El Ayuntamiento de Bilbao pretende utilizar la información sobre el movimiento de los dispositivos móviles conectados a la red WIFI municipal a lo largo del tiempo a fin de identificar las tendencias de movilidad urbana, zonas de aglomeraciones en función de factores externos (festivos, eventos especiales...), zonas comerciales en función de campañas u otros parámetros, y plantea en su consulta si estamos ante un tratamiento de datos personales a los que sea de aplicación la normativa de protección de datos personales. Los datos transmitidos por las señales Wi-Fi utilizados en este tipo de procesos pueden ser considerados como datos personales en la medida en que están relacionadas con personas identificables y son susceptibles de ser utilizados para su identificación directa o indirecta, en concreto estaríamos hablando del identificador de dispositivo o MAC, la fecha/hora y la posición. La obtención o recogida de información de los dispositivos por la red Wifi municipal, así como el propio proceso de anonimización, y su posterior utilización para los fines indicados en la consulta en el caso de que se llegase a materializar el riesgo de reidentificación, constituyen tratamientos de datos personales. En la medida que hay tratamiento de datos personales, el responsable tendrá que cumplir los principios consagrados en el RGPD, en concreto el de licitud, limitación de la finalidad y limitación del plazo de conservación. En lo relativo al cumplimiento del principio de licitud, la base legitimadora aplicable a cada tratamiento requiere de un análisis pormenorizado del caso concreto por parte del responsable del tratamiento, en virtud del principio de responsabilidad proactiva (artículo 5.2 RGPD), que tendrá en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento. De acuerdo con el artículo 35.3 del RGPD, en aquellos tratamientos que incorporen Wi-Fi tracking y que supongan una observación sistemática a gran escala de una zona de acceso público, la EIPD será obligatoria. En cuanto a las medidas técnicas y organizativas apropiadas el dictamen se remite a las orientaciones publicadas por las autoridades de control, haciendo hincapié en el proceso de anonimización.