Redes sociales, empresas y protección de datos

1881

El suplemento de negocios del diario El País del 12/9 publicaba un artículo titulado Ajenas a las redes sociales, donde se exponía la situación de las empresas españolas respecto a las oportunidades que ofrecen las nuevas plataformas de comunicación en Internet. En el artículo se hablaba de Facebook, Twitter, LinkedIn, los blogs, etc… pero apenas ni una palabra sobre normativa legal relacionada (LOPD, suplantación de identidad, daños de imagen, etc…) y cómo podía afectar a un uso profesional de estas herramientas.

Con este ejemplo comenzó la presentación de Ricard Martínez (de la Agencia Española de Protección de Datos) acerca de la utilización de las redes sociales por parte de las empresas dentro del I encuentro CEOE sobre protección de datos en la economía digital. A continuación reseñamos los puntos más importantes de su ponencia.

Internet ha evolucionado desde su uso inicial casi siempre anónimo para el usuario, hasta una situación en la que la identificación se ha vuelto necesaria y casi imprescindible, convirtiendo la información personal en una moneda de cambio dentro de un contexto que no es neutro, ya que el proveedor del servicio lo sabe todo (contactos, tiempo de presencia, páginas visitadas, etc.) y la configuración “por defecto” responde a sus intereses.

El usuario normal también recibe y recopila información personal de los contactos que establece, pero esta situación estaría dentro de lo que en protección de datos se conoce como excepción “doméstica”, es decir, que no está sujeta a la LOPD. No ocurre lo mismo en el caso de las empresas. Cuando una empresa crea sus perfiles en redes sociales sí está sometida a la regulación legal correspondiente.

Deberes de información y transparencia

Puesto que existe un tratamiento deben respetarse los principios y obligaciones derivados del artículo 5 LOPD:

  • Ubicar una información básica en el espacio de la cuenta que facilita la red social con la información básica sobre la identidad y localización del responsable, finalidad que se persigue, formas de ejercicio de los derechos.
  • Articular un procedimiento de bienvenida a nuevos amigos con un mensaje de correo-e que incluya esta información.
  • Hiperenlazar a políticas de privacidad corporativas.
  • Informar en particular sobre: la utilización de los datos con fines de comercialización directa, la posible distribución de datos a categorías específicas de terceros, el uso de datos sensibles.

Consentimiento y fuentes accesibles al público

  • En principio el consentimiento se manifiesta cuando se solicita “hacerse amigo de”.
  • El consentimiento únicamente afecta a los datos de la persona que se agrega nunca a aquellos terceros relacionados con el “amigo” cuyo perfil se encuentre abierto.
  • La posible existencia de excepciones a la regla del consentimiento deberán examinarse caso por caso y con pleno respeto a la regulación.
  • Un perfil abierto “no implica consentimiento”.
  • Internet, y las redes sociales, no son fuentes accesibles al público (Informe 0342/2008).

Derechos de los “amigos”

Rigen los derechos de acceso, rectificación, cancelación y oposición al tratamiento. No obstante:

  • El contenido del derecho de acceso vendrá definido por las posibilidades que ofrezca la red y la capacidad de acceso a información del perfil de cada usuario.
  • El derecho de oposición, rectificación y cancelación se encontrará modulado: el responsable del tratamiento debería satisfacerlo sobre aquellos aspectos del aplicación que se encuentren bajo su control (modificar o eliminar datos un comentario del propio muro).
  • La rectificación de aspectos relativos al perfil del usuario normalmente se ejercen ante la red social.
  • La cancelación u oposición cuando consiste en “dejar de ser amigos” podría ser ejercida por amabas partes.

Algunos límites al uso de los datos

  • El principio de la finalidad constituye un límite infranqueable y vendrá definido por las condiciones de uso de la red social, la información disponible y efectivamente facilitada “al hacerse amigos”.
  • La incorporación de datos, como la dirección de correo-e, a los propios sistemas constituyen un tratamiento sujeto a la LOPD y su accesibilidad en un entorno de redo social no es una causa de legitimación para el tratamiento.
  • El uso de aplicaciones de terceros o propias insertadas en el entorno de la red social obliga al cumplimiento de la legislación vigente cuando tenga por objeto el tratamiento de datos personales.

Aplicabilidad de las previsiones de la LSSI

Los entornos de promoción empresarial en redes sociales pueden constituir servicios de la sociedad de la información.

Servicios de la sociedad de la información: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad e la información comprende también los servicios no remunerados por sus destinatarios, en la media en que constituyan una actividad económica para le prestador de servicios.

«Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

En particular cuando su objetivo lo constituyen la comunicación comercial deberían aplicarse los criterios de los artículos 19-22 LSSI: consentimiento expreso (opt-in); opt-out cuando se refiera a clientes; información clara y precisa sobre el carácter publicitario; información en caso de promociones y concursos; articulación de un modo sencillo para revocar el consentimiento y/u oponerse la tratamiento.

