Protección de Datos y Redes Sociales

En los dos últimos años cada vez que un usuario accede a una página en Internet perteneciente a una empresa o corporación le aparece un menú en el que no solamente le indica la existencia de cookies (básicamente, software encargado de recopilar datos sobre el usuario), sino que le permite escoger cuáles puede instalar y cuáles no. El motivo del cambio operado se debe a que el Reglamento General de Protección de Datos, que fue aprobado el pasado 26 de abril de 2018, es de aplicación directa en todos los Estados miembros y para todas las entidades que trabajan en la UE desde el día 25 de mayo de 2018.

​En primer lugar, el RGPD redefine el concepto de “datos personales” para hacerlo más acorde con lo que la experiencia y jurisprudencia nos ha ido pergeñando a lo largo de estos años. Una actualización imprescindible que figura reflejada en el artículo 4.1 del Reglamento:

“1) «Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;”.

Es decir, que a partir de este momento un dato personal puede ser un dato de localización o un nombre, siempre y cuando a través de estos sea factible identificar a la persona que se encuentra detrás de ellos.

Esto supone un cambio enormemente significativo, puesto que se amplía y actualiza el concepto de “dato personal” adecuándolo a la realidad de la sociedad de servicios de la información. Así pues, ya no solo los nombres, apellidos, dirección postal o teléfono son elementos de identificación, sino que un pseudónimo, si constituye un elemento suficiente de individualización, puede ser aceptado como objeto susceptible de protección.

Esta identificación puede ser de carácter directo, como elementos propios de la identidad física, fisiológica, psíquica económica, social o cultural, además de los elementos genéticos o indirecta, a través de un número de identificación (DNI, pasaporte), datos de localización, datos en línea o un nombre.

​En segundo lugar, se introduce el concepto de “seudonimización”, en el apartado .5) del artículo 4. Esto no comporta una completa anonimización de los datos de un particular, ya que podrá seguir siendo identificado a través de otras informaciones adicionales, pero lo que supone es separar unos datos de otros, para de esta manera garantizar un tratamiento más seguro por parte del responsable, que solo permitirá el acceso a esos datos adicionales cuando sea necesario por razones regladas y, al mismo tiempo, dotar de mayor privacidad a la persona cuyos datos se custodian.

En tercer lugar, y es en este punto donde se realiza una de las principales modificaciones que tiene repercusiones directas en el modelo de negocio de las redes sociales, se incluyen los derechos de acceso, el derecho al olvido y la portabilidad de datos y, finalmente, la obligación de los procesadores de datos de comunicar de manera clara los citados derechos a los usuarios de quienes los obtienen.

Entre la información que debe ser facilitada a los usuarios de manera obligatoria, se encuentra la siguiente:

1.- Cuánto tiempo va a guardarse la información.

 

2.- Si la información va a ser transferida a otros países.

 

3.- Información sobre el derecho a acceder a los datos personales.

 

4.- Información sobre el derecho a que la información sea borrada o rectificada en determinadas circunstancias.

 

5.- Condiciones de control reforzadas. El consentimiento ha ser concedido con un formulario comprensible, accesible y en el que se indica de manera clara la finalidad de los datos. El consentimiento debe ser inequívoco, fácil de distinguir entre las dos respuestas posibles y debe ser proporcionado usando también un lenguaje claro y llano. 

En cuarto lugar el Reglamento responsabiliza a las empresas que controlan los datos de carácter personal y, principalmente, a terceras entidades que son los proveedores de servicios que son quienes los procesan. Se establece un mecanismo de control de los primeros sobre los segundos, de manera que las empresas que controlan los datos pueden auditar a las que los procesan.

Por otra parte, también se modifica en su artículo 83 el régimen sancionador incrementándose las multas por incumplimientos, pudiendo llegar a imponerse sanciones por valor de 20.000.000 millones de € o el 4% de los beneficios globales, dependiendo de cuál de las dos sea el importe más alto.

Debe traerse a colación el ejemplo de Cambridge Analytica para recordar las consecuencias que ha acarreado a Facebook su política comercial en la gestión de datos de carácter personal: 87 millones de usuarios afectados, demandas contra la compañía, pérdidas por valor de 70.000 millones de €, etc.

A medida que el Tribunal de Justicia de la Unión Europea vaya asentando la jurisprudencia sobre el RGPD y que los diferentes Estados miembros vayan desarrollando su legislación particular en la materia (en España se aprobó el pasado 5 de diciembre de 2018 la nueva Ley 3/2018 Orgánica de Protección de Datos Personales y garantía de los derechos digitales), comprobaremos el verdadero alcance en las redes sociales de este nuevo rumbo legal.

Pablo Martín Peré | Socio LEAN Abogados