lunes, 20 de agosto de 2018

¿Estás presente en Internet y redes sociales de manera responsable?

  • Escrito por Juan Miguel Pulpillo, Abogado-Auditor IT certificado, director de Legal-itc y DPO iTSMF España

Redes Sociales

En estos días de Congresos sobre Marketing Digital y en los que se abordan temas de máximo interés, no quiero que una cuestión muy importante pueda quedar en el olvido. Así que reflexiono con vosotros sobre los pasos a seguir para abordar, aprovechar y explotar nuestra presencia en redes sociales de modo responsable.

A nadie se le escapa la importancia de las redes sociales en nuestras empresas y la necesidad de estar presentes, aprender, escuchar e interactuar con nuestros seguidores, "likers", competencia, tendencias, etc. Para ello, y no es el único instrumento, es muy eficiente el uso de las conocidas cookies. Todo el mundo conoce la existencia de las "cookies" aunque pocos entienden la potencialidad del alcance de su procesamiento de información y muchos no quieren ver, o no se quieren enterar, de las implicaciones normativas que conlleva su uso y las responsabilidades que conllevan su mal uso. Por si acaso, vamos a dar juntos siete pasos para hacerlo de manera responsable y evitar sustos.

Demos el primer paso, una cookie es un archivo que se descarga en los dispositivos al acceder a determinadas páginas web, incluidas las de cualquier red social y permiten a los proveedores de servicios en línea, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, se pueden utilizar para reconocer al usuario. Con ellas, se puede desde cuantificar el número de usuarios de los servicios ofrecidos, interactuar con contenidos de plataformas sociales, a analizar la tendencia de navegación de estos usuarios. Pero quizás lo más interesante es que una evolución de esas cookies ha generado soluciones que incluyen las capacidades de las cookies en páginas webs ajenas a las redes sociales o a esas plataformas como herramienta de marketing, optimización y eficiencia de esas webs.

Un segundo paso nos debería hacer plantearnos ¿Y qué dice la actual y "la inminente" normativa de aplicación en estos casos? ¿Qué hago para poder procesar esa información y no tener problemas? El Reglamento e-Privacy, no regula todos los aspectos de tratamiento de datos de manera exhaustiva o un posterior tratamiento de esos datos, como sí lo hace el RGPD, sino que principalmente se refieren a su ubicación en el dispositivo del usuario o suscriptor y al acceso de los datos generados por las mismas. Así, tal y como indica el Grupo de Trabajo Art. 29, la regulación de las comunicaciones electrónicas aplicaría al almacenamiento y acceso a cookies, pero no al tratamiento subsiguiente lo que hace que la unión del Reglamento e-Privacy y del RGPD sea clave para evitar problemas.

Por tanto, el concepto y requisitos para recabar consentimiento del nuevo RGPD se aplica a todo aquello que tenga forma de cookie. Pero es necesario aclarar que el reglamento e-Privacy se aplicará independientemente de si se captan datos personales o no, mientras que, si hablamos de datos personales, aunque se capten a través de comunicaciones electrónicas, el RGPD sería la normativa de referencia. Me remito a toda la literatura relativa al consentimiento por no ser objeto de este artículo, pero hay que recordar que el consentimiento en el RGPD es "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen [...]".

El tercer paso sería preguntarnos por ¿quién es el responsable del procesamiento o controlador de los datos y con qué finalidad? En este sentido, la anterior Directiva y el actual RGPD abordan el concepto de "responsable del tratamiento" y se refieren al organismo que "solo o conjuntamente con otros" determine los fines y los medios del tratamiento de datos personales, dicho concepto no se remite necesariamente a una única entidad, sino que puede aludir a varios actores que participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos.

A este respecto, cabe observar que cualquier persona que desee crear una página de fans en Facebook o cualquier perfil en redes sociales celebra con las respectivas plataformas un contrato específico relativo a la apertura de tal página o perfil y, de este modo, suscribe las condiciones de uso de dicha página o plataforma, incluida la correspondiente política en materia de cookies. Mediante esa política normalmente, la plataforma recibe, guarda y trata los datos almacenados en las cookies, en particular, cuando una persona visita los servicios de la plataforma, los servicios ofrecidos por otras empresas relacionados con la plataforma en cuestión y los servicios ofrecidos por otras empresas que utilizan los servicios de la plataforma de la que se trate. Además, otras entidades, como los socios o incluso terceros, "pueden utilizar cookies en los servicios de la red social para ofrecer servicios directamente a dicha red social, así como a las empresas que se anuncian en la plataforma o red social".

