Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Geolocalización y la normativa de Protección de Datos

¿Es la ubicación un dato personal? ¿Supone la geolocalización un riesgo para la privacidad de las personas? ¿Se debe aplicar la normativa de protección de datos respecto a los datos de geolocalización? En este artículo daremos respuesta a estas y otras cuestiones relacionadas con la geolocalización y la protección de datos.

¿Es la ubicación un dato personal?

Los datos de ubicación aparecen como uno de los ejemplos que se citan en el artículo 4 del RGPD sobre la definición de lo que es un dato personal. Por lo tanto, podemos decir que los datos de geolocalización según el RGPD son un dato personal, puesto que constituyen información relacionada con una persona.

La geolocalización y, por tanto, los datos de ubicación, pueden servir para inferir y conocer diversa información personal; por ejemplo, si tenemos activado el GPS del móvil continuamente, los periodos nocturnos en los que los datos de ubicación no varían, pueden servir para saber la localización aproximada del domicilio de una persona. Lo mismo ocurre con los desplazamientos habituales a una zona determinada, de los que se puede deducir que es el lugar de trabajo.

Otro ejemplo de dato de ubicación que puede servir para inferir información sobre las personas a la hora de navegar por internet, es la geolocalización IP. Si bien es cierto que a través de la dirección IP no se puede obtener la dirección física exacta de un usuario (salvo que se trate de una autoridad policial o judicial en el transcurso de una investigación), las empresas pueden extraer otra información personal valiosa sobre los hábitos de navegación, país de procedencia, etc., de los usuarios.

Por lo tanto, como dato personal, la ubicación o geolocalización de las personas queda dentro del paraguas de la Ley de Protección de Datos, siendo de aplicación todas las obligaciones recogidas en ella para la gestión y protección de dicha información.

tarifas proteccion datos

¿Cómo gestionar la geolocalización como dato personal?

La gestión de la geolocalización como dato personal implica, como decíamos más arriba, aplicar las obligaciones que establece la Ley de Protección de Datos, por lo que cuando se vayan a tratar datos de ubicación, cualquier entidad deberá tener en cuenta los siguientes puntos y cumplir con las obligaciones que se derivan de ellos:

  • Legitimación para tratar los datos ubicación; en la mayoría de los casos, la base legitimadora será el consentimiento expreso de los interesados (por ejemplo, una app meteorológica necesita que activemos el GPS del móvil para poder ofrecernos datos del tiempo más exactos, pero debemos conceder permiso para ello), aunque también habrá otros casos que podrán ampararse en otras de las bases establecidas en el artículo 6 del RGPD, por ejemplo, el interés legítimo en el caso de los empleadores (como veremos más adelante).
  • Informar del uso de datos ubicación, especialmente cuando la base legitimadora no es el consentimiento, ya que los interesados deben saber quién va a tratar sus datos, la finalidad para la que se recabarán, por cuánto tiempo y si se cederán a terceros. Así mismo, se informará a los interesados de los derechos LOPD que pueden ejercer sobre sus datos, tanto los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), como los derechos digitales que comprende la normativa española (artículos 87, 88, 89 y 90).
  • Limitación de la finalidad, es decir, que los datos de ubicación recabados solo se podrán usar para la finalidad de la que se haya informado y, en su caso, obtenido el consentimiento para su tratamiento.
  • Elaborar un registro de actividad de tratamiento de los datos de ubicación, en el que se especifique:
    • Responsable del tratamiento (y si procede, encargado del tratamiento y delegado de protección de datos)
    • Categorías de interesados
    • Cesión de datos
    • Transferencias internacionales y sus garantías
    • Plazo de conservación
    • Medidas de seguridad adoptadas
  • Llevar a cabo un análisis de riesgos (y en su caso una evaluación de impacto), para poder establecer las medidas de seguridad necesarias que garanticen la protección de los datos (medidas que garanticen la confidencialidad, integridad y disponibilidad de los datos).
  • Proporcionalidad, especialmente cuando la geolocalización se emplee como medida de control de los empleados, como veremos en los siguientes puntos.

geolocalización y protección de datos

¿Qué ocurre con la geolocalización en el ámbito laboral?

Hay empresas que, por diferentes motivos, pueden necesitar saber la geolocalización de sus empleados (por ejemplo, de transportistas, de comerciales, de empleados que usen un coche de la empresa, etc.). ¿Están legitimadas las empresas para tratar los datos de geolocalización de sus empleados?

La respuesta, como hemos adelantado un poco más arriba, es que sí, las empresas pueden basarse en el interés legítimo para implementar sistemas de geolocalización en los vehículos de empresa, así como en otros dispositivos que cedan a sus empleados. Este interés legítimo se basa en el artículo 20.3 del Estatuto de los Trabajadores, que permite a los empleadores adoptar aquellas medidas de control y vigilancia que estimen oportunas, para comprobar el cumplimiento de las obligaciones y deberes laborales de los empleados.

Esto hace que el consentimiento expreso de los empleados no sea necesario para emplear dichos sistemas de geolocalización ni el tratamiento de los datos obtenidos de ellos. Pero no quiere decir que no haya límites; como hemos dicho, se debe informar a los empleados del uso de tales sistemas y de la finalidad de los mismos con carácter previo a su uso. Y, además, los datos obtenidos no podrán usarse con otro fin que el estipulado en esa información.

Así mismo, estos sistemas deberán poder desconectarse cuando el empleado esté fuera de su horario laboral (derecho a la desconexión digital) y, en caso de que se obtuvieran datos fuera de dicho horario, no podrían tratarse.

Como ya indicamos, también es necesario que el uso de la geolocalización como medida de control y vigilancia, supere el juicio de proporcionalidad, es decir, que sea la medida menos intrusiva para la intimidad del trabajador, no habiendo otra alternativa para alcanzar los fines perseguidos.

Finalmente, en el caso de que se quiera implementar un sistema de geolocalización en el vehículo o dispositivos personales de los empleados, sí que será necesario el consentimiento expreso de estos para ello.

¿Vulnera la geolocalización el derecho a la protección de datos?

Cuando se cumplen con los requisitos y obligaciones respecto a la geolocalización y la protección de datos por parte del responsable del tratamiento, en este caso, la empresa o entidad pública, tratar datos de ubicación no vulneraría el derecho a la protección de datos de los interesados, puesto que existe un interés legítimo para la empresa.

Siempre que no se exceda la finalidad para la que son tratados los datos de geolocalización, dicho tratamiento estará dentro de la legalidad, por lo que solo hablaríamos de vulneración del derecho a la protección de datos, si el empleador usar los datos de geolocalización con otros fines de los que no se hubiera informado a los empleados.

¿Es la geolocalización un riesgo para la privacidad?

Aunque a priori pueda no parecerlo, la geolocalización puede suponer un riesgo para nuestra privacidad, puesto que los datos de ubicación que se pueden obtener de nuestro GPS no solo indican nuestra localización física aproximada (a veces con muy pequeño margen de error), sino que también pueden ser un riesgo para la privacidad en internet, como ya indicamos más arriba.

Actualmente, la mayoría de las personas tienen un móvil y muchos de nosotros, debido al uso de determinadas aplicaciones, tenemos activado el GPS continuamente. Dado que el móvil lo llevamos prácticamente a todas partes con nosotros, los datos de actividad e inactividad del mismo pueden servir para inferir una gran cantidad de información personal (como ya dijimos, la inactividad durante la noche, puede indicar nuestro lugar de residencia, los datos de la app deportiva que usamos, pueden servir para saber qué recorrido hacemos cuando salimos a correr, etc.), incluidos datos sensibles (por ejemplo, si vamos a una iglesia o un hospital con asiduidad).

Con la información que puede extraerse e inferir de los datos de ubicación, es posible elaborar perfiles de los interesados, que pueden usarse para diferentes fines, algunos de los cuales pueden tener un impacto significativo en los interesados. Además, dado que son pocas las personas que se leen la política de privacidad de aplicaciones y servicios, en muchos casos ni siquiera sabemos quién trata nuestros datos de ubicación y con qué fines exactamente.

Por todo ello, cuando una aplicación o página web te pida activar tu GPS o conocer tu ubicación, piensa si realmente es necesario dar esa información y lee la política de privacidad, para saber con seguridad para qué se van a usar esos datos de ubicación.

Y como empresa, recuerda que si vas a tratar datos de geolocalización de tus empleados, debes cumplir con las obligaciones del RGPD y la LOPDGDD que hemos citado más arriba.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.