CN14-040 DICTAMEN RELATIVO A LA CONSULTA FORMULADA POR […] EN RELACIÓN CON EL USO DE DISPOSITIVOS MÓVILES DE LOCALIZACIÓN Y SEGUIMIENTO A USUARIOS TURÍSTICOS. ANTECEDENTES PRIMERO: Con fecha 16 de diciembre de 2014 se recibe en la Agencia Vasca de Protección de Datos solicitud de dictamen remitida por […], en relación con el asunto referenciado en el encabezamiento. En dicho escrito, se recoge lo siguiente: “Con carácter general, debe indicarse que los artículos 1 y 2 de la Ley Orgánica de Protección de Datos de Carácter Personal extienden su protección a los derechos de los ciudadanos en lo que se refiere al tratamiento automatizado de sus datos de carácter personal, siendo definidos éstos en el artículo 3.a) de la citada Ley como “cualquier información concerniente a personas físicas identificadas o identificables.” El artículo 2 de la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas define los datos de localización como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público”. Por consiguiente, habida cuenta de que los datos de localización se refieren siempre a una persona física identificada o identificable, constituyen datos personales, por lo que les son de aplicación las disposiciones sobre la protección de éstos contenidas en la LOPD y su normativa de desarrollo. La Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos dispone que dicha Agencia atenderá las consultas que en materia de protección de datos de carácter personal le formulen las Administraciones públicas. En uso de dicha facultad se solicita informe sobre la siguiente cuestión: Con el fin de analizar y estudiar el comportamiento del turista una vez está en Euskadi, y poder así definir las políticas y estrategias que ayuden a mejorar la competitividad de nuestro destino, queremos implantar una “huella” en las aplicaciones móviles de Turismo Euskadi tanto de iOs como Android. Para ello contaríamos con una plataforma denominada Apptrack que es una herramienta desarrollada por CICTourgune y que permite obtener y analizar información referente a los usuarios de aplicaciones móviles de forma transparente al propio usuario, ya que obtiene los datos en segundo plano. Conviene remarcar que una vez se baje la app de […] con la huella al dispositivo móvil, el envío de información sobre los movimientos de la persona viajera se mantendrían aun cuando no la estuviera utilizando. Esto es posible porque Apptrack c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.eus - www.avpd.eus va guardando el posicionamiento del usuario. Para que esto no ocurra sería necesario desinstalar la app”. El escrito de consulta va acompañado de un documento denominado “Consideraciones Implementación Apptrack” y de otro denominado “apptrack Plataforma para el análisis de la movilidad del visitante”. De este último documento interesa destacar los siguientes párrafos: “La plataforma apptrack posibilita la obtención de información del visitante en movilidad desde su dispositivo móvil, con el fin de poder analizar su comportamiento en destino y facilitar así la definición de políticas y estrategias para mejorar la competitividad del destino”. … “Política de privacidad La plataforma apptrack incluye un sistema de monitorización del usuario para obtener la localización del dispositivo móvil. Esta información es totalmente anónima y no se asocia a ningún dato de carácter personal que pueda identificar personalmente y unívocamente a los usuarios. Para ello, simplemente se asigna un código generado aleatoriamente a cada usuario móvil. Además, apptrack no genera perfiles de usuarios particulares y concretos a partir de los datos recopilados, sino que realiza estudios agregados, manteniéndose por tanto el anonimato total de cada usuario particular. De todas formas, se recomienda alertar al usuario móvil de que su localización va a ser monitorizada. Para ello, se plantean dos posibles formas: Mensaje en la propia app o sitio web móvil. Se le mostrará al usuario un mensaje como el que sigue a continuación. Esta app no guarda ningún dato que le pueda identificar personalmente. A fin de conocer sus preferencias y adaptar la oferta a las necesidades, CICtourGUNE se reserva el derecho de analizar estadísticamente los datos en forma de huella digital dejada por UD. Sobre su movilidad de forma totalmente anónima. Aceptando esta cláusula Ud. Admite que CICtourGUNE disponga de dicha información para realizar trabajos de investigación con carácter científico. Además, los datos recogidos de forma totalmente anónima, podrán ser consultados por terceros”. SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley”. Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa citada, la emisión del dictamen en respuesta a la consulta formulada. 2 CONSIDERACIONES I La presente consulta se inserta en el campo de las comunicaciones electrónicas, más concretamente en la denominada geolocalización y su afectación al derecho fundamental a la protección de datos de carácter personal. Por ello, analizaremos primero el concepto y características del dato de localización, continuando después con el estudio de su régimen jurídico. Según la Guía sobre seguridad y privacidad de las herramientas de geolocalización del Instituto Nacional de Tecnologías de la Comunicación (INTECO), se denomina “geolocalización” al conjunto de tecnologías que combinan la georreferenciación de elementos del mundo real con la información obtenida a través de una conexión a Internet, siendo, a juicio de este Instituto, una de las manifestaciones más populares del desarrollo actual de las Tecnologías de la Información y las Comunicaciones (TIC), que está experimentando un auge relevante en los últimos tiempos. El marco normativo aplicable a la presente consulta se contiene en la Directiva 95/46 cuya transposición al derecho interno se materializa en La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD). Esta Ley define los datos de carácter personal en su artículo 3.a) como “cualquier información concerniente a personas físicas identificadas o identificables”. El Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, amplía la definición anterior conceptuando al dato de carácter personal en su artículo 5.1.f) como “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”. Por otra parte, el grupo del artículo 29 (órgano consultivo de la Comisión Europea en materia de Protección de Datos), ha considerado de forma inequívoca que estamos ante datos de carácter personal, en los supuestos de geolocalización. Así, su Dictamen 13/2011 sobre geolocalización en dispositivos móviles establece en el punto 6.1 lo siguiente: “El marco jurídico de la UE para el uso de los datos de geolocalización procedentes de dispositivos móviles inteligentes es fundamentalmente la Directiva sobre protección de datos. Los datos de localización procedentes de dispositivos móviles inteligentes son datos personales...”. La importancia de estos datos podemos comprobarla en aspectos tales como las especiales medidas de seguridad que se deben observar: así, el Reglamento de desarrollo de la LOPD el regular las medidas de seguridad incluye la siguiente previsión para los datos de tráfico en su artículo 81.4: “A los ficheros de los que sean responsables los operadores que presten sus servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este Reglamento” (Registro de accesos). 3 Por otro lado, en el Borrador de Reglamento Europeo de Protección de Datos se incluye en el artículo 33 una previsión sobre la evaluación de impacto relativa a la protección de datos y autorización previa. El punto 1 de dicho establece: “Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales”. La Agencia Española de Protección de Datos en su “Guía para una Evaluación de Impacto en la Protección de Datos Personales” considera aconsejable realizar evaluaciones de impacto en supuestos de tratamiento de datos de geolocalización al entender que constituye una tecnología especialmente invasiva sobre la privacidad. Estamos por tanto ante una categoría de datos a los que, como hemos visto, los legisladores europeo y estatal, así como las autoridades de control otorgan especial relevancia, debido a su fuerte afectación a la privacidad. II Una vez expuesta la naturaleza de los datos objeto de consulta, ha de centrarse ahora el análisis en el tratamiento de tales datos, así como los principios que dicho tratamiento debe respetar. La LOPD define el tratamiento en su artículo 3 c) como “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Si bien en el apartado correspondiente a la política de privacidad de la aplicación se señala que la información es anónima, asignándose un código generado aleatoriamente a cada usuario móvil, a nuestro juicio esta circunstancia puede considerarse una seudonomización o utilización de seudónimos pero no una disociación, ya que esta última exige que la desvinculación con la identidad de la persona sea irreversible. Así, en el Dictamen 05/2014 sobre técnicas de anonimización señala en su punto 4 lo siguiente: “4. Seudonimización La seudonimización consiste en la sustitución de un atributo (normalmente un atributo único) por otro en un registro. Por consiguiente, sigue existiendo una alta probabilidad de identificar a la persona física de manera indirecta; en otras palabras, el uso exclusivo de la seudonimización no garantiza un conjunto de datos anónimo. No obstante, el presente dictamen examina este método debido a las numerosas ideas falsas y errores existentes sobre él. La seudonimización reduce la vinculabilidad de un conjunto de datos con la identidad del interesado; se trata, por tanto, de una medida de seguridad útil, pero no es un método de anonimización”. Por este motivo, entendemos plenamente aplicables las previsiones de la LOPD sobre el tratamiento de datos de carácter personal. 