Hola
a todos!
Hace
unos días comentaba por twitter (@Smor84)
la odisea personal que viví para poder confirmar con la AEPD unas
dudas sobre el uso de RRSS por las empresas. El final (abierto) de la
historia fue que, tras unas 4 llamadas, conseguí una respuesta por
parte de personal de la AEPD que, tristemente, no acabó de
convencerme. Era evidente que no me iba a quedar ahí, por lo que
decidí abrir una investigación en profundo para ver si podía
encontrar algo más o menos oficial que me diera unas pautas algo más
claras sobre este tema. Y buceando, buceando..me encontré con dos
informes: uno del año 2011 y el otro del año 2013. A pesar de que
las cuestiones planteadas son algo diferentes (el informe de 2011
responde a una cuestión sobre la creación, por una empresa, de una
cuenta en una RRSS con fines publicitarios y el de 2013 habla de la
propia creación de una Red Social), el contenido de ambas me parece
realmente interesante para afrontar la cuestión. En este post voy a
aplicar aquello que nos decían de pequeños sobre el respeto a los
mayores, así que voy a centrarme en el informe de 2011 y dejaré el
de 2013 para otro post. El documento lo podéis consultar aquí.
Cosas
interesantes del informe:
- En relación a la responsabilidad del fichero: El informe comienza diciendo que no se aplicaría la exención de ejercicio de actividades domésticas al consultante (obvio) y que por ello asume la condición de “Responsable de Datos”. Llegados a este punto, ya vamos mal: yo conocía la definición de Responsable del Fichero o incluso, la difusa definición de Responsable del Tratamiento (y digo difusa porque, por mi experiencia, la denominación más usada es la de Responsable del Fichero), pero jamás había oído hablar de la existencia de un “Responsable de Datos”. Suponemos que la AEPD se refiere al Responsable del Fichero o del Tratamiento (según el art.3 de la LOPD:”persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”), y parece que suponemos bien, ya que el informe acaba llamando así al consultante, pero le avisa de que entiende que los tratamientos que va a hacer el consultante con los datos de terceros (dentro, por supuesto, de la Red Social) van a ir condicionados por las propias reglas de la Red Social; por lo que deja entrever que el cumplimiento de las características que da el art. 3 al Responsable del Fichero en este caso son relativas (quizás por eso se refiere al consultante con el intrigante apelativo de “Responsable de Datos”).
- Consentimiento: Sabemos que el consentimiento es un punto vital en la normativa de protección de datos y que debe ir siempre acompañado (al igual que toda caña que se precie por su correspondiente tapa) por la información al afectado acerca de lo que se va a hacer con sus datos y quién es el que lo va a hacer. Claro, cuando nos registramos en una Red Social sabemos que los datos que introducimos son gestionados por ésta, pero eso no equivale a que todos los usuarios de dicha Red Social tengan derecho a ver nuestro perfil o a encontrarnos siquiera. Dice el informe que el consentimiento al pseudotratamiento éste dentro de la Red Social se entenderá por el hecho de convertirse en amigo o seguidor de la página de la empresa. Y.. ¿cómo le informamos al usuario de lo que supuestamente vamos a hacer con sus datos?pues según el informe hay que ubicarlo en nuestro perfil en la Red Social (claro, algo un poco difícil con el escaso espacio que suele haber ahí), por lo que se recomienda poner un enlace con la política propia de privacidad de la empresa (quizás más sencillo si la empresa tiene página web).
- Derechos ARCO, ¿cómo puede facilitar la empresa su ejercicio dentro de la Red Social? Pues bien, la AEPD entiende que la actuación de la empresa en este caso también está limitada por la propia Red Social, por lo que la forma de hacerlo se limita a “dar de baja” a los amigos que lo soliciten o eliminar dichos datos del muro cuando reciba una solicitud de este tipo.Claro, mi duda es si al dejar de seguirte en twitter, la empresa debe entender que se está ejerciendo un derecho ARCO...¿debería dejar de seguir la empresa al usuario que deje de seguirla? Un poco complicado de cumplir parece y más si no tienes pocos seguidores precisamente,
- Pone el informe también especial énfasis en que la empresa debe configurar su perfil en la Red Social restringiendo a terceros la visibilidad de la lista de las personas que le siguen o son “amigas” suyas, con lo que estaríamos rozando en cierto modo el deber de secreto que impone la normativa.
- Y finalmente, la guinda del pastel: la empresa sólo es responsable del fichero si decide sacar los datos de los seguidores/amigos que tiene enla Red Social para gestionarlos desde un sistema propiamente suyo. Esto es especialmente importante ya que, cuando hablé con la AEPD, me dijeron que al usar una Red Social como empresa debía declarar el fichero, porque que actuaba como responsable del mismo, respuesta que no me convenció y por la que inicié la investigación que ha dado como resultado este post de hoy.
Nada
más, espero que os haya parecido interesante y os ayude a la hora de
conciliar la gestión de las RRSS de vuestros negocios con el
cumplimiento de la normativa de protección de datos.
Un
saludo!
Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84