Cómo cumplir la Ley de Protección de Datos en las Redes Sociales
Ratio: 5 / 5
- Detalles
- Publicado: Viernes, 13 Febrero 2015 10:26
La Agencia Española de Protección de Datos (AEPD) ha emitido varios Informes Jurídicos en los que explica cómo deben cumplirse las prescripciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en las Redes Sociales.
La AEPD entiende que, aunque los datos de amigos o seguidores de una empresa o institución se traten sólo en la plataforma de la red social, en la medida en que esa empresa o entidad utiliza esos datos para fines propios (darse a conocer o promocionarse), se constituye en responsable del fichero. Además, ha de tenerse en cuenta que, en ocasiones, las empresas obtienen los datos de la Red Social para tratarlos en sus propios sistemas informáticos o los utilizan en la propia red para realizar campañas de marketing. Todo ello las obligará a cumplir las previsiones legales previstas al respecto.
Con esas premisas, las reglas a tener en cuenta, en aplicación de la LOPD, son las siguientes:
a) Regla general:
Para tratar datos de personas físicas en el perfil de una empresa en una Red Social es necesario que se obtenga el previo consentimiento informado de los interesados.
b) Condiciones del consentimiento y de la previa información:
El consentimiento ha de ser una manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de sus datos. El consentimiento específico viene referido a una concreta operación de tratamiento y para una finalidad determinada, explícita y legítima. Para que pueda hablarse de consentimiento inequívoco, se exige la realización de una acción u omisión que implique necesariamente la existencia del consentimiento.
El consentimiento, en el caso de las Redes Sociales, se entenderá otorgado por el hecho de convertirse en “amigo” o “seguidor” de la página. El consentimiento así prestado se refiere únicamente a la persona que realiza la acción de hacerse “amigo” o “seguidor” y no puede extenderse al tratamiento de datos de terceros relacionados con dicha persona. Y ello aunque el perfil de estos últimos se encuentre abierto, en tanto que dicha circunstancia no implica el consentimiento de sus titulares para el tratamiento de los datos personales contenidos en el mismo.
En cuanto al requisito previo de la información, supone que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que se produce. Por tanto, aquellos que pretendan convertirse en “amigos” deberán ser informados de la finalidad o finalidades de la recogida de datos, de la identidad y dirección del responsable del fichero, así como de la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición. Dicha información debe realizarse con carácter previo a la obtención del consentimiento, lo que implica que quienes deseen hacerse “amigos” deberán conocerla antes de efectuar dicha acción. Las soluciones más prácticas son ubicar la información en el espacio de cuenta que facilite la Red Social con la información de la empresa o, si este espacio es insuficiente, enlazar a una Política de Privacidad en que se informe de todo lo establecido en el art. 5 LOPD.
El consentimiento puede obtenerse en la propia Red Social o fuera de ella, de modo que, si el usuario ha aceptado fuera de la Red Social una Política de Privacidad en la que autorice a recabar los datos de la Red Social para determinadas finalidades, el consentimiento se entendería válidamente otorgado. La clave está en la redacción de una buena Política de Privacidad, que cubra todos los tratamientos que se quieran hacer posteriormente con los datos.
El consentimiento se entiende prestado para aquéllas finalidades, determinadas, legítimas y expresas que, con carácter previo, han sido conocidas por el afectado a través de la antedicha información. Ello implica que, si la finalidad del tratamiento es, por ejemplo, publicitaria, dicha finalidad debe encontrarse recogida expresamente en la información facilitada, de manera que el nuevo “amigo” tenga conocimiento de la misma al prestar su consentimiento.
Si se desean cambiar a posteriori las finalidades para las que se tratarán los datos de “amigos” o “seguidores”, es necesario recabar un nuevo consentimiento del usuario, porque, al no haber existido la oportuna información previa, el consentimiento recabado hasta entonces no es válido.
Para obtener ese nuevo consentimiento, podemos utilizar, por ejemplo, la fórmula de incluir en el espacio de la empresa, dentro de la Red social, un aviso bien visible en el que se indique que, a partir de determinada fecha, va a cambiar la Política de Privacidad de ese espacio y en el que se avise claramente a todos los “amigos” de que el hecho de permanecer como tales supondrá la aceptación de las nuevas condiciones si, llegada esa fecha, no se dan de baja o no manifiestan lo contrario. Es recomendable que este anuncio se publique con bastante antelación, para poder asegurar que todos los “amigos” tengan ocasión de leerlo. Además, se debería incluir un link bien visible a las nuevas condiciones de privacidad, para que el usuario pueda consultarlas. Llegada la fecha, podríamos tener por consentidas las nuevas condiciones de tratamiento de datos de todos aquellos “amigos” que, en el periodo de tiempo concedido, hayan accedido al site. Habría que excluir, obviamente, a los que se den de baja y los que ejerzan un derecho de oposición. Para favorecer el acceso de los “amigos” durante ese periodo de tiempo, es posible organizar alguna campaña que les invite a ello.
