Inicio Blog Laboratorio Apps Libres Equipo Contacto
971 31 13 31 info@faseconsulting.es

El estudio del INE sobre movilidad a partir de datos de abonados y su legalidad

Sergio Carrasco Mayans Sergio Carrasco Mayans
|
El estudio del INE sobre movilidad a partir de datos de abonados y su legalidad

INE y datos de movilidad de operadoras: ¿es legal rastrear nuestros móviles?

En noviembre de 2019, el Instituto Nacional de Estadística (INE) puso en marcha un ambicioso estudio de movilidad basado en los datos de localización de los abonados de las tres grandes operadoras de telecomunicaciones en España: Movistar (Telefónica), Vodafone y Orange. El objetivo declarado era preparar el Censo de Población y Viviendas de 2021, analizando los desplazamientos de la población española a partir de la posición de más del 80% de los teléfonos móviles del país.

Este artículo analiza en profundidad la legalidad de este tratamiento de datos, los riesgos reales para la privacidad, las novedades normativas que han surgido desde entonces y las medidas que puedes tomar para proteger tu información de localización. Si necesitas asesoramiento profesional sobre protección de datos, puedes contactar con nuestro equipo.

¿Qué hizo exactamente el INE con los datos de movilidad?

El INE contrató a las tres principales operadoras —Telefónica (163.615,86 €), Orange (185.000 €) y Vodafone (150.000 €)— para que le proporcionaran datos sobre los desplazamientos de sus abonados durante varios días concretos: cuatro días laborables de noviembre (18-21), un domingo (24 de noviembre), un festivo (25 de diciembre) y dos días de verano (20 de julio y 15 de agosto).

Según la información oficial, los operadores no proporcionaron la posición individual de cada teléfono, sino un recuento agregado de terminales en cada una de las aproximadamente 3.500 celdas en que se dividió el territorio nacional. Es decir, el INE recibió información sobre cuántos dispositivos se encontraban en cada celda en un momento dado, sin que las operadoras facilitaran datos sobre los números de teléfono ni sobre la identidad de los titulares.

Operadoras que ya comercializaban datos de movilidad

Antes del estudio del INE, las propias operadoras ya habían desarrollado líneas de negocio basadas en la explotación de los datos de localización de sus abonados:

  • Movistar / LUCA (Telefónica): la división de big data de Telefónica ofrecía servicios de análisis de movilidad a empresas y administraciones públicas, utilizando datos agregados y anonimizados de sus clientes.
  • Orange / Geoblink: Orange colaboraba con la empresa Geoblink para ofrecer análisis de localización basados en los movimientos de sus abonados.

Este contexto es relevante porque demuestra que el tratamiento de datos de localización de operadoras no era una novedad en España. Lo que sí fue novedoso fue la escala del proyecto del INE y su carácter institucional.

Anonimización vs. pseudonimización: una diferencia crucial

Una de las cuestiones más importantes en este debate es la distinción entre anonimización y pseudonimización, dos conceptos que a menudo se confunden pero que tienen implicaciones jurídicas radicalmente diferentes.

¿Qué es la anonimización?

La anonimización es un proceso irreversible que elimina toda posibilidad de identificar a una persona a partir de los datos. Una vez anonimizados, los datos dejan de ser datos personales y, por tanto, quedan fuera del ámbito de aplicación del RGPD. Así lo establece el Considerando 26 del RGPD:

«Los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo.»

¿Qué es la pseudonimización?

La pseudonimización, en cambio, es un proceso reversible. Consiste en sustituir los identificadores directos (como el nombre o el número de teléfono) por un código o seudónimo. Pero si se dispone de la clave de correspondencia, es posible volver a identificar a la persona. Los datos pseudonimizados siguen siendo datos personales a efectos del RGPD y, por tanto, están sujetos a todas sus garantías.

¿Por qué es importante esta distinción?

