En las sesiones de networking y talleres de SATIpyme comento que el hecho de utilizar los datos de los contactos, seguidores o fans de Facebook por parte de las empresas tiene implicaciones legales en materia de protección de datos. Entre éstas, deben incluirse de estos datos en los ficheros declarados ante la Agencia de Protección de Datos, y tratarse conforme al régimen de la LOPD.
Podemos simplificar que los contactos de Facebook o de otras redes sociales o profesionales están realmente dentro de dichas redes, no en la empresa, lo cual es cierto con matices. Las condiciones de uso de Facebook, pese a su despiece, limitan mucho la explotación de los datos de los usuarios dentro y fuera de esa red (apartado 9 de la Declaración de Derechos y Responsabilidades) y, desde un punto de vista práctico, quienes deciden sobre la finalidad, contenido y uso que se da a los datos son el responsable de de la red o el propio usuario. La empresa que agrega o asocia nombres de contacto con sus páginas en dichas redes sociales o profesionales únicamente tiene disposición sobre el nombre del usuario, y no, por ejemplo, sobre las imágenes que ha incluido éste, sus intereses o cualquier otra información de su perfil o relaciones.
En este escenario, en el que los datos se mantienen dentro de la red social, los riesgos y obligaciones desde un punto de vista legal serían mínimos. El nivel aplicable a esos datos, que por otro lado forman parte de ficheros genéricos (clientes reales o potenciales, usuarios) es, por lo indicado, básico.
A lo anterior habría que añadir las siguientes consideraciones:
- La necesidad de contar con una Política de Privacidad, como exige Facebook, supone cumplir con el deber de información del art. 5 de la LOPD. Por tanto, no supongan que el hecho de que una persona se haga fan o seguidor de una página de empresa implica la autorización de ésta para todo tipo de tratamiento de sus datos con finalidades promocionales o publicitarias.
- Las empresas utilizan esos datos para difundir información o noticias sobre la misma o sus productos o servicios. Es decir, para enviar comunicaciones comerciales por vía electrónica, lo que obliga a identificar como «publicidad» los mensajes que se envíen dentro de la red, y facilitar al destinatario la posibilidad de oponerse a estas comunicaciones en cada uno de los mensajes. Apáñenselas para eliminar dicho envío o para escribir en el muro de sus fans cuando éstos lo exijan, sin que dejen de serlo, ya que también a través de Facebook puede hacerse spam en sentido legal.
- El tratamiento de los datos de los usuarios de Facebook debe ser conforme con la política de privacidad que éstos hayan definido en la red, y por supuesto toda utilización de estos datos fuera de Facebook (para el envío de newsletters, concursos o promociones, por ejemplo, o cualquier otra actividad que tenga proyección en otro ámbito) requiere autorización previa del usuario. Mucho cuidado, por tanto, con la utilización fuera de Facebook de los datos obtenidos de ésta.
- Como he comentado, los datos del perfil de usuario los introduce éste, pero la empresa realiza un tratamiento de los mismos dentro de la plataforma de Facebook, lo que debe referenciarse en el Documento de Seguridad. Sobre las medidas de seguridad, no se rompan la cabeza: cojan el listado de esas personas e inclúyanlo en sus propias bases de datos.
- En mi opinión, por si se plantea, entiendo que no puede considerarse que Facebook sea aquí un «encargado del tratamiento» en los términos de la LOPD , ya que los datos ya los posee y gestiona para sus propios fines, no se produce una comunicación o acceso por parte de éste a información que no tuviera, del mismo modo que tampoco existe una transferencia internacional de datos. Y si no lo creen no importa, aplíquenlo de todos modos que puede que les evite una sanción, porque Facebook no les va a firmar un contrato con el contenido del art. 12.2 de la Ley, y el problema será para Uds.
[…] Follow this link: Implicaciones sobre protección de datos en
el uso de páginas de … […]
[…] See the original post here: Implicaciones sobre protección de
datos en el uso de páginas de … […]
[…]
http://www.jprenafeta.com/2011/04/08/implicaciones-proteccion-dat-en-uso-paginas-empresa-facebook/
[…]
Hola Javier Interesante tema este… que da para discutir un buen
rato. Nosotros también escribimos algo al respecto, pero con unas
conclusiones distintas.
http://www.abogados-lopd.es/noticias/%c2%bflo-que-ocurre-en-facebook-se-queda-en-facebook/
Y aunque no lo tuve en consideración, porque no creo que una
empresa que abra su página en FB se convierta en responsable de un
nuevo fichero… creo que, de ser así, el nivel de seguridad
aplicable sería medio, y potencialmente, alto… Y como los datos
están alojados en Facebook, las medidas de seguridad sólo
dependerían de la red social, lo que siendo muy estrictos,
supondría que el fichero del que eres responsable está ubicado en
un encargado de tratamiento, con transferencia internacional y toda
la pesca. En fin, que la mejor forma de enfocarlo, para mí… es
que lo que ocurre en Facebook es responsabilidad de Facebook, y
sólo en el momento en que saco los datos de allí, me convierto en
responsable del fichero. Otra opción sería enfocarlo como un mero
tratamiento sin fichero de nuestra propia responsabilidad.
Realmente, estoy interesado en ver si la Agencia se pronuncia sobre
estos temas.
Buenas. Coincido con Audea. Considerar a la empresa que abre una perfil profesional en Facebook responsable del fichero conlleva importantes problemas prácticos (a la hora de resgistro del fichero, inclusión en el documento de seguridad corporativo, etc…) Además, su capacidad de decisión sobre el contenido y el uso de los datos de sus fans, siempre que no los extraiga de la plataforma, encuyo caso sí habría fichero, es limitado ¿No resultaría más lógico hablar de responsable del tratamiento?
