Protección de datos en redes sociales

✔ Actualmente, utilizamos como usuarios una cantidad ingente de redes sociales sin saber exactamente cómo manejan nuestros datos personales (imágenes, comentarios, etc).

¿Existe verdaderamente la Protección de datos en redes sociales? Muchos de nosotros, caemos en la desesperanza y pensamos que no existe ningún impedimento para que “hagan lo que quieran con nuestros datos”. Aun así, ponderamos intereses, y optamos por “venderle el alma al diablo” sin con ello conseguimos acceder a la información de la crema antiarrugas que utiliza la Instagramer de moda o el nuevo video viral de la última canción de Maluma en Tiktok.

Sin embargo, aunque nunca se puede garantizar el cumplimiento efectivo por parte de estas plataformas, la normativa sobre protección de datos existe para obligar a las redes sociales a adoptar medidas técnicas y organizativas para garantizar la seguridad de los datos en función de los riesgos del tratamiento (por ejemplo, el cifrado o encriptado) y evitar que emprendan acciones que escapen del control de los usuarios (por ejemplo, que comuniquen los datos a otras plataformas sin el consentimiento del usuario).

En el presente post, hablaremos de la Protección de datos en redes sociales; es decir, explicaremos cuáles son las obligaciones más importantes que deben cumplir estas plataformas a la luz del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Privacidad desde el Diseño y por Defecto (Privacy by Design /by Default)

Si Facebook tiene configurado, de entrada, que sólo puedan visualizar las fotos que subimos nuestros “Amigos” o WhastApp cifra sus comunicaciones de extremo a extremo, no es pura casualidad. Es porque están velando por la Protección de datos en redes sociales, al adoptar medidas de Privacidad desde el Diseño y por Defecto.

En este sentido el artículo 25 RGPD impone la obligación de que antes y durante cualquier tratamiento de datos de carácter personal, la entidad adopte medidas adecuadas para garantizar la seguridad de los datos (“Privacidad desde el diseño”) (por ejemplo, contraseñas suficientemente robustas o configuración de la privacidad en función de los intereses del usuario), que impliquen únicamente el tratamiento de datos necesarios para la creación y el desenvolvimiento normal del procedimiento, producto, servicio o aplicación (“Privacidad de datos por defecto”) (por ejemplo, que no se almacenen los datos los datos más allá del tiempo estrictamente necesario). En consecuencia, el creador y propietario de las redes sociales deben tener muy presente estos conceptos a la hora de diseñarlas y configurarlas.

Para conocer qué medidas de seguridad aplicar para cumplir con estos principios en la Protección de datos en redes sociales, acceda a la  “Guía de Protección de Datos por Defecto” y “Guía de Privacidad desde el Diseño” publicadas por la Agencia Española de Protección de datos (AEPD).

Información

En el momento en que el usuario se registra en la red social, debe ser informado de cómo se van a utilizar los datos de conformidad con lo establecido en los artículos 12 y 13 RGPD y artículo 11 LOPDGDD.

La AEPD recomienda en su “Guía para el cumplimiento del deber de informar” que esta información se facilite a través de los sistemas de “doble capa”. El sistema de doble capa consiste en facilitar:

• Una información resumida en el momento de obtención de los datos en forma de “tabla o epígrafes” (1º CAPA); y
• Una información ampliada que el usuario puede consultar si lo desea, a través de un link o pestaña (2º CAPA).

La recomendación de la AEPD, es que en la 1º CAPA aparezca la siguiente información:

• Identidad del responsable del tratamiento.

• Finalidad del tratamiento.

• Base de legitimación para el tratamiento.

• Destinatarios del tratamiento.

• Derechos de los interesados.

• Procedencia de los datos (caso que los datos no procedieran de los interesados).

• Link o pestaña a la 2º CAPA.

En todo caso, tanto la 1º CAPA como la 2º CAPA deben estar redactadas a través de un lenguaje claro y sencillo, evitando tecnicismos, fórmulas especialmente farragosas, y textos infinitos e incomprensibles.

Consentimiento (u otra base de legitimación)

Para que la red social pueda tratar nuestros datos y cederlos a terceros, debe recabar nuestro consentimiento para cada uno de los tratamientos; es decir, el consentimiento debe ser específico para cada finalidad por lo no es válido un “consentimiento genérico”.

En todo caso, la red social, podrá realizar determinados tratamientos sin recabar nuestro consentimiento (a excepción de las categorías especiales de datos que requieren el consentimiento explícito del interesado como, por ejemplo, datos relativos a la salud, la religión o la condición sexual), si el tratamiento puede ampararse en otra de las bases de legitimación del artículo 6 RGPD que son:

• Cumplimiento de obligación legal.

• Ejecución del contrato.

• Misión realizada en interés público.

• Protección de intereses vitales.

• Satisfacción de intereses legítimos.

Conclusiones

Las conclusiones del presente artículo sobre Protección de datos en redes sociales son las siguientes:

• La normativa sobre protección de datos (RGPD y LOPDGDD) existe para evitar que las redes sociales puedan “hacer con nuestros datos lo que quieran”.
• Las principales obligaciones que deben cumplir las redes sociales son: (i) aplicar medidas desde el Diseño y por Defecto en la propia plataforma que garanticen una mayor seguridad de nuestros datos , (ii) informarnos de forma comprensible de qué van a hacer exactamente con ellos y (iii) recabar nuestro consentimiento específico y explícito (sobre todo, si se van a tratar datos que se consideren “especiales) a menos de que puedan fundamentar el tratamiento en otra base legítima como podría ser el cumplimiento de una obligación legal.

▸Estimado lector, ¡¡gracias por su tiempo!!