Implicaciones sobre protección de datos en el uso de páginas de empresa en Facebook

En las sesiones de networking y talleres de SATIpyme comento que el hecho de utilizar los datos de los contactos, seguidores o fans de Facebook por parte de las empresas tiene implicaciones legales en materia de protección de datos. Entre éstas, deben incluirse de estos datos en los ficheros declarados ante la Agencia de Protección de Datos, y tratarse conforme al régimen de la LOPD.

Podemos simplificar que los contactos de Facebook o de otras redes sociales o profesionales están realmente dentro de dichas redes, no en la empresa, lo cual es cierto con matices. Las condiciones de uso de Facebook, pese a su despiece,  limitan mucho la explotación de los datos de los usuarios dentro y fuera de esa red (apartado 9 de la Declaración de Derechos y Responsabilidades) y, desde un punto de vista práctico, quienes deciden sobre la finalidad, contenido y uso que se da a los datos son el responsable de de la red o el propio usuario. La empresa que agrega o asocia nombres de contacto con sus páginas en dichas redes sociales o profesionales únicamente tiene disposición sobre el nombre del usuario, y no, por ejemplo, sobre las imágenes que ha incluido éste, sus intereses o cualquier otra información de su perfil o relaciones.

En este escenario, en el que los datos se mantienen dentro de la red social, los riesgos y obligaciones desde un punto de vista legal serían mínimos. El nivel aplicable a esos datos, que por otro lado forman parte de ficheros genéricos (clientes reales o potenciales, usuarios) es, por lo indicado, básico.

A lo anterior habría que añadir las siguientes consideraciones:

  • La necesidad de contar con una Política de Privacidad, como exige Facebook, supone cumplir con el deber de información del art. 5 de la LOPD. Por tanto, no supongan que el hecho de que una persona se haga fan o seguidor de una página de empresa implica la autorización de ésta para todo tipo de tratamiento de sus datos con finalidades promocionales o publicitarias.
  • Las empresas utilizan esos datos para difundir información o noticias sobre la misma o sus productos o servicios. Es decir, para enviar comunicaciones comerciales por vía electrónica, lo que obliga a identificar como “publicidad” los mensajes que se envíen dentro de la red, y facilitar al destinatario la posibilidad de oponerse a estas comunicaciones en cada uno de los mensajes. Apáñenselas para eliminar dicho envío o para escribir en el muro de sus fans cuando éstos lo exijan, sin que dejen de serlo, ya que también a través de Facebook puede hacerse spam en sentido legal.
  • El tratamiento de los datos de los usuarios de Facebook debe ser conforme con la política de privacidad que éstos hayan definido en la red, y por supuesto toda utilización de estos datos fuera de Facebook (para el envío de newsletters, concursos o promociones, por ejemplo, o cualquier otra actividad que tenga proyección en otro ámbito) requiere autorización previa del usuario. Mucho cuidado, por tanto, con la utilización fuera de Facebook de los datos obtenidos de ésta.
  • Como he comentado, los datos del perfil de usuario los introduce éste, pero la empresa realiza un tratamiento de los mismos dentro de la plataforma de Facebook, lo que debe referenciarse en el Documento de  Seguridad. Sobre las medidas de seguridad, no se rompan la cabeza: cojan el listado de esas personas e inclúyanlo en sus propias bases de datos.
  • En mi opinión, por si se plantea, entiendo que no puede considerarse que Facebook sea aquí un “encargado del tratamiento” en los términos de la LOPD , ya que los datos ya los posee y gestiona para sus propios fines, no se produce una comunicación o acceso por parte de éste a información que no tuviera, del mismo modo que tampoco existe una transferencia internacional de datos. Y si no lo creen no importa, aplíquenlo de todos modos que puede que les evite una sanción, porque Facebook no les va a firmar un contrato con el contenido del art. 12.2 de la Ley, y el problema será para Uds.