4 La captación de información sobre la localización geográfica a través del dispositivo utilizado por una persona identificada o identificable constituye un tratamiento de datos de carácter personal, pudiendo advertirse diferentes supuestos. Así, El Grupo del Artículo 29 ha estudiado de forma específica el tratamiento de los datos de geolocalización en sus diferentes posibilidades y lo ha plasmado en su Dictamen 13/2011. Este Dictamen analiza distintas posibilidades en función de la naturaleza del responsable del tratamiento de los datos, diferenciando entre: Datos tratados por los proveedores de infraestructuras de geolocalización, en particular los operadores de telecomunicaciones. Datos tratados por proveedores de aplicaciones y servicios de geolocalización, como prestatarios de servicios de la Sociedad de la Información. Datos tratados por el creador del Sistema Operativo del dispositivo. Así, en el caso de que el tratamiento de datos de geolocalización fuese efectuado por el operador de telecomunicaciones (caso que no se ajusta a las concretas circunstancias de la consulta), también sería de aplicación la Directiva 2002/58/CE sobre la protección de la intimidad y las comunicaciones electrónicas, modificada por la Directiva 2009/136/CE y la correspondiente trasposición nacional que es la Ley 9/2014, de 9 de mayo, de Telecomunicaciones. En especial lo previsto en sus artículos 41 y 48. Precisamente, el apartado segundo del artículo 48.2.c trata sobre los datos de geolocalización, en los siguientes términos: “Respecto a la protección de datos personales y la privacidad (…) los usuarios finales de los servicios de comunicaciones electrónicas tendrán los siguientes derechos: (…) c) A que sólo se proceda al tratamiento de sus datos de localización distintos a los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento informado y únicamente en la medida y por el tiempo necesarios para la prestación, en su caso, de servicios de valor añadido, con conocimiento inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el servicio de valor añadido que vaya a ser prestado. Los usuarios finales dispondrán del derecho de retirar su consentimiento en cualquier momento y con efecto inmediato para el tratamiento de los datos de localización distintos de tráfico”. En el caso concreto que nos ocupa en el presente dictamen, se trataría de un tratamiento de datos por proveedores de aplicaciones y servicios de geolocalización, como prestatarios de servicios de la Sociedad de la Información. Según el Dictamen antes mencionado, “el proveedor de una aplicación que sea capaz de procesar datos de geolocalización es el responsable del tratamiento de datos personales resultantes de la instalación y uso de la aplicación”. Corresponde por ello al responsable la aplicación a estos tratamientos, de los principios básicos del derecho fundamental a la protección de datos, principios como los relativos a la información y el consentimiento, que han sido abordados en el Dictamen 13/2011 del Grupo del artículo 29 sobre los servicios de geolocalización en los dispositivos móviles inteligentes. Como aspectos más destacables de dicho documento puede señalarse que en lo referente a la privacidad se resalta el impacto que sobre la misma tienen los servicios de 5 geolocalización al estar dichos dispositivos ligados a una persona concreta, existiendo la posibilidad de identificar a la misma. Se destaca asimismo la posibilidad de que, a través de esta tecnología puedan crearse patrones de conducta del propietario del dispositivo y elaborar perfiles completos del mismo. Esta especial afectación a la privacidad ha llevado a la Comisión a expresar en su Dictamen, que los servicios de geolocalización no pueden estar activados de serie, debiendo realizarse la activación tras un consentimiento informado. Merecen, a nuestro juicio destacarse las previsiones contenidas en relación con la información, el