Toda la argumentación del INE y de las operadoras se basa en que los datos entregados eran datos anónimos y, por tanto, no les resultaba aplicable el RGPD. Sin embargo, como veremos a continuación, la investigación científica ha demostrado que la anonimización real de datos de localización es extraordinariamente difícil de lograr.

Riesgos reales de reidentificación: lo que dice la ciencia

La investigación del profesor Yves-Alexandre de Montjoye (Imperial College London / MIT) ha puesto de manifiesto que los datos de localización son especialmente vulnerables a la reidentificación, incluso cuando se aplican técnicas de anonimización:

  • 4 puntos bastan para identificar al 95% de las personas: un estudio publicado en Nature Scientific Reports demostró que con tan solo 4 puntos espacio-temporales (ubicación + hora) es posible identificar de forma única al 95% de las personas en un conjunto de datos de 1,5 millones de individuos.
  • El riesgo persiste a gran escala: investigaciones posteriores publicadas en Patterns (2021) demostraron que el riesgo de reidentificación se mantiene elevado incluso en conjuntos de datos a escala nacional con decenas de millones de registros. Hasta un 93% de las personas podrían ser identificadas de forma única en un dataset de 60 millones de personas.
  • Datos de tarjetas de crédito: de Montjoye también demostró en 2015 que 4 puntos espacio-temporales son suficientes para identificar de forma única al 90% de los individuos en un conjunto de datos de transacciones de 1,1 millones de personas.

Estos hallazgos plantean serias dudas sobre la efectividad real de la anonimización de datos de movilidad que el INE afirma haber aplicado. Aunque los datos se entregaran de forma agregada en celdas de 3.500 zonas, la combinación de varios registros temporales podría, en teoría, permitir la reidentificación de patrones de movimiento individuales.

Marco legal: RGPD, Ley de Telecomunicaciones y directrices de la AEPD

El RGPD y los datos de ubicación

El Reglamento General de Protección de Datos (RGPD) clasifica los datos de localización como datos personales cuando pueden vincularse a una persona identificada o identificable. El Considerando 26 establece que, para determinar si una persona es identificable, deben tenerse en cuenta «todos los medios razonablemente utilizables» por el responsable del tratamiento o por un tercero.

Esto significa que la evaluación de si los datos están verdaderamente anonimizados no depende solo de la técnica empleada, sino también de los medios disponibles para intentar la reidentificación, incluidos los avances tecnológicos futuros.

Ley General de Telecomunicaciones: artículo 48

El artículo 48 de la Ley 9/2014, General de Telecomunicaciones (actualmente Ley 11/2022) regula específicamente el tratamiento de los datos de localización por parte de los operadores de telecomunicaciones. Este artículo establece que:

  • Los datos de localización distintos de los datos de tráfico solo pueden tratarse cuando se hagan anónimos.
  • O cuando se cuente con el consentimiento previo del usuario, que puede retirarse en cualquier momento.
  • El tratamiento debe limitarse a lo estrictamente necesario para la prestación del servicio de valor añadido.

Directrices de la AEPD sobre anonimización

La Agencia Española de Protección de Datos (AEPD) ha publicado directrices específicas sobre técnicas de anonimización, señalando que un proceso de anonimización debe garantizar la irreversibilidad de la eliminación de la vinculación con la persona. La AEPD también ha advertido sobre los riesgos de la denominada «anonimización funcional», que en realidad puede ser solo una pseudonimización.

Análisis de proporcionalidad

Incluso asumiendo que los datos entregados al INE estuvieran verdaderamente anonimizados, cabe analizar la proporcionalidad de la medida. El estudio afectó a más del 80% de los teléfonos móviles de España, lo que supone un volumen de datos sin precedentes. La pregunta pertinente es: ¿existían alternativas menos invasivas para lograr el mismo objetivo estadístico?

Fallos de transparencia

Uno de los aspectos más criticados del estudio del INE fue la falta de transparencia. Los ciudadanos no fueron informados de forma proactiva ni clara sobre el uso de sus datos de localización. Aunque el INE publicó información en su página web, la comunicación fue insuficiente y tardía, lo que generó desconfianza y polémica mediática.