Safe Creative #1104078924356

10 Comentarios | Responder | Suscríbete

  • Hola Javier Interesante tema este… que da para discutir un buen
    rato. Nosotros también escribimos algo al respecto, pero con unas
    conclusiones distintas.
    http://www.abogados-lopd.es/noticias/%....queda-en-facebook/
    Y aunque no lo tuve en consideración, porque no creo que una
    empresa que abra su página en FB se convierta en responsable de un
    nuevo fichero… creo que, de ser así, el nivel de seguridad
    aplicable sería medio, y potencialmente, alto… Y como los datos
    están alojados en Facebook, las medidas de seguridad sólo
    dependerían de la red social, lo que siendo muy estrictos,
    supondría que el fichero del que eres responsable está ubicado en
    un encargado de tratamiento, con transferencia internacional y toda
    la pesca. En fin, que la mejor forma de enfocarlo, para mí… es
    que lo que ocurre en Facebook es responsabilidad de Facebook, y
    sólo en el momento en que saco los datos de allí, me convierto en
    responsable del fichero. Otra opción sería enfocarlo como un mero
    tratamiento sin fichero de nuestra propia responsabilidad.
    Realmente, estoy interesado en ver si la Agencia se pronuncia sobre
    estos temas.

  • Ad EdictumAd Edictum 01jul2011 Responder

    Buenas. Coincido con Audea. Considerar a la empresa que abre una perfil profesional en Facebook responsable del fichero conlleva importantes problemas prácticos (a la hora de resgistro del fichero, inclusión en el documento de seguridad corporativo, etc…) Además, su capacidad de decisión sobre el contenido y el uso de los datos de sus fans, siempre que no los extraiga de la plataforma, encuyo caso sí habría fichero, es limitado ¿No resultaría más lógico hablar de responsable del tratamiento?

  • En el momento en que la empresa abre una página en Facebook y la utiliza para enviar comunicaciones internas, publicar en el muro de los fans,… está haciendo un uso de datos personales. En su propio interés y con una finalidad comercial o promocional. No veo por qué, a pesar de los problemas prácticos, que existen, no debe cumplir con las disposiciones de la normativa sobre protección de datos que correspondan.

    Y ya digo, la empresa no decide sobre los datos del perfil del usuario, por tanto no se puede responsabilizar de ellos ni forman parte de su fichero, pero sí del hecho de que ese usuario sea o no seguidor de la empresa, y ese dato (la simple lista de fans) o bien constituye un fichero o forma parte de otro.

    Para que fuera un tratamiento sin fichero de nuestra responsabilidad, entonces la empresa sería encargado del tratamiento (¿por cuenta de quién?), lo cual no tiene mucho sentido en mi opinión.

  • Ad EdictumAd Edictum 27jul2011 Responder

    La empresa no decide que uno sea o no seguidor suyo. Eso lo decide el usuario. La empresa como mucho puede bloquearlo. Y desde luego no decide los datos del usuario a los que puede tener acceso (ya que eso viene predeterminado con la aplicación o lo configura el usuario con su opción de privacidad).

    Me parece más adecuado considerar a la empresa con perfil en Facebook responsable del tratamiento, como cuando se captan imágenes sin grabarlas. Debe respetar la LOPD, respecto a los tratamientos de datos que realiza, pero no inscribir un fichero.

  • Si la empresa fuera responsable del tratamiento… ¿por cuenta de quién? Porque si es de Facebook implicaría que presta un servicio a ésta, lo que no es así, en todo caso Facebook es quien lo presta a sus usuarios, pero no al revés.

  • Ad EdictumAd Edictum 28jul2011 Responder

    ¿Hace falta ser responsable del tratamiento por cuenta de alguien? Responsable dle tratamiento es el que decide sobre la finalidad, contenido y uso de un tratamiento, con autonomía.

    El art. 3 define esta figura refiriéndose a su capacidad de decisión:

    “Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”

    Dejando a un lado los problemas que plantea el ver dos figuras distintas donde la ley sólo aporta una definición, el caso es que, según nos cuenta la Agencia, existen responsables de ficheros y responsables del tratamiento, que se caracterizan por no dar cuentas a nadie, ya sea sobre el uso del fichero, o sobre el tratamiento que efectúan.

    En el caso de facebook, existe un único fichero, del que es responsable dicha empresa, y muchos responsables del tratamiento, que utilizan la aplicación con las limitaciones que les impone el propietario. En esa utilización (con límites) de la aplicación informática son autónomos, pero no puede hablarse de un fichero físico propio sobre el que decidan con igual autonomía. Sólo son responsables del tratamiento.

    Como le decía en mi anterior comentario, es lo que mismo que ocurre cuando un señor instala cámaras de videovigilancia en su bar y no graba las imágenes, sino que las reproduce en tiempo real. ¿Hay hay fichero? No, y evidentemente no se le va a pedir que lo registre. Por eso, la Instrucción 1/2006 dice en su artículo 7.2: “2. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.”