En el momento en que la empresa abre una página en Facebook y la utiliza para enviar comunicaciones internas, publicar en el muro de los fans,… está haciendo un uso de datos personales. En su propio interés y con una finalidad comercial o promocional. No veo por qué, a pesar de los problemas prácticos, que existen, no debe cumplir con las disposiciones de la normativa sobre protección de datos que correspondan.
Y ya digo, la empresa no decide sobre los datos del perfil del usuario, por tanto no se puede responsabilizar de ellos ni forman parte de su fichero, pero sí del hecho de que ese usuario sea o no seguidor de la empresa, y ese dato (la simple lista de fans) o bien constituye un fichero o forma parte de otro.
Para que fuera un tratamiento sin fichero de nuestra responsabilidad, entonces la empresa sería encargado del tratamiento (¿por cuenta de quién?), lo cual no tiene mucho sentido en mi opinión.
La empresa no decide que uno sea o no seguidor suyo. Eso lo decide el usuario. La empresa como mucho puede bloquearlo. Y desde luego no decide los datos del usuario a los que puede tener acceso (ya que eso viene predeterminado con la aplicación o lo configura el usuario con su opción de privacidad).
Me parece más adecuado considerar a la empresa con perfil en Facebook responsable del tratamiento, como cuando se captan imágenes sin grabarlas. Debe respetar la LOPD, respecto a los tratamientos de datos que realiza, pero no inscribir un fichero.
Si la empresa fuera responsable del tratamiento… ¿por cuenta de quién? Porque si es de Facebook implicaría que presta un servicio a ésta, lo que no es así, en todo caso Facebook es quien lo presta a sus usuarios, pero no al revés.
¿Hace falta ser responsable del tratamiento por cuenta de alguien? Responsable dle tratamiento es el que decide sobre la finalidad, contenido y uso de un tratamiento, con autonomía.
El art. 3 define esta figura refiriéndose a su capacidad de decisión:
«Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.»
Dejando a un lado los problemas que plantea el ver dos figuras distintas donde la ley sólo aporta una definición, el caso es que, según nos cuenta la Agencia, existen responsables de ficheros y responsables del tratamiento, que se caracterizan por no dar cuentas a nadie, ya sea sobre el uso del fichero, o sobre el tratamiento que efectúan.
En el caso de facebook, existe un único fichero, del que es responsable dicha empresa, y muchos responsables del tratamiento, que utilizan la aplicación con las limitaciones que les impone el propietario. En esa utilización (con límites) de la aplicación informática son autónomos, pero no puede hablarse de un fichero físico propio sobre el que decidan con igual autonomía. Sólo son responsables del tratamiento.
Como le decía en mi anterior comentario, es lo que mismo que ocurre cuando un señor instala cámaras de videovigilancia en su bar y no graba las imágenes, sino que las reproduce en tiempo real. ¿Hay hay fichero? No, y evidentemente no se le va a pedir que lo registre. Por eso, la Instrucción 1/2006 dice en su artículo 7.2: «2. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.»
Me rindo, sinceramente es la primera vez que veo esta distintición. Entendí que hablabas de encargado de tratamiento, no de responsable de tratamiento o del fichero, que para mi es lo mismo.
No tiene sentido que existan tratamientos sin inscripción de fichero salvo que sea como encargado. Y no veo que la legislación permita eso porque genera problemas en cuanto al ejercicio de los derechos y desdeluego en cuanto a las medidas de seguridad, pero tomo nota porque me parece interesante y le daré un par de vueltas.
La diferencia entre responsable del fichero y responsable del tratamiento, desde luego, es muy polémica, pero la viene haciendo la AEPD desde hace tiempo (básicamente, para que nadie se quede sin sanción en tratamiento de datos para marketing y publicidad).
En este ámbito, se planteaba el problema de que una empresa (X) encargaba una campaña publicitaria a otra empresa (Y), diciéndole que utilizara sus propias bases de datos.
X ni veía el fichero, ni tenía que inscribirlo, ni decidía nada sobre el mismo. El responsable del fichero a todos los efectos era Y, que podría seguir utilizándolo en campañas para otras entidades.
La defensa de X era un contrato en el que Y aseguraba que respetaba la LOPD, y el hecho de que no era responsable de ningún fichero. Esto, así simplificado, se planteó en varias ocasiones, y por supuesto, la AEPD acabó sancionando a todos. Se recurrió y la cosa llegó al Supremo.
Le recomiendo que lea la Sentencia del TS de 05-06-2004, donde habla de la diferenciación de estas dos figuras en los siguientes términos:
“Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las
decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.”
Fíjese que es una de las pocas sentencias del Supremo que ha colgado Monsieur le Directeur en la web de la AEPD:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/sentencias/tribunal_supremo/common/pdfs/Sentencia-del-Tribunal-Supremo-05-06-2004.pdf
Como se imaginará, fruto de esta interpretación, es el flamante art. 46 del RLOPD.
Y ya le digo, no hay que irse al marketing y a la publicidad. También lo ha dicho muy claro la AEPD en resoluciones relativas a supuestos de videovigilancia, donde sólo se reproducían imágenes en timepo real. Se determina que al existir tratamiento de datos incluido en el ámbito de aplicación de la Instrucción 1/2006 (art. 1.1 párrafo segundo), se deben poner los cartelitos, pero no inscribir fichero (art. 7.2).
Comprendo que suena raro (yo soy muy crítica con esta interpretación, entre otras cosas, por el art. 43 LOPD).
Hola Javier, muchas gracias por el post, tus reflexiones y el debate que se ha generado. Lo que no sé es cómo redactar un aviso de protección de datos que cumpla todos y cada uno de los requisitos que exige el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Me refiero a un texto breve, no más de 5 líneas. Gracias