c) Qué información de la que figura en la red social puede tratar la empresa:
Puede tratarse toda la información del usuario que se obtenga de la red social, siempre que se haya obtenido el consentimiento para ello, con las salvedades de aquellos datos especialmente protegidos que requieran, por imperativo legal, que el consentimiento sea expreso o por escrito.
Debe tenerse en cuenta que, si los datos no son tratados sólo en la plataforma de la red social, sino que la empresa incorpora los datos de los “amigos” o “seguidores” a sus propios sistemas de tratamiento, se exige el consentimiento de los afectados, en los términos señalados más arriba.
En todo caso, el tratamiento de los datos se encuentra limitado por el principio de proporcionalidad, de modo que la utilización de información contenida en el perfil de quienes han solicitado ser “amigos” se encuentra limitada a aquéllos datos estrictamente necesarios para lograr la finalidad para la que se ha prestado el consentimiento. Si se pretendiera, además, recolectar datos adicionales contenidos en el perfil (por ejemplo, los relativos a gustos, aficiones, periodicidad de la utilización de los servicios del consultante o cualquier otro que pueda utilizarse con la finalidad de remitirle una publicidad personalizada), deberá informarse de la existencia de estos otros tratamientos de datos y de su finalidad, a fin de que sean conocidos y consentidos por los “amigos”.
d) Otras cuestiones de interés:
No cabe difundir o tratar datos personales conocidos en la red social fuera de la misma sin consentimiento del interesado, o excediendo de lo permitido por las normas de uso de la concreta Red Social. En este sentido, la empresa debería configurar los parámetros de privacidad de su perfil en la red de forma que no fuera posible el acceso a la información acerca de quienes aparezcan como sus “amigos” sino a estos o al mínimo grupo de personas que la red permita. Por ejemplo, no debería ser accesible la lista de amigos por parte de no usuarios de la Red Social o de terceros que no tengan la condición de amigos, por cuanto ello implicaría la revelación de información concerniente a tales “amigos” a estas terceras personas. En particular, como el perfil de la empresa en la Red Social resultará accesible desde motores de búsqueda, debería resultar imposible a quien accediera sin ostentar la condición de “amigo” conocer los datos de quienes allí se hubieran registrado.
En cuanto al ejercicio de los derechos de acceso, rectificación, cancelación y oposición, se encontrará limitado a aquellos aspectos que estén bajo el control de la empresa, como, por ejemplo, eliminar datos en el propio muro o dar de baja a los “amigos” cuando así lo soliciten.
En ocasiones, las redes sociales permiten importar datos desde otros ficheros de que disponga la empresa (por ejemplo, su libreta de direcciones de correo electrónico). Dicha importación supondrá una cesión de datos al servicio de red social. Tal cesión solo puede verificarse para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y cesionario y exige, para que pueda tener lugar, el consentimiento del interesado, otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar. Este consentimiento debe ser recabado por el cedente, como responsable del fichero que contiene los datos que se pretenden ceder. De este modo, la inexistencia de consentimiento de los afectados para la aludida cesión de datos a la Red Social dará lugar a una vulneración de la LOPD.
Para concluir, en relación con las invitaciones que a veces se hacen a los usuarios para hacerse “amigos”, si la invitación pretende efectuarse mediante comunicaciones electrónicas, entre las que se encuentran los mensajes remitidos por correo electrónico, SMS, MMS u otros sistemas equivalentes, debe tenerse en cuenta que a la misma resulta aplicable la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), con todos los requisitos que esta impone para este tipo de comunicaciones comerciales. A la utilización del servicio de mensajería de la red social resulta igualmente de aplicación lo previsto en la Ley 34/2002.
Por último, hay que tener en cuenta que el perfil de la empresa en la red social también ha de cumplir el artículo 10 LSSI, por lo que se debe incluir en él, de modo visible, un link a su página Web o, mejor aún, un link directo al Aviso Legal de dicha Web, donde aparezca la información identificativa de la empresa en los términos legalmente exigidos.
Ernesto José Muñoz Corral
Abogado Socio
Picón & Asociados