En particular, y vamos por el cuarto, estos tratamientos de datos personales tienen por objeto permitir, por un lado, mejorar el sistema de publicidad, que difunde a través de su red, y, por otro lado, posibilitar que el administrador de la página de fans o perfiles obtenga estadísticas elaboradas por el proveedor a partir de las visitas a esa página, a efectos de la gestión de la promoción de su actividad, lo que le permite conocer, por ejemplo, el perfil de los visitantes que indican que les gusta su página de fans o que utilizan sus aplicaciones, de tal modo que pueda ofrecerles contenido más relevante y desarrollar funciones con mayores probabilidades de interesarles.

Pues bien, demos un quinto paso: ¿cómo identificar si soy responsable o controlador de datos? Porque normalmente no te lo van a decir tus proveedores de servicios de marketing digital. Para ello, a modo de ejemplo nos centraremos en el caso de las páginas de fans de Facebook, que ha sido objeto de la Sentencia del Tribunal de Justicia de la Unión Europea, asunto C-210/16.

El administrador de una página de fans alojada en Facebook, mediante la creación de tal página, ofrece a Facebook la posibilidad de colocar cookies en los ordenadores o en cualquier otro aparato de la persona que haya visitado su página de fans, disponga o no esta persona de una cuenta de Facebook. Esto implica por parte del administrador una acción de configuración, en función, de su audiencia destinataria, así como de los objetivos de gestión o de promoción de sus actividades, que influye en el tratamiento de datos personales a efectos de la elaboración de las estadísticas establecidas a partir de las visitas de la página de fans.

El administrador puede, gracias a filtros que Facebook pone a su disposición, definir los criterios a partir de los cuales deben elaborarse esas estadísticas e incluso designar las categorías de personas cuyos datos personales serán objeto de explotación por parte de Facebook. Por consiguiente, el administrador de una página de fans alojada en Facebook contribuye al tratamiento de los datos personales de los visitantes de su página. Concretamente, el administrador de la página de fans puede solicitar la obtención de datos demográficos relativos a su audiencia destinataria, información relativa a comportamiento en línea de los visitantes de su página, las categorías de servicios que más les interesan, además de datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales u organizar eventos y, con carácter más general, dirigir de forma óptima su oferta de información.

¿Has escuchado "no te preocupes por la protección de datos porque estas estadísticas de audiencia elaboradas por Facebook se transmiten únicamente al administrador de la página de fans de forma anonimizada"? Pues deberías tener cuidado, esas estadísticas se basan en la recogida previa, mediante cookies instaladas por Facebook en los dispositivos de las personas que visitan esas páginas, y en el tratamiento de los datos personales de esos visitantes a los citados efectos estadísticos.

Por otra parte, no olvides que las páginas de fans alojadas en Facebook pueden ser visitadas igualmente por personas que no son usuarias de Facebook y que, por tanto, no disponen de una cuenta de usuario en esa red social. En ese caso, la responsabilidad del administrador de la página de fans respecto del tratamiento de los datos personales de tales personas resulta aún mayor, pues la mera consulta de la página de fans por parte de los visitantes desencadena automáticamente el tratamiento de sus datos personales.

Avancemos a un sexto paso, ¿lo estás haciendo? Para ello debes plantarte si te ofrecen o utilizas cosas como tecnología orientada a la estrategia sobre el internet de las personas, o tecnología de Escucha Activa, o configuración de búsqueda y descarga de información, o procesador de lenguaje natural, o dashboard que facilita la interpretación de los datos, o análisis de perfiles de usuario y otra información que se recibe directamente de las plataformas de redes sociales como Facebook, Twitter, LinkedIn y otros, a través de las API de estas plataformas. Si has contestado "si" ya conoces los riesgos a los que te expones. ¿Te han contado esto algunos de tus proveedores de marketing digital?

Y el séptimo paso: ¿Puede haber varios responsables o controladores de datos? Y si es así ¿qué puedo hacer? La regulación europea de privacidad no exige, cuando existe una responsabilidad conjunta de varios operadores respecto a un mismo tratamiento, que cada uno de ellos tenga acceso a los datos personales en cuestión. En estas circunstancias, procede considerar que el administrador de una página de fans alojada en Facebook participa, mediante su acción de configuración, en función de su audiencia destinataria, así como de objetivos de gestión o de promoción de sus actividades, en la determinación de los fines y los medios del tratamiento de los datos personales de los visitantes de su página de fans. De este modo, dicho administrador debe ser calificado de responsable de ese tratamiento, conjuntamente con Facebook.

Dicho esto, deberías concluir, que la existencia de una responsabilidad conjunta no se traduce necesariamente en una responsabilidad equivalente de los diversos agentes a los que atañe un tratamiento de datos personales. Por el contrario, esos agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse y formalizarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto. Para ello, busque el asesoramiento experto de abogados especializados. Porque estas cosas son cosas de abogados, aunque le puedan decir otras cosas.