interesado de forma sistem谩tica y exhaustiva, incluida la recogida de datos y metadatos a trav茅s de redes, aplicaciones o en zonas de acceso p煤blico (art. 35.4 RGPD).

聽Ver tambi茅n聽

En Espa帽a, en enero de 2023, Audiencia Nacional anul贸 una decisi贸n de la AEPD en la que sostuvo que la empresa Virgin telco hab铆a actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalizaci贸n. El asunto hab铆a sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresi贸n inglesa聽None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relaci贸n con los acuerdos de trasmisi贸n de datos a EEUU). La ONG especializada en protecci贸n de datos recurri贸 una decisi贸n de la AEPD. NOYB sosten铆a que la聽informaci贸n sobre geolocalizaci贸n es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en Espa帽a solicit贸 acceder a sus datos de geolocalizaci贸n. Le fueron聽denegados por lo que reclam贸 ante la AEPD. La agencia dio la raz贸n a la empresa por lo que Noyb recurri贸 esa decisi贸n en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en Espa帽a est谩n obligados a almacenar datos de geolocalizaci贸n de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa informaci贸n a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado s贸lo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anul贸 la decisi贸n inicial de la AEPD. Ver aqu铆聽 la web de esta ONG

Publicado por

Elena F P茅rez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de Le贸n