La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente dos informes (0017/2019 y 0043/2019) donde analiza el tratamiento de la señal recibida por los dispositivos móviles con el fin de conocer los recorridos que realizan dichos dispositivos dentro de un recinto determinado y detectar los productos y zonas que generan mayor interés en los clientes para la posterior realización de acciones de mercadotecnia, como puede ser la creación de nuevas estrategias de marketing o promociones a los clientes con el fin de mejorar su participación en el mercado y posicionar las marcas a nivel más competitivo.
Lo primero que entra a analizar la AEPD es si nos encontramos o no ante un tratamiento de datos personales. En este sentido, el Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio por el Grupo de Trabajo del Artículo 29 (actual Comité Europeo de Protección de Datos), recuerda que es posible hablar de la existencia de datos personales incluso en supuestos en los que no se cuenta con una identificación singularizada del interesado. En concreto, en relación con los dispositivos de telefonía móvil que permiten la localización del interesado, se debe destacar la opinión de este organismo manifestada en su Dictamen 13/2011. En dicho documento se llega a la conclusión de que debido a que los datos de localización que se obtienen de las estaciones base se refieren a una persona física identificada o identificable, estos están sujetos a las disposiciones relativas a la protección de los datos de carácter personal. Por lo tanto, dado que los dispositivos móviles inteligentes están ligados a las personas físicas, normalmente existe una identificabilidad directa e indirecta.
Cada dispositivo móvil inteligente posee al menos un identificador único, la dirección MAC. El dispositivo puede tener otros números de identificación únicos, que puede añadir el desarrollador del sistema operativo. Estos identificadores pueden transmitirse y tratarse posteriormente en el contexto de los servicios de geolocalización.
Conforme al Dictamen 4/2007 antes mencionado, debe señalarse que un identificador único (como puede ser la dirección MAC) permite realizar un seguimiento de un usuario de un dispositivo específico y, por tanto, permite “singularizar” al usuario incluso aunque se desconozca su nombre.
Por consiguiente, la dirección MAC es un dato de carácter personal, debiendo su tratamiento estar sujeto a esta normativa.
La AEPD ya trató la cuestión en dos informes jurídicos de 3 de junio de 2011 señalando que el tratamiento conjunto de los datos relacionados con un terminal móvil, consistentes en el TMSI (que podría asimilarse con la dirección IP dinámica), la dirección MAC y el código IMSI (que podría equipararse a una suerte de dirección MAC de la tarjeta SIM del usuario), implican la recopilación de información suficiente para que pueda entenderse que dicho tratamiento se encuentra sometido a la normativa de protección de datos.
Por todo lo anterior, sólo sería posible evitar la aplicación de la legislación de protección de datos en caso de que se produjese una disociación absoluta de los datos de TMS, IMSI y dirección MAC del terminal del usuario y que dicha información no pudiera en ningún caso ser objeto de conservación (es decir, que se procediese a su anonimización).
Adicionalmente, es importante indicar que la AEPD ya manifestó en un informe de 29 de abril de 2010 que habida cuenta de que los datos de localización se refieren siempre a una persona física identificada o identificable, constituyen datos personales.
Dicho lo anterior, una vez que se ha determinado que nos encontramos ante un tratamiento de datos personales, debemos analizar si dicho tratamiento es conforme con la normativa de protección de datos.
Lo primero que debemos analizar es la base legitimadora que permitiría el tratamiento de esta tipología de datos. En este sentido, la AEPD considera que, con carácter general, el tratamiento de los datos de localización requiere el consentimiento del afectado. No obstante, dicho organismo no cierra la puerta a poder basar el tratamiento de los datos de localización en el interés legítimo recogido en el artículo 6.1 f) del RGPD.
En relación con el interés legítimo, corresponderá a cada responsable del tratamiento el análisis de la concurrencia del referido interés. A dichos efectos, correrá de cuenta de dichos responsables la acreditación de la prueba de “sopesamiento”, exigida en relación con la concurrencia de la base legitimadora del “interés legítimo”, dentro del marco del juicio de proporcionalidad inherente a la aplicación de dicha base jurídica del tratamiento de datos de carácter personal.
Según se expone en la consulta que da lugar a los informes emitidos por la AEPD indicados al comienzo de este artículo, la empresa consultante tiene interés en conocer los recorridos o tránsitos que hacen los dispositivos móviles dentro del establecimiento para contabilizarlos, determinando la frecuencia de visita y los itinerarios recorridos por los dispositivos, al objeto de la realización de actividades de mercadotecnia. En el Dictamen 6/2014, de 9 de abril, sobre el concepto de interés legítimo del responsable del tratamiento, del grupo de trabajo del Artículo 29, se incorporan diversas directrices y orientaciones en orden a la concurrencia del “interés legítimo”, así como los elementos de salvaguarda necesarios en atención al respeto y garantía de los derechos de los afectados por este tipo de tratamientos. En el marco de dichas garantías, destaca la exigencia de la “prueba de sopesamiento” entre el interés legítimo del responsable del tratamiento o cualesquiera terceros a los que se comuniquen los datos y los intereses o los derechos fundamentales del interesado.
Por consiguiente, solo en los casos en que, como resultado de la prueba de sopesamiento, no prevalezcan los intereses y los derechos fundamentales de los afectados, podrá llevarse a cabo el tratamiento sobre la base jurídica del artículo 6.1.f) del RGPD (interés legítimo).
Por otra parte, se deben implementar, en el tratamiento de los datos de localización de los terminales móviles, salvaguardas, garantías y medidas técnicas y organizativas adecuadas. En este sentido, el responsable deberá realizar un análisis de los riesgos en el tratamiento de los datos personales para aplicar las medidas de seguridad que sean pertinentes, así como, a criterio de la AEPD, realizar la correspondiente Evaluación de Impacto.
Finalmente, el responsable del tratamiento deberá contar con un Delegado de Protección de Datos que le informe y asesore en el cumplimiento de la normativa de protección de datos, siendo obligatoria su designación conforme a lo establecido en el artículo 34.k) de la LOPDGDD:
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.