Quines dades es tracten en la tecnologia de seguiment WiFi?


Les diferents autoritats de protecció de dades del país han elaborat conjuntament unes orientacions sobre els tractaments que incorporen tecnologia de seguiment WiFi, analitzant quines implicacions té aquesta tecnologia, identificant els riscos i recomanant un ús responsable que compleixi amb la normativa de protecció de dades.

Les tècniques de seguiment WiFi tenen l’objectiu d’identificar i rastrejar dispositius de manera única i precisa. Es basen en paràmetres i característiques físiques dels dispositius i condicions de la transmissió per generar una empremta digital individualitzada per cada dispositiu.

Aquests processos evolucionen molt ràpidament i les tècniques antigues perden efectivitat, degut a l’ús del reconeixement de patrons, l’analítica de dades i la contínua evolució d’aquestes tècniques.

Principals mètodes utilitzats:

  • Trames Probe Request: Utilitzades quan el dispositiu no està connectat a un punt d’accés (AP). Aquestes trames són enviades automàticament i sense xifrar per tots els dispositius WiFi, permetent ser rebudes i descodificades per qualsevol receptor.
  • Informació Indirecta: Es poden obtenir dades mitjançant mesuraments com l’indicador de força del senyal rebuda (RSSI), intervals de temps entre trames, distribució de noms de seqüència i desviacions dels rellotges dels dispositius.

L’objectiu de la recollida i l’anàlisi de dades com aquestes és generar una impremta digital única que permeti identificar cada dispositiu. Aquest procés comporta les següents fases:

  1. Captura de Trames Probe Request: Recollida massiva de dades i dades físiques com el RSSI.
  2. Extracció i enviament d’informació: Les dades rellevants són enviades a un servidor centralitzat per processar-les.
  3. Anàlisi de patrons: Utilització de tècniques avançades com l’aprenentatge automàtic per identificar dispositius únicament.

Tractament de dades personals

Aquesta tecnologia afecta a tots els dispositius amb funcionalitat WiFi, sense que necessàriament estiguin connectats a una xarxa concreta. Per exemple: mòbils, portàtils, ordinadors fixos, routers, impressores, electrodomèstics, joguines, dispositius corporals (wearables, marcapassos, sistemes d’oxigen portàtils, dispositius per diabètics, implants neuronals…) i automòbils.

Les dades utilitzades en aquest tipus de processos es solen considerar com dades personals, ja que estan relacionats amb persones identificables i poden ser utilitzats per identificar a persones directament o indirectament.

La tecnologia de seguiment WiFi no és un tractament de dades personals en si, però podria formar part d’ells, ja que pot aparèixer en operacions de tractament de dades personals derivades d’analítiques de presència (estudia l’existència i permanència en una determinada zona) i localització (té com a objectiu traçar el recorregut dins d’una zona).

En moltes ocasions la finalitat és detectar i analitzar comportaments col·lectius, però sempre partint de la detecció de dades individuals.

Aquests serien alguns tractaments en els quals s’utilitzen tecnologies de seguiment WiFi:

  • Servei de geolocalització del dispositiu (encara que no hi hagi conformitat de l’usuari).
  • Seguiment de persones en els centres de treball.
  • Serveis d’emergències: podran rebre informació sobre la ubicació de qui truca automàticament per les dades de localització WiFi.
  • Vigilància de persones: s’utilitza el seguiment WiFi per detectar si hi ha persones en certs recintes o llocs.
  • Vinculació entre persones: determina si les persones comparteixen el mateix espai, s’aproximen, es detenen en el mateix punt…
  • Anàlisi de flux de persones en instal·lacions privades per optimitzar el disseny de l’espai físic.
  • Gestió de multituds en llocs d’accés públic: àrees concorregudes, aeroports, transport públic, estadis, vies públiques…
  • Marketing i publicitat dirigida: quan accedeixen o s’apropen a una ubicació específica o en funció de comportaments o patrons de moviment.
  • Creació de perfils d’usuari, en funció dels patrons de moviment i el comportament.

És important saber que molts d’aquests usos impliquen la recopilació i tractament de dades personals. Per això, han de respectar els principis, drets i obligacions establertes en el RGPD i la LOPDGDD.

L’equip de PymeLegal