Es recomendable hiperenlazar a la información empresarial legal disponible sobre la materia.

Publicidad y marketing viral y/o compartimental

La publicidad contextual y la publicidad segmentada utilizan “instantáneas” de lo que ven o hacen los usuarios en un sitio concreto o las características conocidas de los usuarios, basadas en la observación continuada del comportamiento de los individuos. La publicidad comportamental busca estudiar las características de dicho comportamiento a través de sus acciones (visitas repetidas a un sitio concreto, interacciones, palabras clave, producción de contenidos en línea, etc…) para desarrollar un perfil específico y proporcionar así a los usuarios anuncios a medida de los intereses inferidos de su comportamiento.

El uso de estrategias de publicidad basada en el comportamiento, la identificación de los usuarios que navegan por Internet y la creación gradual de perfiles que después sirven para enviarles publicidad que corresponde a sus intereses, debe respetar los principios de protección de datos.

Es conveniente definir la finalidad publicitaria, de marketing etc., en la información de la página y en los mensajes de bienvenida. El desarrollo de la Directiva 2002/58/CE definirá las obligaciones en relación con la información y el consentimiento según se ocupe la posición de proveedor de redes de publicidad, editor o anunciante.

“Enviar a un amigo”

El estímulo a los usuarios para “difundir” mediante la estrategia de “enviar a un amigo” o “invitar a más amigos”, en particular cuando opere algún tipo de bonificación puede constituir una actividad sujeta a las reglas vigentes en materia de protección de datos personales.

Si es una conducta activa, se ponen los medios y se incentiva el envío se aplican las reglas del Art. 21 LSSI (PS/00183/2009)

¿Y si se recomienda nuestro espacio?: no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

Selección de personal

El principio de finalidad y el consentimiento son elementos determinantes. El carácter público de una red social o del perfil de un usuario no legitima el acceso, la recopilación o el tratamiento de datos personales para cualquier tipo de finalidad.
No puede presumirse un consentimiento tácito por el hecho de la presencia en un entorno de red social profesional para cualquier tipo de tratamiento. No es lo mismo contactar y/o visualizar un perfil en una red profesional que incorporarlo a una base de datos de empleados potenciales.

Red social propia

Una empresa puede optar también por crear su propio canal de comunicación, ya sea abierto o cerrado (exclusivo de empelados).

  • Con recursos propios: resulta de plena aplicación lo dispuesto por la LOPD, la LSSI y sus normas de desarrollo así como los futuros desarrollos de la Directiva 2002/58/CE (cookies y publicidad basada en el comportamiento).
  • Con el soporte de terceros: podría darse el supuesto de la existencia de encargados del tratamiento, transferencias internacionales de datos personales, etc.

Resulta indispensable:

  • Disponer de una política de cumplimiento normativo basada en la tipología de la red, la finalidad perseguida y los perfiles de usuario.
  • Definir con mucha precisión las normas de uso.
  • Disponer de políticas de privacidad adecuadas.
  • Seguir las recomendaciones del WP 163 y los documentos de las autoridades de protección de datos personales.
  • En el caso de redes sociales complementarias o sustitutivas de entornos de intranet la información a los trabajadores debe ser clara y comprensible.
Redes sociales, empresas y protección de datos
4.4 (88%) 5 votos

5 Comentarios

  1. Interesante post pero un poco complejo ¿no? No entiendo porque tanta responsabilidad para la empresa que trabaja en redes sociales, todo esto debería ser cosa del sitio (Facebook, Twitter o el que sea). Son ellos los que tiene poco respeto por la privacidad.

  2. Buenas tardes.

    Muy interesante el artículo, muchas gracias.

    Tenía algunas cuestiones que me quedan en el aire, por si alguien puede contestarme:

    1.¿Debe la empresa registrar su “fichero de fans” de Facebook?

    2.¿Se consideran “prestadores de intermediación” las empresas en Facebook de la misma forma que con un blog y tendrían sus obligaciones (retirada de insultos, etc)?

    3.¿Incumplen las empresas la Ley de cookies al montar páginas de fans en Facebook?

    Muchas gracias.
    Saludos.

    • Ángel, gracias. Respuestas:
      1.- como tal no, aunque obviamente el consejo “marketiniano” es intentar transformar esos fans o seguidores en contactos LOPD a través de un formulario.
      2.- sí, en la medida en que sea técnicamente posible, es decir, en las áreas funcionales de la aplicación a las que se tenga acceso como usuario. esto puede provocar conflictos técnico-jurídicos, y por eso la siguiente respuesta.
      3.- en principio sí, aunque no hay aún “jurisprudencia” nos atenemos a una interpretación de la LSSI, pero como pista la propia Agencia Española de Protección de datos retiro su página Facebook.

Dejar respuesta