El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la aplicabilidad de la normativa de protección de datos al sistema de «WiFi tracking» que una entidad pretende desarrollar. Este sistema consiste en el tratamiento de señales Wi-Fi emitidas por dispositivos electrónicos en tiendas para conocer los recorridos y tránsitos de los clientes, con el objetivo de realizar acciones de mercadotecnia.
El informe destaca que el tratamiento de datos de carácter personal, como los datos de localización, está sujeto a la normativa de protección de datos, específicamente el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). La AEPD subraya que los datos de localización, aunque no estén directamente asociados a un nombre, pueden identificar a una persona física, lo que los convierte en datos personales.
El informe también aborda la diferencia entre anonimización y seudonimización. La anonimización implica que los datos no puedan ser asociados a una persona identificada o identificable, mientras que la seudonimización permite la identificación indirecta mediante información adicional. En el caso del «WiFi tracking», la seudonimización no exime al tratamiento de la aplicación del RGPD, ya que los datos siguen siendo identificables.
La AEPD enfatiza la necesidad de realizar un análisis de riesgos y, en su caso, una Evaluación de Impacto en la Protección de Datos (EIPD) para determinar las medidas técnicas y organizativas necesarias para garantizar la protección de los datos personales. Además, se debe informar a los interesados sobre el tratamiento de sus datos, proporcionando información clara y accesible sobre los fines del tratamiento, la base jurídica, los derechos de los interesados y las medidas de seguridad implementadas.
El informe concluye que el tratamiento de datos de localización mediante «WiFi tracking» debe basarse en una base jurídica válida, como el consentimiento del interesado o el interés legítimo del responsable, siempre que se realice una prueba de sopesamiento que demuestre que los intereses del responsable no prevalecen sobre los derechos y libertades de los interesados. La AEPD también subraya la importancia de implementar medidas de seguridad adecuadas y de contar con un Delegado de Protección de Datos (DPD) para asegurar el cumplimiento de la normativa de protección de datos.