La pregunta de si los usuarios podían oponerse al tratamiento («opt-out») también generó confusión. Las operadoras indicaron que los usuarios podían solicitar la exclusión, pero el procedimiento no fue sencillo ni ampliamente difundido.

El COVID-19 como acelerador: datos de movilidad durante la pandemia

La pandemia de COVID-19 supuso un punto de inflexión en el uso de datos de movilidad a gran escala. Si el estudio del INE de 2019 generó controversia, la crisis sanitaria de 2020 aceleró enormemente la aceptación institucional de este tipo de prácticas.

El proyecto DataCOVID

En abril de 2020, el Gobierno de España aprobó el estudio DataCOVID, que utilizaba los datos de posicionamiento de los teléfonos móviles para analizar la movilidad de la población durante el estado de alarma. El INE, en colaboración con Telefónica, Orange y Vodafone, publicó datos diarios sobre el porcentaje de población que se desplazaba fuera de su zona de residencia.

Los resultados mostraron que, durante las semanas de confinamiento más estricto, más del 90% de los ciudadanos permanecieron en su zona de residencia.

Normalización del uso de datos de localización

La pandemia tuvo el efecto de normalizar el uso masivo de datos de localización con fines de salud pública. El Ministerio de Transportes también realizó estudios de movilidad con big data durante toda la pandemia. Sin embargo, esta normalización se produjo sin un debate público suficiente sobre las garantías de privacidad, y sin que se establecieran mecanismos claros de control y rendición de cuentas.

El riesgo de esta normalización es lo que los expertos denominan «function creep» o deslizamiento funcional: una tecnología o práctica que se introduce para un fin concreto y legítimo (gestionar una pandemia) acaba extendiéndose a otros usos menos justificados.

¿Qué ha cambiado desde 2019? Nuevas regulaciones europeas

Desde que el INE realizó su estudio en 2019, el marco regulatorio europeo sobre datos ha evolucionado significativamente con la aprobación de dos nuevas normas:

Data Governance Act (Reglamento de Gobernanza de Datos)

El Reglamento de Gobernanza de Datos (Reglamento UE 2022/868), aplicable desde septiembre de 2023, establece un marco para facilitar la reutilización de determinados datos protegidos en poder del sector público, incluidos datos personales. Introduce la figura de los servicios de intermediación de datos y el concepto de altruismo de datos, promoviendo un uso más ético y transparente de la información.

Esta norma es relevante porque establece condiciones más estrictas para la reutilización de datos del sector público, lo que podría afectar a futuros estudios similares al del INE.

Data Act (Reglamento de Datos)

El Reglamento de Datos (Reglamento UE 2023/2854), en vigor desde enero de 2024 y aplicable desde septiembre de 2025, regula el acceso y uso de datos generados por dispositivos conectados (IoT), incluyendo potencialmente los datos de localización generados por teléfonos móviles. A diferencia del RGPD, el Data Act se aplica tanto a datos personales como no personales.

La Digital Omnibus de 2025 ha consolidado además las disposiciones del Data Governance Act y del Data Act, integrando la prohibición de requisitos de localización de datos no personales y reforzando el marco de intermediación de datos.

Estas nuevas normas refuerzan el marco de protección y podrían ofrecer mayor seguridad jurídica para los ciudadanos frente a tratamientos masivos de datos de localización como el del INE. Puedes consultar más análisis sobre normativa de privacidad en nuestra sección de artículos especializados.

UE vs. EE.UU.: dos enfoques opuestos sobre los datos de localización

La forma en que Europa y Estados Unidos abordan la privacidad de los datos de localización refleja dos filosofías jurídicas fundamentalmente diferentes.

