Ir al contenido principal

Dictamen sobre el impacto en la privacidad de los servicios de geolocalización de Smartphones

La Agencia Española de Protección de Datos (AEPD) informó ayer que autoridades europeas de protección de datos han aprobado un Dictamen sobre el impacto en la privacidad de los servicios de geolocalización de Smartphones.
  • El Dictamen analiza los riesgos de estos servicios para la privacidad de sus usuarios, el marco jurídico aplicable y las garantías que los proveedores de servicios de geolocalización en dispositivos móviles deben cumplir.
  • Destacan que los datos de localización de smartphones pueden revelar
  • detalles íntimos sobre la vida privada de su propietario, y permitir obtener patrones de conducta del titular del dispositivo para crear perfiles.
  • De forma predeterminada, los servicios de localización deben estar apagados, y su activación requerirá del consentimiento informado y específico del usuario.
  • Los interesados deben poder retirar su consentimiento de manera fácil, sin ningún tipo de consecuencias negativas para el uso de su dispositivo.

Nota informativa completa

Las Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29) han aprobado un Dictamen sobre la incidencia y los riesgos para la privacidad de los “Servicios de Geolocalización en dispositivos móviles inteligentes”, en el que establecen el marco jurídico aplicable, en materia de protección de datos, a los servicios de geolocalización disponibles en los dispositivos móviles inteligentes, como son, entre otros: los mapas y los servicios de navegación, los servicios geopersonalizados (incluidos los puntos cercanos de interés), la realidad aumentada, el geoetiquetado de contenido en Internet, el seguimiento del paradero de los amigos, el control infantil o la publicidad basada en la localización.

El Dictamen analiza los tres principales tipos de infraestructuras destinadas a prestar servicios de geolocalización-GPS, estaciones base GSM y WiFi- así como los principales responsables que recopilan y tratan datos de localización obtenidos a partir de los dispositivos móviles y entre los que se incluyen los proveedores de la infraestructura de geolocalización, fabricantes de teléfonos inteligentes y los desarrolladores de aplicaciones basadas en geolocalización.

Riesgos para la privacidad

Las Autoridades de protección de datos destacan el impacto que pueden tener en la privacidad de los usuarios los Servicios de Geolocalización debido a que la tecnología de dispositivos móviles inteligentes- Smartphones- permite la monitorización constante de los datos de localización; a que los dispositivos están íntimamente ligados a una persona concreta; y a que normalmente existe una identificabilidad directa e indirecta del usuario.

En este sentido, el llamado Grupo de Trabajo del Artículo 29 destaca que esta tecnología, que puede llegar a revelar detalles íntimos sobre la vida privada de su propietario, permite a los proveedores de servicios de geolocalización una visión personal de los hábitos y los patrones del propietario del dispositivo y creen perfiles exhaustivos, que pueden también incluir categorías especiales de datos- si por ejemplo, revelan las visitas a los hospitales y los lugares de culto, la presencia en las manifestaciones políticas o de presencia en otros lugares específicos que revela datos sobre la vida sexual-.

Asimismo, destacan que los usuarios de este tipo de dispositivos pueden no ser conscientes de que envían su ubicación ni de a quién lo hacen, ni para qué, y que el consentimiento que otorguen para que determinadas aplicaciones utilicen sus datos de localización puede no ser válido, ya que la información que se otorga en ocasiones al usuario es incomprensible, está obsoleta o, es inadecuada.

Además, las Autoridades alertan de otros de los riesgos que pueden plantearse para la privacidad derivados de la desviación de finalidad en el uso de los datos de localización.

Obligaciones. Consentimiento informado y específico

Respecto a los requisitos para conciliación de estos de estos servicios con la Directiva de protección de datos, las Autoridades europeas de protección de datos establecen que el principal fundamento para que el tratamiento de los datos de localización sea legítimo es el consentimiento previo e informado.

En este sentido establecen que de forma predeterminada, los servicios de localización deben estar apagados y que la activación de estos servicios requiere de un consentimiento informado y especifico a los diferentes fines para que los datos sean captados o almacenados. La información debe ser clara, completa y
comprensible para un público general que no disponga de conocimientos técnicos y deberá poder accederse a la misma de forma continuada y sencilla.

Asimismo se destaca que el consentimiento no se puede obtener a través de la aceptación obligatoria de los términos y condiciones generales, y que los usuarios deben ser capaces de retirar su consentimiento de una manera fácil, sin ningún tipo de consecuencias negativas para el uso de su dispositivo.

También, el Grupo de Trabajo recomienda limitar el alcance del consentimiento en términos de tiempo y recordárselo a los usuarios por lo menos una vez al año.

Además, en el caso de una suscripción regular a un servicio de geolocalización, para evitar el riesgo de que se realice una monitorización de los datos de localización en secreto, se considera que es fundamental que el dispositivo advierta continuamente que la función de geolocalización está activada, por ejemplo, a través de un icono que se encuentre permanentemente visible.

Por otra parte, sobre la utilización de esta tecnología en el ámbito laboral se destaca que, respecto a los trabajadores, los empresarios sólo podrán adoptar esta tecnología cuando pueda demostrarse que es necesaria para un fin legítimo. En los casos en los que pueda justificarse debidamente, el empresario debe buscar siempre los medios menos intrusivos, evitar la monitorización constante e informar a los trabajadores sobre como desactivar el dispositivo de monitorización fuera de las horas de trabajo.

Respecto su utilización para el control infantil, los padres deben juzgar si el uso de este tipo de aplicaciones está justificado en circunstancias específicas. Como mínimo, deben informar a sus hijos y, tan pronto como sea posible, deben permitirles tomar parte en la decisión de utilizar este tipo de aplicación.

Periodo conservación de los datos

El Dictamen establece que los proveedores de servicios y aplicaciones de geolocalización deben implementar políticas de conservación de los datos que garanticen que tanto los datos de geolocalización como los perfiles que se creen a partir de los mismos, se eliminen tras un periodo justificado de tiempo.

Entre otras consideraciones respecto a la conservación de datos el Dictamen también señala que si el desarrollador del sistema operativo o el responsable del servicio de geolocalización demuestra que es necesario recoger el histórico de los datos para actualizar o mejorar el sistema, ha de implantar las máximas garantías para evitar que esta información se haga identificable.

Derechos de los usuarios

El Dictamen subraya que los proveedores de servicios de geolocalización y las aplicaciones deben respetar y cumplir los derechos de los usuarios a acceder, rectificar o borrar, los datos de ubicación que se han recogido, a los posibles perfiles sobre la base de éstos datos de localización, así como información sobre destinatarios a quienes se comuniquen los datos. La información debe facilitarse en un formato legible.

El Dictamen integro puede consultarse en: Dictamen del Grupo de Trabajo del Artículo 29. Opinion 13/2011 on Geolocation services on smart mobile devices (versión EN)

Comentarios

Entradas populares de este blog

¿Qué estás poniendo bajo la firma de tu mail?

Un comentario de ayer en el blog sobre sanciones LOPD me recordó un tema que hace tiempo quería comentar: esos curiosos avisos supuestamente legales tan frecuentes al pie de los correos electrónicos, con más tendencia al barroquismo y la extravagancia cuanto más grande es la empresa que lo envía. Se trata de una sanción de 1.200€ a una librería, que aunque incluía en sus correos un enlace a la Política de Privacidad en su web, la Agencia Española de Protección de Datos (AEPD) determinó que aunque sea gratuito, no es un procedimiento sencillo ya que, por un lado, la información que se desprende del enlace no permite relacionarlo de forma fácil ni con el ejercicio del derecho de oposición al tratamiento de datos con fines comerciales ni con la existencia de un procedimiento habilitado para ello y, por otro lado, dicho enlace no remite directamente al procedimiento, sino que enlaza con la información. La historia completa en Cuestión de detalles. Comenta Alejandro , de Esal Consultore

La Lista Robinson de FECEMD y mis perplejidades

Hace ya unas semanas que la Federación de Comercio Electrónico y Marketing Directo (FECEMD) anunció, con la colaboración de la Agencia Española de Protección de Datos (AEPD), su servicio de Lista Robinson, un fichero de exclusión en los términos del artículo 49 del Nuevo Reglamento LOPD, que aseguraban permitirá a los ciudadanos inscribirse para evitar recibir comunicaciones comerciales no deseadas, de empresas con las que no mantengan o no hayan mantenido algún tipo de relación. Como todas las noticias recogidas en diferentes medios me resultaban algo confusas, me he abstenido de dar ninguna opinión hasta no haber acudido a alguna de las presentaciones conjuntas FECEMD-AEPD previstas. Ayer estuve en la que se realizó en la sede de la CEOE en Madrid y tras dos horas de conferencia, preguntas y respuestas, si estoy escribiendo estas líneas no es porque me haya aclarado en absoluto... sino para compartir mis perplejidades y rogar que alguno de los ilustres profesionales del Derecho (e

¿Soluciones "a coste cero"?: empecemos a poner un poco de orden

Importantísimo artículo publicado ayer en El Mundo (otro documento imprescindible a partir de ahora en la carpeta de cualquier consultor, pincha la imagen para verlo más grande) denunciando el mal uso de los fondos para formación de trabajadores con el fin de enmascarar la prestación de servicios de consultoría en protección de datos: La protección de datos se financia con el Forcem. La antigua Forcem, ahora denominada Fundación Tripartita para la Formación en el Empleo, vuelve a estar en entredicho y otra vez es por el uso de los fondos destinados a la formación de trabajadores que gestiona. Empresas dedicadas a la implantación de la protección de datos están utilizando los recursos destinados a cursos de formación como reclamo para pagar sus servicios, en los que la formación únicamente sirve en ocasiones sólo para encubrir la financiación de los recursos. Es lo que ellos denominan la adaptación a la Ley Orgánica de Protección de Datos (LOPD) "a coste cero" en algunos anu

Ya no soy el Coordinador Nacional de Ventas de Grupo Millar2

Como se puede imaginar el respetable lector, un titular así daría para muchos folios de explicaciones y matizaciones, pero como diría el castizo "total pa'qué". Y además Jaime Estevez ya lo explicó muy bien en cierta ocasión . Alguno pensará que no son formas: juro que desde hace más de un mes he pedido varias veces por escrito a la compañía que retirara mi nombre y cargo de la web corporativa y que consensuáramos una nota pública para anunciar la novedad... hasta hoy. The show must go on , afirma el clásico, y no seré yo quien lo enmiende. Damas y caballeros, se abre un mundo de posibilidades, permanezcan a la escucha (o hagan comentarios).

Imágenes libres y gratis (de verdad) ⦗ACTUALIZADO 2021⦘

Antes de nada aclaro el título: digo "de verdad" porque se da con cierta frecuencia una confusión respecto al término "libre" asociado a imágenes, equiparándolo a "puedo hacer con esto lo que quiera", pero resulta que no es así exactamente. Sin entrar en detalles técnicos, tenemos tres situaciones básicas: Derechos de autor (copyright) vigentes: el autor o herederos mantiene los derechos sobre la obra y cualquier uso necesita de su consentimiento. Dominio público: el periodo de protección legal de los derechos de autor ha terminado y la imagen puede ser usada por cualquiera. Creative Commons: el autor cede parte o todos los derechos sobre su obra de forma voluntaria en función de unas licencias predefinidas. Existen por tanto imágenes que sí son "libres" en sentido estricto, es decir, que puedes utilizarlas gratis para cualquier uso (incluso comercial), transformarlas como quieras y no se requiere atribución ninguna a su autor original: se trat