Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Datos de localización
Buscar artículo
Solo puede procesar datos de ubicación (información de la red o servicio sobre la ubicación de un teléfono u otro dispositivo) con la autoridad de la red, servicio o proveedor de servicios de valor agregado, y solo si:
Con más detalle…
Los datos de ubicación se definen como:
"cualquier dato procesado en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio público de comunicaciones electrónicas, incluidos los datos relacionados con:
(f) la latitud, longitud o altitud del equipo terminal; (g) la dirección de viaje del usuario; o (h) la hora en que se registró la información de ubicación".
En otras palabras, es información recopilada por una red o servicio sobre dónde está o estuvo ubicado el teléfono del usuario u otro dispositivo; por ejemplo, rastrear la ubicación de un teléfono móvil a partir de los datos recopilados por las estaciones base en una red de telefonía móvil.
En nuestra opinión, esto generalmente no incluye información de ubicación basada en GPS de teléfonos inteligentes, tabletas, navegadores satelitales u otros dispositivos, ya que estos datos se crean y recopilan independientemente de la red o el proveedor de servicios. Tampoco incluye la información de ubicación recopilada a nivel puramente local (por ejemplo, por equipos de wi-fi instalados por empresas que ofrecen wi-fi en sus instalaciones). Sin embargo, las organizaciones que utilizan dichos datos aún deben cumplir con la Ley de Protección de Datos.
Las reglas sobre datos de ubicación están en la regulación 14 y son muy estrictas. Solo puede procesar datos de ubicación si es un proveedor público de comunicaciones, un proveedor de un servicio de valor agregado o una persona que actúa bajo la autoridad de dicho proveedor, y solo si:
Esta regulación no se aplica si los datos son datos de tráfico. Consulte más arriba para obtener más información sobre cuándo puede usar los datos de tráfico.
Hay una exención para las llamadas de emergencia al 999 o al 112 (regulación 16). También existe una exención para las alertas de emergencia cuando una autoridad pública pertinente necesita advertir, asesorar o informar a los usuarios o suscriptores de una emergencia en su ubicación (regla 16A).
El proveedor de comunicaciones públicas relevante tiene la responsabilidad final de cumplir con estas reglas. Si usted es un proveedor de red o de servicios y está transfiriendo datos de ubicación a un proveedor de servicios de valor agregado externo, o está utilizando un procesador de datos de terceros para procesar datos de ubicación en su nombre, debe tomar medidas para asegurarse de que cumplan con PECR. En particular, debe tener un contrato por escrito con cualquier procesador de datos que establezca qué puede hacer el procesador de datos.
Esto es similar a las obligaciones del contrato GDPR del Reino Unido, pero recuerde que para cumplir con PECR, el contrato debe cubrir los datos de ubicación de los usuarios corporativos, así como los datos personales de las personas. Consulte nuestra Guía separada sobre el RGPD del Reino Unido para obtener más información sobre las obligaciones generales del contrato.
Sin embargo, cualquier otra persona que procese datos de ubicación sin la debida autoridad también estaría infringiendo PECR.
Un 'servicio de valor agregado' se define como:
"cualquier servicio que requiera el procesamiento de datos de tráfico o datos de ubicación más allá de lo necesario para la transmisión de una comunicación o la facturación con respecto a esa comunicación".
Esto puede incluir, por ejemplo, un servicio de llamadas que localiza al conductor de un vehículo averiado, un servicio de "encontrar mi teléfono" ofrecido por un proveedor de telefonía móvil o un operador de red móvil que utiliza la ubicación de sus clientes para orientar contenido específico de la ubicación. .
Para que sea válido, el consentimiento debe ser libre, específico e informado. Debe implicar algún tipo de acción positiva clara, por ejemplo, marcar una casilla, hacer clic en un enlace, enviar un correo electrónico o suscribirse a un servicio, y la persona debe comprender completamente que le está dando su consentimiento para usar sus datos de ubicación. No puede mostrar su consentimiento si solo proporciona información sobre el uso de los datos de ubicación como parte de una política de privacidad que es difícil de encontrar, difícil de entender o rara vez lee.
PECR especifica que debe proporcionar al usuario o suscriptor información sobre:
No podrá depender de una declaración global general en una factura o sitio web, y debe obtener un consentimiento por separado para cada servicio de valor agregado solicitado. La forma más clara de obtener el consentimiento es solicitar una aceptación explícita para el uso de datos de ubicación.
PECR también especifica que debe obtener el consentimiento de la persona sobre la que realmente se tratan los datos, que puede ser un suscriptor o un usuario. Por esta razón, puede que no siempre sea suficiente confiar en el consentimiento dado por el suscriptor por adelantado cuando firmó su contrato, si alguien más va a utilizar la conexión.
En el caso de empresas y otros suscriptores corporativos (sociedades de responsabilidad limitada, sociedades escocesas y organismos gubernamentales), puede aceptar garantías de un representante que dé su consentimiento en nombre de la organización, a menos que tenga motivos razonables para cuestionar su autoridad.
Los PECR especifican que la red o el proveedor de servicios debe proporcionar la información pertinente. Sin embargo, si un tercero ofrece el servicio de valor agregado relevante, aceptamos que es probable que sea más apropiado que el proveedor externo se comunique directamente con el cliente para proporcionar información y obtener el consentimiento correspondiente. El punto importante es que el cliente debe entender quién está usando los datos y quién está prestando el servicio.
Recuerde que el cliente tiene derecho a retirar su consentimiento en cualquier momento, en cuyo caso deberá dejar de utilizar inmediatamente los datos de localización. Debe proporcionar a los usuarios una forma fácil y gratuita de retirar su consentimiento cada vez que se conecten a la red o envíen una comunicación. También puede ofrecer la opción de cambiar su configuración para retirar temporalmente el consentimiento. Sin embargo, debe dejar muy claro el efecto de esto para que el cliente entienda exactamente cómo funciona esto y en qué circunstancias se reactivaría su consentimiento.