Aspecto Unión Europea (RGPD) Estados Unidos
Marco legal Regulación única y comprehensiva (RGPD + ePrivacy) Sin ley federal integral; regulación sectorial y estatal fragmentada
Datos de localización Considerados datos personales protegidos; requieren base legal para su tratamiento Sin protección federal específica; algunas leyes estatales (CCPA/CPRA en California)
Consentimiento Opt-in: se requiere consentimiento previo explícito Generalmente opt-out: el usuario debe solicitar la exclusión activamente
Sanciones Hasta 20 millones de euros o 4% de la facturación mundial Variables según la ley aplicable; generalmente menores
Derecho de supresión Derecho al olvido reconocido expresamente Derecho a eliminar datos en algunos estados (California, Virginia, Colorado)
Acceso gubernamental Sujeto a garantías judiciales y principio de proporcionalidad Carpenter v. United States (2018): se requiere orden judicial para datos de localización de operadoras

La sentencia Carpenter v. United States (2018) del Tribunal Supremo estadounidense fue un hito al establecer que el acceso del gobierno a los datos de localización de teléfonos móviles almacenados por las operadoras constituye una «búsqueda» protegida por la Cuarta Enmienda y requiere una orden judicial. Sin embargo, esta protección se aplica únicamente al acceso gubernamental, no al uso comercial de los datos.

En Europa, en cambio, el RGPD protege los datos de localización frente a cualquier tipo de tratamiento —público o privado— que no cuente con una base legal adecuada. Este enfoque más protector es el que debería haber guiado el estudio del INE, con mayor transparencia y garantías para los ciudadanos.

¿Cómo proteger tu privacidad de localización?

Aunque el control total sobre los datos de localización que generan nuestros dispositivos es difícil de lograr, existen medidas prácticas que pueden reducir significativamente la exposición:

1. Configura los permisos de ubicación en tu móvil

  • Revisa qué aplicaciones tienen acceso a tu ubicación en Ajustes > Privacidad > Servicios de localización (iOS) o Ajustes > Ubicación (Android).
  • Establece el permiso como «Solo mientras se usa la app» en lugar de «Siempre».
  • Desactiva la ubicación precisa cuando no sea necesaria (iOS 14+ y Android 12+ permiten compartir ubicación aproximada).

2. Limita el seguimiento publicitario

  • En iOS: Ajustes > Privacidad > Seguimiento y desactiva «Permitir que las apps soliciten seguirte».
  • En Android: Ajustes > Privacidad > Anuncios y activa «Inhabilitar personalización de anuncios».

3. Desactiva el historial de ubicaciones de Google

  • Accede a myactivity.google.com y desactiva el «Historial de ubicaciones» o configura la eliminación automática.

4. Ejerce tus derechos ante las operadoras

  • Conforme al RGPD, puedes ejercer tu derecho de oposición al tratamiento de tus datos de localización para fines distintos a la prestación del servicio.
  • Contacta con el departamento de protección de datos de tu operadora (Movistar, Orange, Vodafone) y solicita información sobre el tratamiento de tus datos de localización.

5. Utiliza herramientas de privacidad

  • Considera el uso de una VPN para ocultar tu dirección IP.
  • Utiliza navegadores centrados en la privacidad (Firefox con protección antirrastreo, Brave).
  • Desactiva el Wi-Fi y el Bluetooth cuando no los utilices, ya que también pueden usarse para rastrear tu ubicación.

Para más información sobre cómo proteger tus datos personales, visita nuestra sección de artículos sobre privacidad y protección de datos.

Preguntas frecuentes sobre el estudio del INE y los datos de movilidad

¿El INE puede rastrear mi teléfono móvil?

El INE no rastrea directamente los teléfonos móviles. Son las operadoras de telecomunicaciones (Movistar, Orange, Vodafone) las que procesan los datos de localización de sus abonados y entregan al INE información agregada y, según afirman, anonimizada. El INE recibe recuentos de terminales por zona geográfica, no posiciones individuales.

¿Puedo negarme a que usen mis datos de localización?

Sí. Conforme al artículo 48 de la Ley General de Telecomunicaciones y al RGPD, puedes ejercer tu derecho de oposición ante tu operadora. No obstante, durante el estudio del INE de 2019 este procedimiento no fue suficientemente difundido, lo que generó críticas sobre la falta de transparencia.

