Hogan Lovells 2024 Election Impact and Congressional Outlook Report
Nadie puede ignorar la importancia de las redes sociales hoy en día. A nivel usuario, se han erigido como uno de los principales canales de comunicación y pilar de las nuevas (o no tan nuevas) generaciones, y a nivel de empresa como una tentadora fuente de información e instrumento para dirigirse a los usuarios. En este entorno, el Comité Europeo de Protección de Datos ha publicado una guía sobre el targeting de usuarios de redes sociales que analizamos a continuación.
La Guía 8/2020 sobre el targeting de usuarios de redes sociales (la “Guía”), en fase aún de consulta pública, comienza aclarando que el concepto de “red social” debe entenderse en el sentido más amplio posible, es decir, cualquier plataforma online que permita el desarrollo de redes y comunidades de usuario, donde información y contenido es compartido (incluyendo redes de citas, videos, ciertos videojuegos, etc.).
La Guía busca identificar los principales actores que intervienen en el mundo de las redes sociales, su rol y responsabilidades; así como los principales riesgos y retos que plantean las campañas dirigidas a los usuarios de las mismas.
Sin ánimo de exhaustividad pero remarcando la importancia de identificar los riesgos que conlleva cualquier tratamiento de datos antes de llevarlo a cabo, se destacan los siguientes:
Es importante tener siempre en mente estos riesgos a la hora de cumplir con los principios de accountability o responsabilidad proactiva, y privacidad desde el diseño y por defecto; la realización de test de ponderación en el marco del interés legítimo; o en la realización de evaluaciones de impacto.
El CEPD parte del siguiente esquema de targeting o publicidad dirigida, en función de cómo se obtienen los datos personales: (i) aquellos que directa y activamente facilita el usuario; (ii) los que se obtienen indirectamente vía el uso que se hace de la red social; o (iii) los que se infieren y generan los anunciantes o editores sobre la base de las categorías anteriores.
La casuística es casi infinita y la Guía incluye numeroso ejemplos de cada categoría para determinar el rol oportuno de los intervinientes (i.e. responsables independientes, corresponsables o responsable-encargado) en cada caso y las bases legales apropiadas. Como resumen (no muy denso) de la Guía, nos gustaría destacar:
Al final de la Guía se aborda qué debe contener el acuerdo de corresponsabilidad y los niveles de responsabilidad del anunciante y el editor de la red social.
Se debe de hacer énfasis en el cumplimiento del principio de transparencia vis-à-vis los Usuarios (no basta con decir que se tratan sus datos para hacer publicidad…). Se debe dejar claro la monitorización que se vaya a llevar a cabo de su uso de la red social y las actividades que los (co)responsables llevan a cabo, así como no olvidar informar en el marco de la corresponsabilidad en los términos de los arts. 13 y 14 RGPD, y el art. 26 RGPD. Si se lleva a cabo un tratamiento ulterior, fuera de la corresponsabilidad, no hay que olvidar el cumplimiento con los arts. 6.4 y 14.4 RGPD.
Con respecto al derecho de acceso, se destaca la importancia de que los corresponsables diriman claramente las responsabilidades en relación con el ejercicio de este derecho por los usuarios. Además, en este ámbito, parece natural que se de respuesta a este derecho dando acceso remoto a los usuarios.
En el ámbito de esta corresponsabilidad, los corresponsables deberán determinar si se realiza una evaluación de impacto (o se encarga a uno de ellos esta tarea) y colaborar en su elaboración.
Con respecto a las categorías especiales de datos del art. 9 RGPD (p.ej. datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, salud, etc.), y al margen de las condiciones generales para su tratamiento (arts. 6 y 9.2 RGPD); la Guía resalta que:
Por otro lado, si se trata mucha información pero de ella no se infieren de forma agregada categorías de datos especialmente protegidos, no aplicará la prohibición del art. 9 RGPD.
A raíz de todo lo anterior, y aunque la Guía todavía está en fase de consulta pública hasta el próximo 19 de octubre de 2020, la apuesta del CEPD es clara en el ámbito del targeting de usuarios en redes sociales: bienvenidos a la era de la corresponsabilidad.
Escrito por Santiago de Ampuero, Víctor Mella y Graciela Martín.