Geolocalización, ¿Un riesgo a la privacidad?
Geolocalización, ¿Un riesgo a la privacidad? Dudo que allá por 1973, cuando Martin Cooper comenzase en Estados Unidos con lo que es considerado como el primer terminal móvil, siquiera se lo plantease. La evolución y capacitación con respecto a utilidades de los mismos no ha hecho sino crecer, desde auténticos adoquines a modo de teléfono que en primera instancia eran un lujo para unos pocos hasta la actualidad, donde se ha pasado a considerar el mismo como un bien de primera necesidad por muchos. La evolución de los teléfonos móviles, y con ellos la de las redes a través de los que funcionan, ha sido una constante.
Dicha evolución, al igual que ha traído grandes beneficios como pueden ser navegadores, información a tiempo real y unas posibilidades de comunicación cada vez mayores, a su vez ha traído una serie de desventajas asociadas a las mismas, en especial, dentro del ámbito de la privacidad, y en este camino al Data Privacy Day nos parecía desde MCA que era un momento para tocarlo.
Un teléfono móvil es algo que forma ya parte de cada uno de nosotros, que se ha transformado en un elemento consustancial al usuario, y eso a nivel de privacidad lo hace un absoluto riesgo, ya que prácticamente llevamos nuestra vida en nuestro terminal.
Y por si esta acumulación de información no fuera suficiente, el terminal móvil trae otro riesgo, la posibilidad de ser geolocalizados a través de las redes móviles y wifi circundantes a nosotros. Este riesgo está poco presente, como ejemplifican la cantidad de twits o publicaciones en Facebook con datos localizados, por no hablar de aquellos que se adjuntan como meta-datos, por ejemplo, dentro de las imágenes y que en muchos casos se desconoce su existencia.
En este sentido, a pesar del uso que se le dan a los mismos, en muchos casos no se tienen a nivel del usuario, así como a nivel empresarial, las precauciones y previsiones legales necesarias al respecto y que en cada ámbito pueden generar riesgos, ya sean a nivel de sanciones para las empresas, y a nivel de usuario, incluso a daños, pero eso será objeto de otro post.
Desde el punto de vista más puramente legal si que hay que tener unas consideraciones, que podríamos dividir entre el marco comunitario y el nacional.
En este post, hablaremos al respecto del marco comunitario, donde encontramos las siguientes exigencias, que empiezan a contestar esta pregunta, Geolocalización, ¿Un riesgo a la privacidad?:
A nivel comunitario, que es especialmente donde encontraremos la mayor parte de la fuente normativa al respecto, debemos de centrarnos en dos ámbitos específicos:
Por un lado, encontramos la Directiva Europea de Privacidad 2002/58/CE, en la cual queda regulado parcialmente el uso de las mismas y de la que podemos extraer como elementos relevantes:
Artículo 2. C: da la definición legal de datos de localización como:
Cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público
Artículo 3, que hace directamente aplicable al ámbito de la conexión por redes móviles la presente directiva.
Artículo 4: Determina la obligación de seguridad del prestador con respecto a las comunicaciones electrónicas que se lleven a cabo a través de sus redes, así como la obligación por parte de los mismos de comunicar los posibles riesgos de seguridad existentes en el caso de que los mismos pudieran producirse.
Artículo 5: Determina la obligación estatal de “la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público” a la vez que determina unos supuestos específicos de excepción, es el caso de las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lícita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial, es decir, confirma el principio de confidencialidad salvo que el mismo sea llevado a cabo en el ámbito de prueba comercial, ya sea por contratación o comunicación de la misma. Supuesto demasiado vacío de regulación al parecer, y que genera no pocos inconvenientes en el ámbito de la práctica comercial con consumidores.
A su vez el artículo determina la obligación por parte del estado de tan sólo posibilitar el uso de redes electrónicas con fines de almacenamiento en el caso de que el usuario de la misma tenga conocimiento de ello, y especialmente tenga información detallada acerca de la finalidad de la misma, pudiendo el usuario negarse a ello, sin perjuicio del posible almacenamiento para una actividad determinada solicitada por el usuario.
Art. 6: Determina en primer término, la obligación de borrado de los datos de tráfico por redes una vez se ha finalizado con su utilidad, determinado excepciones a dicho principio general, como el caso de facturación.