¿Los datos que el INE recibió eran verdaderamente anónimos?

Según el INE y las operadoras, los datos fueron anonimizados y agregados en celdas geográficas. Sin embargo, la investigación científica ha demostrado que la anonimización de datos de localización es extremadamente difícil de garantizar. Con tan solo 4 puntos espacio-temporales se puede reidentificar al 95% de las personas en un dataset de 1,5 millones de individuos.

¿Qué diferencia hay entre anonimización y pseudonimización?

La anonimización es un proceso irreversible que elimina definitivamente cualquier vínculo con la persona; los datos resultantes no son datos personales. La pseudonimización sustituye los identificadores por códigos, pero el proceso es reversible con la clave adecuada; los datos siguen siendo personales a efectos del RGPD.

¿Qué pasó con los datos de movilidad durante el COVID-19?

Durante la pandemia, el Gobierno lanzó el proyecto DataCOVID en 2020, utilizando los datos de localización de las operadoras para monitorizar la movilidad durante el estado de alarma. Este uso se justificó por razones de salud pública, pero aceleró la normalización del uso masivo de datos de localización sin un debate público suficiente sobre sus implicaciones.

¿Qué normativa europea protege mis datos de localización?

Actualmente, los datos de localización están protegidos por el RGPD, la Directiva ePrivacy (traspuesta en España por la Ley General de Telecomunicaciones), el Data Governance Act (aplicable desde 2023) y el Data Act (aplicable desde septiembre de 2025). Estas normas ofrecen un marco de protección integral frente al tratamiento de datos de ubicación.

¿Puedo saber qué datos de localización tienen sobre mí?

Sí. El RGPD te otorga un derecho de acceso (artículo 15) que te permite solicitar a cualquier organización —incluidas las operadoras de telecomunicaciones— una copia de todos los datos personales que tiene sobre ti, incluidos los datos de localización. Si necesitas ayuda para ejercer este derecho, puedes contactarnos.

Conclusión

El estudio del INE sobre movilidad a partir de datos de localización de operadoras planteó un precedente importante en España sobre los límites del uso de datos masivos con fines estadísticos. Aunque el INE y las operadoras argumentaron que los datos estaban anonimizados y, por tanto, fuera del alcance del RGPD, la evidencia científica sobre los riesgos de reidentificación y las deficiencias en materia de transparencia e información a los ciudadanos siembran dudas legítimas sobre la adecuación de las garantías aplicadas.

La pandemia de COVID-19 aceleró la normalización de estas prácticas, y las nuevas regulaciones europeas (Data Governance Act y Data Act) ofrecen un marco más robusto, pero también más complejo. En un contexto donde 4 puntos de datos bastan para identificar al 95% de las personas, la protección de la privacidad de localización exige un enfoque proactivo tanto de las instituciones como de los propios ciudadanos.

Consulta más análisis sobre protección de datos y privacidad en nuestra sección de artículos, y no dudes en contactarnos si necesitas asesoramiento especializado.

Compartir

Etiquetas

anonimizacion estudio ine localizacion movilidad privacidad

Comentarios

Artículos relacionados

Tus derechos sobre lo que publicas en redes sociales: Instagram, Facebook, TikTok, X y Threads en 2026

Tus derechos sobre lo que publicas en redes sociales: Instagram, Facebook, TikTok, X y Threads en 2026

26 Mar 2026
Multa de 50 millones a Google LLC por vulneración del Reglamento de Protección de Datos

Multa de 50 millones a Google LLC por vulneración del Reglamento de Protección de Datos

21 Jan 2019
Lo importante no es el spam electoral, son los datos

Lo importante no es el spam electoral, son los datos

23 Nov 2018

Buscar

¿Necesitas ayuda?

Nuestro equipo está disponible para orientarte sin compromiso.

Contáctanos

Contacto

Tel: 971.31.13.31

info@faseconsulting.es

Volver al blog