consentimiento (al que identifica como interés legítimo) y los derechos de los afectados, previsiones que reproducimos a continuación: “Información •La información deberá ser clara, completa, comprensible para un público amplio y no técnico, y accesible de forma permanente y fácil. La validez del consentimiento está vinculada indisolublemente a la calidad de la información sobre el servicio. •Los terceros, como los navegadores y los sitios de redes sociales, deben desempeñar un papel clave en lo que se refiere a la visibilidad y la calidad de la información sobre el tratamiento de los datos de geolocalización. Interés legítimo Debido a que los datos de localización de los dispositivos móviles inteligentes revelan detalles íntimos sobre la vida privada de su propietario, el principal interés legítimo aplicable es el consentimiento fundamentado previo. El consentimiento no puede obtenerse a través de condiciones generales. El consentimiento debe ser específico para los diferentes fines para los que se procesen los datos, por ejemplo para elaborar perfiles y orientaciones de comportamiento. Si la finalidad del tratamiento de los datos cambia de forma sustancial, el responsable del tratamiento deberá obtener la renovación del consentimiento específico. Por defecto, los servicios de localización deben estar desconectados. Un posible mecanismo de exclusión voluntaria no constituye un mecanismo adecuado para obtener el consentimiento del usuario informado. El consentimiento es problemático en el caso de los trabajadores asalariados y los niños. Por lo que respecta a los trabajadores, los empresarios solo podrán adoptar esta tecnología cuando sea una necesidad demostrable para un fin legítimo y el mismo objetivo no pueda ser alcanzado con medios menos intrusivos. Por lo que respecta a los niños, los padres deben juzgar si la utilización de dicha aplicación está justificada en circunstancias específicas. Como mínimo, deberán informar a sus hijos y, tan pronto como sea razonablemente posible, les permitirán participar en la decisión de utilizar dicha aplicación. El Grupo de trabajo recomienda limitar el período de validez de la autorización y recordar su existencia a los usuarios al menos una vez al año. Recomienda igualmente una claridad suficiente en el consentimiento con respecto a la precisión de los datos de localización. 6 Los interesados deberán poder retirar su consentimiento de forma muy fácil, sin consecuencias negativas para el uso de su producto. Con respecto a la cartografía de puntos de acceso WiFi, las empresas pueden tener un interés legítimo en la necesaria recogida y tratamiento de direcciones MAC y las localizaciones calculadas de los puntos de acceso WiFi para el fin específico de prestación de servicios de geolocalización. El balance de intereses entre los derechos del responsable del tratamiento de datos y de los afectados exige que el responsable del tratamiento ofrezca el derecho a borrarse fácil y permanentemente de la base de datos, sin solicitar datos personales adicionales. Derechos de los interesados •Los distintos responsables del tratamiento de información de geolocalización procedente de dispositivos móviles deben permitir a sus clientes acceder a sus datos de localización en un formato legible por personas y permitir la rectificación y el borrado sin recoger datos personales excesivos. •Los interesados también tendrán derecho de acceso, rectificación y borrado de posibles perfiles basados en estos datos de localización. •El Grupo de trabajo recomienda la creación de un acceso en línea (seguro)”. En cuanto al periodo de conservación de los datos, en el Dictamen se establece que los proveedores de servicios de geolocalización deben garantizar que tanto dichos datos como los perfiles elaborados a partir de los mismos, se eliminen tras un periodo justificado de tiempo. Por último, además del Dictamen relativo a la geolocalización, el Grupo del Artículo 29 adoptó el 27 de febrero de 2013 el Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes, cuyo estudio puede resultar de utilidad a la consultante. En resumen, las obligaciones mencionadas y relativas a: información (clara, sencilla, entendible por cualquier persona), consentimiento (informado, específico, desvinculado de las obligaciones y condiciones generales, fácilmente revocable), conservación limitada de los datos y respeto a los derechos de los usuarios, deberán ser observadas en el tratamiento de los datos de geolocalización realizado mediante la aplicación objeto de consulta. En Vitoria-Gasteiz, 2 de marzo de 2015 7