jueves, 28 de noviembre de 2013

La AEPD se pronuncia sobre las redes sociales (Vol. III)

Este es el tercer post de la serie dedicada a los informes jurídicos 184/2013 y 197/2013, en los que la AEPD resuelve consultas relacionadas con tratamiento de datos en redes sociales. Como veo que mis comentarios se van alargando, y Ustedes son personas importantes y ocupadas, voy a rematar la faena con siete conclusiones prácticas que podemos extraer de estos documentos:

1º. El propietario de la red social es responsable del fichero con respecto a los datos de los usuarios que crean perfiles en la misma. Entre otras obligaciones, deberá encargarse de informar a los afectados y obtener su consentimiento. A estos efectos, se considera apropiada la utilización de Políticas de Privacidad ubicadas en un lugar visible que el usuario deba aceptar antes de dar por finalizado el proceso de creación del perfil.

2º. Se debe ser especialmente cuidadoso a la hora recoger datos de menores, incluso en el caso de los mayores de 14 años, que pueden consentir por sí mismos, sin necesidad de la autorización de su padre o tutor. Advierte la AEPD:

“El interés superior del menor debe prevalecer, de manera que el derecho a la protección de datos puede tener que ceder ante dicho principio en el en caso de que existan intereses en conflicto. De esta forma, incluso en el caso de que el menor mayor de 14 años haya prestado su consentimiento para el tratamiento de su imagen si dicho tratamiento lesiona su derecho a la intimidad, honor y propia imagen, en aplicación del citado principio, entrará en juego la protección otorgada por la Leyes Orgánicas 1/1982 y 1/1998 frente a aquellas intromisiones que supongan una vulneración de dichos derechos."

3º. Los prestadores de servicios de redes sociales están obligados a adoptar medidas de seguridad apropiadas que impidan el acceso a los datos y contenidos publicados por los usuarios por terceros ajenos a sus seguidores o amigos autorizados. Se recomienda que, los perfiles que se creen aparezcan configurados por defecto de la forma más restrictiva y protectora de la privacidad del titular (por ejemplo, si el usuario no elige otra cosa, su perfil sólo podrá ser visitado por sus contactos y no se indexará en buscadores).

4º. Como buena práctica, los responsables de la red social deberían informar a los usuarios sobre los riesgos que conlleva poner información en línea en redes sociales, tanta para su intimidad como para la de otros, recordando que difundir videos o fotografías de personas sin su consentimiento puede infringir derechos de terceros.

5º. Los prestadores de servicios de redes sociales están obligados a cancelar los datos de aquellas personas que den de baja su perfil o los contenidos que los usuarios vayan suprimiendo de sus cuentas. Esta información se mantendrá bloqueada (inactiva o inaccesible) durante los plazos necesarios para depurar responsabilidades, de tal forma que los servicios técnicos de la plataforma puedan recuperarla y ponerla a disposición de las autoridades competentes si fuera necesario. Dado que la AEPD no indica cuáles son estos plazos, lo más adecuado es que cada entidad realice un estudio de las categorías de datos que trata y fije, con la colaboración de su departamento jurídico, los periódicos de conservación máximos. Recuérdenme que escriba un post a este respecto, ya que he preparado varias “Políticas de Conservación de Datos”.

6º. Las empresas y profesionales que abran perfiles en redes sociales son responsables del tratamiento (no del fichero) respecto a los datos de terceros usuarios con los que interactúan. A estos efectos, deben cumplir igualmente con los principios de información y consentimiento, aunque no estén obligados a registrar un fichero. ¡Y ojito porque esto mismo se aplica a los particulares que tienen un número desproporcionados de contactos o que dispongan de un perfil de libre acceso! En fin, aquellos que registraron como fichero su Fan Page en Facebook, deberían replantearse su posición a la luz de estos informes de la AEPD, como les contaba ayer.

7º. Las empresas que pretendan crear perfiles en una red social a sus propios empleados, o difundir datos de éstos a través de cuentas corporativas, deberán tener presente que la AEPD considera que “no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria.” ¡Qué fuerte, eh!

Eso es todo. Si este post le ha resultado de interés, recomiéndoselo a sus amistades con los botoncitos que encontrará unas líneas más abajo.

No hay comentarios: