La Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía han elaborado unas Orientaciones sobre tratamientos que incorporen tecnología de seguimiento Wi-Fi o Wi-Fi tracking en las que analizan las implicaciones de esta tecnología, identifican los principales riesgos y ofrecen una serie de recomendaciones para un uso responsable y compatible con la normativa de protección de datos.
El seguimiento Wi-Fi es una tecnología que permite identificar y rastrear dispositivos móviles a través de las señales Wi-Fi que estos emiten, detectando la presencia del dispositivo en una zona específica e identificando patrones de movimiento. Pueden encontrarse aplicaciones prácticas en centros comerciales, museos, centros de trabajo, áreas públicas, transportes o grandes eventos, empleándose para la estimación de aforos, el análisis de flujos de personas o la medición de tiempos de permanencia.
Las autoridades de protección de datos exponen que el uso de esta tecnología puede suponer un tratamiento de datos personales y, por tanto, deben someterse al conjunto de principios, derechos y obligaciones establecidos en el Reglamento General de Protección de Datos. Además, su uso plantea serios riesgos para la privacidad, ya que podría permitir el seguimiento de los movimientos de las personas sin que estas sean conscientes de ello y sin una base legal apropiada.
Por ello, las autoridades consideran que, dados los factores y elementos de riesgo inherentes, en general, se cumplen las condiciones para que antes de llevar a cabo el tratamiento sea obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD). De hecho, teniendo en cuenta los factores de riesgo, recomiendan realizarla incluso cuando el responsable del tratamiento pueda no tener clara su obligatoriedad. Además, para utilizar estas tecnologías es necesario intensificar el cumplimiento del principio de transparencia a través de una información clara y accesible, como paneles visibles con información, señalización pública, alertas de voz o campañas de información, entre otros.
Las orientaciones también incluyen un listado de medidas a implementar si se superan todos los requisitos de cumplimiento de los principios del RGPD, destacando, entre otras, anonimizar y agregar justo después de la recogida de datos, limitar el ámbito en el que se realiza el seguimiento Wi-Fi, no asignar el mismo identificador a un dispositivo móvil en las distintas visitas que realice al mismo lugar, implementar medidas de seguridad adaptadas al nivel de riesgo y sometidas a revisiones continuas o realizar auditorías independientes.