A su vez determina la obligación del prestador de informar al abonado o usuario de los tipos de datos de tráfico que son tratados y su duración.
Art. 9: Éste es probablemente el artículo más importante dentro del ámbito de la geolocalización ya que en el mismos se determina con respecto a los datos de localización distintos a datos de tráfico, los más importantes en este sentido, que los mismos tan sólo podrán ser tratados en el caso que se hayan modificado para hacerlos anónimos previamente o con el consentimiento del usuario, siendo informados acerca de su tratamiento, finalidad y duración y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido, obligando a la existencia en todo caso de una denegación a ese consentimiento previo y necesario. Es decir, para el uso de estos datos es necesario, si no han sido determinados con carácter anónimo, que el usuario sea informado de su recopilación, tratamiento y caracteres del mismo y posible cesión, en caso contrario la prestadora no estará habilitada para ello.
A su vez, y como medida adicional garantista, se prevé la posibilidad de denegación de almacenamiento de dichos datos con carácter temporal, a través de un procedimiento gratuito y sencillo.
Art. 10 Por último, el artículo 10 de la norma, en su apartado 2º, fija una obligación estatal de procedimiento de anulación por parte de un prestador, de vital importancia para el marco normativo:
“La supresión de la presentación de la identificación de la línea de origen y el rechazo temporal o la ausencia de consentimiento de un abonado o un usuario para el tratamiento de los datos de localización, de manera selectiva por línea, para las entidades reconocidas por un Estado miembro para atender llamadas de urgencia, incluidos los cuerpos de policía, los servicios de ambulancias y los cuerpos de bomberos, para que puedan responder a tales llamadas” Es decir, se excepciona
Fuera de esta norma legal, debemos acudir como fuente regulatoria con respecto a la geolocalización, a las Conclusiones del Grupo de Trabajo del art.29 de la directiva 95/46/CE, de las que debemos destacar lo siguiente:
Básicamente el grupo de trabajo dota al consentimiento para que dichos datos sean tratados y usados de una necesidad de consentimiento informado, es decir, que el usuario, sepa claramente, cómo, para qué, hasta cuándo etc… sus datos van a ser tratados por parte de los prestadores.
Asimismo, determina una serie de requisitos adicionales a dicho consentimiento informado para que el mismo sea plenamente válido, en este sentido, caben destacar, para el marco de las conexiones móviles:
– La claridad de la información facilitada al usuario para la concesión de consentimiento, de modo que un usuario medio pueda entenderla con toda facilidad,.
– Finalidad del tratamiento de los datos, siendo esta única, y en caso de cambio o ampliación en los mismos, dicho consentimiento debe verse forzosamente renovado
– Plazo de otorgamiento del consentimiento, sin determinar cual es el adecuado al plazo, pero sí indicando la necesidad de recordar , al menos anualmente dicho plazo.
– Especificación de los datos de localización que se conservarán, es decir, de los datos generados por el proceso de geolocalización, cuales de ellos serán almacenados u tratados en el futuro.
A su vez, las conclusiones del grupo de trabajo al respecto finalizan sin determinar el plazo máximo de almacenamiento de dichos datos en los sistemas, decantándose por una opción bastante suave, toda vez que indican que el plazo máximo será el que se entienda razonable por parte del responsable del tratamiento de los mismos, algo que a día de hoy no ha sido desarrollado en ningún sentido.
No obstante lo anterior, y como punto fundamental con respecto al Dictamen, el elemento más importante que determina la misma es la prohibición de la activación por defecto de los servicios de localización para el uso de terminales en redes móviles, es decir, el usuario en ningún caso, y sin que exista su previo consentimiento en función a los mencionados criterios anteriores, puede estar localizado a través de las redes móviles.
La Comisión, muy acertadamente, opta por determinar un criterio Opt out (Desactivación por defecto) para dicha posibilidad, toda vez que la misma supone una fuerte intrusión en la privacidad del usuario en el caso de que se permitiese su habilitación por defecto, y siguiendo sus propios criterios, dicha opción ha de ser informada claramente al usuario medio, previa puesta en funcionamiento como bien resume Jose María Baños en Geolocalización y Smartphones.