  • Me rindo, sinceramente es la primera vez que veo esta distintición. Entendí que hablabas de encargado de tratamiento, no de responsable de tratamiento o del fichero, que para mi es lo mismo.

    No tiene sentido que existan tratamientos sin inscripción de fichero salvo que sea como encargado. Y no veo que la legislación permita eso porque genera problemas en cuanto al ejercicio de los derechos y desdeluego en cuanto a las medidas de seguridad, pero tomo nota porque me parece interesante y le daré un par de vueltas.

  • Ad EdictumAd Edictum 29jul2011 Responder

    La diferencia entre responsable del fichero y responsable del tratamiento, desde luego, es muy polémica, pero la viene haciendo la AEPD desde hace tiempo (básicamente, para que nadie se quede sin sanción en tratamiento de datos para marketing y publicidad).

    En este ámbito, se planteaba el problema de que una empresa (X) encargaba una campaña publicitaria a otra empresa (Y), diciéndole que utilizara sus propias bases de datos.

    X ni veía el fichero, ni tenía que inscribirlo, ni decidía nada sobre el mismo. El responsable del fichero a todos los efectos era Y, que podría seguir utilizándolo en campañas para otras entidades.

    La defensa de X era un contrato en el que Y aseguraba que respetaba la LOPD, y el hecho de que no era responsable de ningún fichero. Esto, así simplificado, se planteó en varias ocasiones, y por supuesto, la AEPD acabó sancionando a todos. Se recurrió y la cosa llegó al Supremo.

    Le recomiendo que lea la Sentencia del TS de 05-06-2004, donde habla de la diferenciación de estas dos figuras en los siguientes términos:

    “Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las
    decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.”

    Fíjese que es una de las pocas sentencias del Supremo que ha colgado Monsieur le Directeur en la web de la AEPD:
    http://www.agpd.es/portalwebAGPD/canal....emo-05-06-2004.pdf

    Como se imaginará, fruto de esta interpretación, es el flamante art. 46 del RLOPD.

    Y ya le digo, no hay que irse al marketing y a la publicidad. También lo ha dicho muy claro la AEPD en resoluciones relativas a supuestos de videovigilancia, donde sólo se reproducían imágenes en timepo real. Se determina que al existir tratamiento de datos incluido en el ámbito de aplicación de la Instrucción 1/2006 (art. 1.1 párrafo segundo), se deben poner los cartelitos, pero no inscribir fichero (art. 7.2).

    Comprendo que suena raro (yo soy muy crítica con esta interpretación, entre otras cosas, por el art. 43 LOPD).

  • Hola Javier, muchas gracias por el post, tus reflexiones y el debate que se ha generado. Lo que no sé es cómo redactar un aviso de protección de datos que cumpla todos y cada uno de los requisitos que exige el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Me refiero a un texto breve, no más de 5 líneas. Gracias

  • Muy interesante vuestro diálogo, es un tema muy delicado sin duda.

Deja un comentario

Tu email nunca será mostrado o compartido. No olvides rellenar los campos obligatorios.

Obligatorio
Obligatorio

A efectos del cumplimiento con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se le informa de que los datos facilitados por Ud., incluyendo la dirección IP del equipo desde el que accede, serán incluidos en un fichero propiedad de Javier Prenafeta Rodríguez, con D.N.I. núm. 29.109.617N, con domicilio en Urb. Parque Roma F9, 9º A, 50010 Zaragoza, y utilizados únicamente para la gestión de los comentarios de esta bitácora y el seguimiento de las estadísticas de acceso. Mediante el envío de la información anterior, presta Ud. consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario.

Sus datos serán tratados de forma confidencial, aplicándose las medidas técnicas u organizativas establecidas en la legislación vigente para evitar su acceso, manipulación o eliminación indebidas, sin que, salvo consentimiento expreso por su parte, vayan a ser cedidos a otras entidades o terceras personas fuera de los casos legalmente permitidos. No obstante, Ud. puede, en cualquier momento, ejercer sus derechos de acceso, cancelación o rectificación en relación con dichos datos, solicitándolo a la dirección jp@jprenafeta.com o a través de la página de contacto.

3 Trackbacks