Geoposicionamiento en interiores y protección de datos: buscando el equilibrio entre tecnología y derechos

El extraordinario desarrollo que están experimentando las tecnologías basadas en el indoor positioning, o geoposicionamiento en interiores, ha vuelto a poner de manifiesto con toda su intensidad el debate sobre el uso de la tecnología en relación con la protección de datos personales.

Hasta hace poco tiempo el geoposicionamiento parecía haber quedado al margen de la cuestión de la protección de datos, puesto que la mayoría de los usuarios habíamos llegado a esta tecnología a través de los navegadores de nuestros automóviles, dispositivos que en sus primeras versiones eran meros receptores de señales GPS, por lo que no se presentaban como una amenaza respecto a posibles usos inadecuados de los datos personales de los usuarios.

En la actualidad este escenario ha cambiado radicalmente, especialmente al generalizarse el uso de dispositivos móviles que incluyen herramientas que permiten no sólo la geolocalización, sino también la transmisión de datos, incluyendo la creación sencilla y automática de perfiles y patrones de conducta del titular del dispositivo.

La cuestión se presentó con toda su complejidad con la generalización de teléfonos móviles y tablets dotados de GPS, que incluyen información personal de sus propietarios que puede asociarse a un determinado dato geográfico (por ejemplo, recorridos habituales, tiempos de estancia en una determinada coordenada geográfica, o el mero dato de su posición en cada momento), y se expande con la generalización de aplicaciones informáticas especialmente destinadas a geoposicionar a una determinada persona dentro de un edificio.

En este último caso no es generalmente a través del GPS, sino mediante Bluetooth, ZigBee, WiFi, o mediante el uso combinado de estas tecnologías, como se logra geoposicionar con extraordinaria precisión a una determinada persona  dentro de un inmueble, lo cual ofrece un abanico de posibilidades realmente atractivo para numerosas empresas y servicios públicos. A título de ejemplo, esta tecnología está ya siendo aplicada para cuestiones tales como la gestión de pacientes y personal sanitario en grandes hospitales, o los controles de acceso y movilidad en edificios que requieren un nivel elevado de seguridad, pero es en el entorno del retail donde muestra más posibilidades puesto que permite, a partir de la geolocalización de un determinado cliente, identificar qué ruta sigue dentro del establecimiento, en qué puntos concretos se detiene, o cuánto tiempo dedica a comprar.

Si además asociamos esta información a sus datos personales (sexo, edad, profesión,…) y a su historial de compras, podemos obtener un preciso patrón de conducta que nos permitirá hacerle llegar a través de su teléfono información y ofertas en tiempo real y altamente personalizadas. Finalmente, la agregación de estos datos obtenidos de un número elevado de clientes aportará valiosa información para definir nuevos productos, servicios o campañas, o para decidir cuál es el emplazamiento óptimo o la distribución de lineales más adecuada, según el tipo de producto ofrecido.

Hasta aquí las posibilidades de la tecnología. Pero ¿supone esto que estamos adentrándonos en el ámbito de la información personal protegida, con todo lo que ello implica? En una reciente conversación con un colega que forma parte de una conocida empresa que presta servicios de geolocalización, me indicaba que, según su opinión, no debería exigirse al tratamiento de esta información un nivel de seguridad o protección mayor que el fijado para el ejercicio de la video-vigilancia mediante cámaras. Es decir, la obligación de la empresa prestadora de servicios debería limitarse a informar al usuario de que puede estar siendo geolocalizado, y a ofrecer información del punto donde puede ejercer sus derechos de acceso, rectificación o cancelación. ¿Es esta la visión correcta? Parece que no.

A falta de unos criterios específicos sobre esta cuestión, resulta oportuno recuperar el contenido de la Opinión 13/2011, adoptada en mayo del 2011 y elaborada por el “Grupo de trabajo del artículo 29” de la Comisión Europea, que se refería al tema de los datos protegidos cuando se asociaban a servicios de geolocalización prestados a través de dispositivos móviles. Cómo es conocido, este grupo de trabajo responde al contenido de diversas Directivas europeas relacionadas con la protección de datos, y aporta criterios sobre la manera de aplicarlas. Aunque esta recomendación no se refiere expresamente al posicionamiento en interiores, sino a la geolocalizacion en general, si presta una especial atención al uso de la tecnología WiFi y a sus efectos, obteniendo una serie de conclusiones que, de forma resumida, se centran en los siguientes puntos:

• Se despeja cualquier tipo de duda señalando categóricamente que la obtención de datos de geolocalización a través de teléfonos inteligentes genera información personal que ha de ser protegida.
• Define tres niveles de responsabilidad respecto a este tipo de datos: la que afecta a los responsables de las infraestructuras que permiten la geolocalización (generalmente compañías de telecomunicaciones), la que recae sobre los desarrolladores de sistemas operativos para los teléfonos, y finalmente, la que asumen los creadores de aplicaciones específicas que incluyen herramientas basadas en el geoposicionamiento.
• Dado que la localización mediante el teléfono puede facilitar el acceso o la comunicación de datos de la vida privada de su propietario, se requerirá en todo caso el consentimiento expreso y previo del titular para acceder a estos servicios, sin que en ningún caso pueda difuminarse esta manifestación expresa con la mera asunción de las condiciones generales.
• Este consentimiento además, ha de venir referido para cada servicio o aplicación específica, y será requerido de nuevo cuando esta aplicación cambie sus contenidos o alcances.
• El Grupo de Trabajo recomienda limitar temporalmente la validez de estas manifestaciones de consentimiento (se cita un periodo recomendable de un año para renovar este consentimiento).
• En concreto, y respecto a la utilización de WiFi, el documento invita a que las compañías que utilicen esta tecnología tengan un interés legítimo y hagan un uso equilibrado de la misma, para garantizar la protección de los derechos de los usuarios.
• Finalmente, y como ocurre con todo el sistema de protección de datos, las empresas que prestan este tipo de servicios deben de ofrecer a los usuarios servicios para ejercer con sencillez y seguridad sus derechos de acceso, rectificación y cancelación de esta información.

Puede encontrarse el documento completo elaborado por el “Grupo de trabajo del artículo 29” en el siguiente enlace:

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf