Nuevas recomendaciones de la Agencia de Acceso a la Información Pública para el uso de aplicaciones de geolocalización

El 29 de abril de 2020 la Agencia de Acceso a la Información Pública (AAIP) publicó recomendaciones para el uso de aplicaciones de geolocalización, de acuerdo con la Ley de Protección de Datos Personales No. 25.326 (LPDP) y el Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal . Si bien estas recomendaciones se publican a raíz de la emergencia provocada por la COVID-19 y al uso de aplicaciones de geolocalización para contrarrestarla, estas resultan aplicables para el resto de los casos de geolocalización en general.

En primer lugar, las recomendaciones recuerdan que el monitoreo de la ubicación de las personas no se encuentra prohibido, siempre y cuando se lleve a cabo respetando el derecho humano a la privacidad. En ese sentido, enumeran principios fundamentales en materia de protección de datos respecto del uso de aplicaciones de geolocalización, sean estas empleadas por el sector público, el privado, o ambos en colaboración. Estos principios son:

• La información de geolocalización y/o desplazamiento constituye un dato personal protegido por ley, de modo tal que su tratamiento debe encontrarse amparado en alguna base legal (artículo 5, LPDP).
• Los datos de ubicación se definen como “información recopilada por una red o servicio sobre dónde está o estaba ubicado el teléfono del usuario u otro dispositivo” y pueden inferirse por GPS, torres de celdas, wifi, bluetooth o combinación de señales.
• Estos datos pueden estar en poder de proveedores de servicios de telecomunicaciones o internet, al igual que en servicios de valor agregado (es decir, las mismas aplicaciones).
• Los distintos organismos del Estado pueden tratar los datos de geolocalización sin el consentimiento del titular del dato, en la medida en que lo realicen dentro de sus competencias específicas, las que deben ser entendidas en sentido estricto y restrictivo. En caso contrario, deberán contar con el consentimiento del titular del dato. El mismo principio aplica a las cesiones de datos entre organismos del Estado.
• La disociación del dato de ubicación excluye la aplicación de la LPDP por no calificar como dato personal.
• El titular del dato debe tener la posibilidad de revocar su consentimiento al monitoreo en cualquier momento.
• Los responsables del tratamiento de datos personales relacionados con el monitoreo o geolocalización de una persona deben respetar el principio de calidad del dato (artículo 4, LPDP).
• El responsable del tratamiento debe informar al titular del dato cómo y por qué realiza el seguimiento de su ubicación, dónde almacena la información, con quiénes la comparte, las consecuencias del tratamiento y la posibilidad que tiene el titular de los datos de ejercer sus derechos de acceso, rectificación y/o supresión.
• El almacenamiento de los datos debe respetar los principios de seguridad y confidencialidad (artículos 9 y 10, LPDP).
• Es recomendable la realización de una evaluación de impacto previo a la implementación de este tipo de aplicaciones, a fin de controlar y mitigar sus riesgos, así como también evaluar su viabilidad.

Finalmente, la AAIP provee un canal de denuncias para cualquier persona que encuentre afectada su privacidad y/o datos personales a raíz del uso de las aplicaciones de geolocalización  y brinda una fuente de consulta para instituciones públicas y/o privadas con interés en estas aplicaciones.