Introduzca una política de privacidad adecuada
Home » Geolocalización » Proteger la privacidad » Introduzca una política de privacidad adecuada

El desarrollador debe asegurarse siempre de que el dispositivo o sistema incorpore un aviso de privacidad adecuado, de acuerdo con los artículos 12 y 13 del RGPD y los requisitos introducidos por el Reglamento de privacidad electrónica y el marco jurídico nacional. Este debe describir cómo la herramienta recoge, utiliza, conserva y divulga los datos personales. Además, debe incluir información sobre los derechos de los interesados de forma accesible[1].

La información incluida debe explicarse en un lenguaje comprensible, que pueda ser entendido por personas que no saben casi nada de sistemas TICs. Este aviso debe incluir, como mínimo, todos los temas enumerados en los arts. 13-14 del RGPD, a saber: información relativa a: (1) la finalidad del tratamiento, (2) qué datos personales se recogen, (3) cómo se utilizan los datos recogidos, (4) con quién se comparten los datos personales de localización, (5) cómo puede un interesado retirar su consentimiento, y acceder o rectificar sus datos de localización, (6) información sobre los derechos vinculados a la toma de decisiones automatizada, (7) la información de contacto del DPD correspondiente, en caso de que sea necesario contactar con él, (8) información sobre los períodos de conservación, etc.[2] Asimismo, es importante mantener a los interesados informados de cualquier cambio en el tratamiento de sus datos personales, que debe reflejarse en el aviso de privacidad. Además, el sistema debe estar diseñado de forma que el interesado sea consciente de los cambios (mediante mensajes, iconos, alertas, etc.).

Además de los requisitos de información obligatorios mencionados, se anima a los responsables a seguir las siguientes recomendaciones de buenas prácticas en relación con el suministro de información transparente en los proyectos que implican el tratamiento de datos geoespaciales. No son obligatorias, por supuesto, pero sí muy recomendables:[3]

  • Cuáles son los usos concretos que se darán a los datos recogidos
  • Indicar la frecuencia y el detalle con que se recogen los datos geoespaciales;
  • Indicar la naturaleza y el tipo de datos recogidos;
  • Cuando proceda, recordar a los interesados que están siendo rastreados, y que el dispositivo puede registrar sus visitas a lugares privados o su proximidad a algunas personas concretas (esto no es obligatorio, pero podría considerarse una buena práctica);
  • Cuando proceda, recordar a los participantes que los datos geoespaciales pueden revelar pruebas que sugieran actividades ilegales. Si es así, su divulgación puede no estar protegida por la política de confidencialidad de la institución de investigación y podría ser potencialmente descubierta por las fuerzas del orden (véase el artículo 10 del RGPD);
  • Prever un medio fácil de recordar a los interesados que están siendo rastreados. Por ejemplo, activando un icono cuando se recojan datos de localización o proximidad y desactivando este icono cuando no se recojan datos.
  • Proporcionar una declaración en la que se explique que las personas no serán identificadas en ninguna publicación o presentación de la investigación sin el consentimiento explícito de los participantes (a menos que sea aplicable una base legal alternativa para el tratamiento);
  • Proporcionar una declaración en la que se explique que los datos identificables no se compartirán con terceros sin el consentimiento del interesado, pero que los datos anonimizados pueden ser compartidos;
  • Cuando proceda, recordar y mostrar a los interesados cómo pueden desactivar o interrumpir temporalmente el seguimiento de la ubicación o la recopilación de datos de proximidad siempre que lo deseen;
  • Elaborar una lista de destinatarios que tendrán acceso a los datos;
  • Evaluar el riesgo de que los participantes sean reidentificados a partir de los datos proporcionados;
  • Evaluar el riesgo de que se produzcan daños si los datos se reidentifican inadvertidamente, incluyendo, cuando proceda, pérdidas económicas, daños psicológicos y/o daños físicos.
  • Informar a los interesados sobre sus derechos y la forma de hacerlos valer.
  • Proporcionar a los interesados la información de contacto del DPD correspondiente

Se recomienda decantarse por opciones de diseño legal que puedan hacer que las políticas de privacidad sean más visuales y fáciles de entender. Por ejemplo, se puede optar por la iconografía para cumplir con el deber de información del responsable de los datos, los vídeos, la narración de historias, o incluso un formato sencillo como el uso de gráficos. Es necesario proporcionar a los participantes un modelo de “autogestión de la privacidad” en el que los participantes tengan fácil acceso (a través de un enlace o un elemento del menú) a unos breves datos de contacto de la entidad. La página de inicio de la aplicación es un lugar excelente para publicar información relevante sobre la privacidad, información de contacto y proporcionar un hipervínculo a una “segunda capa” de información más detallada sobre la privacidad, según el artículo 12.7 del RGPD.

Si el tratamiento implica a terceros, debe firmarse una cláusula contractual con los destinatarios de los datos, ya sean responsables o encargados del tratamiento. Esta cláusula puede establecer que el receptor se abstenga de intentar reidentificar a los interesados y que, en caso de que se produzca la reidentificación, dichos datos deben ser eliminados y el hecho debe ser notificado.

Lista de control: Política de Privacidad[4]

☐ Los responsables revisan periódicamente su tratamiento y, en caso necesario, actualizan su documentación y la información sobre la privacidad de las personas.

☐ Los usuarios son informados de todos los datos personales que se van a recoger.

☐ Estos datos se recogen sólo si se aplica una base legal legitimadora del tratamiento

☐ Los responsables explican cómo las personas pueden acceder a los detalles de la información que se utiliza para los servicios que ofrece la herramienta.

 

 

  1. JRC Technical Reports, Guidelines for public administrations on location privacy, en: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110
  2. JRC Technical Reports, Guidelines for public administrations on location privacy, en: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110
  3. Goldenholz DM, Goldenholz SR, Krishnamurthy KB, et al. Using mobile location data in biomedical research while preserving privacy. Journal of the American Medical Informatics Association, ocy071, https://doi.org/10.1093/jamia/ocy071.
  4. Lista elaborada sobre la base de los documentos: CEPD (2020) Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 Adoptadas el 21 de abril de 2020, disponible en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_es.pdf; ICO (sin fecha) Principle (b): purpose limitation. Information Commissioner’s Office, Wilmslow. Disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/(visitado el 17 mayo de 2020).

 

Ir al contenido