Derecho y empresa en entornos digitales

Google Chrome? No tan incógnito …

por

Google Chrome es, con diferencia, el buscador más utilizado por los usuarios que navegan por Internet. Muy por delante de Edge, Safari y los demás. Además, el servicio lo proporciona una gran compañía -grande en todos los sentidos- que hace que tengamos la percepción de que es un buen producto, merecedor de toda nuestra confianza. Pues bien, esto no debería ser exactamente así, por nuestra seguridad y privacidad.

Chrome, como otros navegadores, dispone de un método de navegación que denomina “incógnito”. La RAE, en la segunda acepción, define incógnito como «situación de un personaje público que actúa como persona privada«. Es decir, persona que desea pasar por desconocida en su viaje virtual, en este caso, a la red. Y, sobre todo, sentirse seguro y protegido.

¿Qué es el modo incógnito?
En este modo, el navegador elimina los datos locales de la sesión de navegación en Internet. Quiere decir que se bloquean las cookies, no se registra el historial de navegación y cualquier otro rastreador, archivo temporal o barra de herramientas de tercero se desactivará. Y esto deja muchos datos a los que el modo incógnito no afecta para nada.

¿Es tan “incógnito”?
Pues no o al menos no es suficiente. Si inicias sesión en un sitio web, éste te identificará y podrá seguir tus actividades. No evitará que los sitios que visitas, tu centro educativo, tu empresa o proveedor de servicio de Internet puedan ver tu actividad y ubicación. Y tampoco evitará que los sitios web que visites publiquen anuncios basados ​​en tu actividad durante una sesión de incógnito.

El mensaje que destapa el asunto
Como siempre, el diablo está en detalles. La jefa de marketing de Goggle, Lorraine Twohill, envió un correo a Sundar Pichai (CEO) advirtiéndole de que los clientes estaban confundidos respecto al funcionamiento del modo incógnito y. «Haz que el modo incógnito sea realmente privado» escribió. Twohill lo envió después de que varios usuarios presentaran una demanda colectiva multimillonaria por supone seguimiento de los usuarios mientras utilizaban este modo.

Incluso los empleados avisaron
La cosa viene de lejos. Ya en 2018, un empleado compartió un informe que demostraba que los usuarios no entienden realmente cómo funciona y no saben que no protege su privacidad como ellos piensas. Para este empleado, «hay que dejar de llamarlo incógnito y de utilizar un icono con un espía» porque lleva a equivoco sobre sus características.

Recopila nuestros datos para mostrar publicidad
Google no se esconde y lo explica en un enlace pero nadie lo lee. ¿Le resulta familiar no leer las informaciones adicionales o los términos y condiciones de uso de las apps? Pues eso. Este enlace de “Más información” está bien visible en la página inicial y explica qué no hace el modo de incógnito.

En resumen
Al final, “business is business” y si fuera realmente incógnito, Google no haría negocio con nuestros datos que vende a los anunciantes. Por nuestra parte, podemos utilizarlo, como dice Google, por cuestiones inocentes como comprar un regalo por un familiar que comparte ordenador o por si salta el banner de cookies, como hacemos los profesionales de la privacidad. Por lo demás, es mejor utilizar DuckDuckGo para tener algo más de privacidad. Y queda pendiente por otro día hablar de Tor.

Como siempre, ¡cuidados!

Cosas que no puedes hacer cuando quieres contratar personas

por

Ya hemos hablado otras veces de lo que se puede hacer, y cómo, y de lo que no se puede hacer cuando quieres contratar a una persona para la empresa. Hay unas reglas del juego que, cuando no se siguen, dan paso a consecuencias no deseadas, como es el caso que hoy nos ocupa.

Podemos resumir el asunto explicando que una abogada optó a una vacante en una empresa a través de un portal de empleo. Poco después, la candidata averiguó que la empresa había hecho indagaciones sobre ella consultando sin autorización un fichero de morosos y presentó una reclamación ante la Agencia Española de Protección de Datos (AEPD) que ha procedido a sancionar a la empresa.

Según el procedimiento sancionador de la Agencia, la empresa Alquiler Seguro, SA ofrecía, a través de InfoJobs, una plaza de abogada. La reclamante se inscribió en dicha oferta. Y la empresa, antes de llamarla, hizo previamente una consulta a Asnef  (Asociación Nacional de Establecimientos Financieros de Crédito) para conocer su situación. Al no figurar en el registro, a continuación, la llamaron.

Semanas más tarde, a raíz de unas gestiones que la abogada hizo con Asnef, le remitieron un histórico de consultas en la que, para sorpresa de la reclamante, aparecía la consulta de la Alquiler Seguro, SA. Considera la abogada que estamos ante un acceso al fichero por una finalidad diferente a la prevista. La empresa lo ha hecho en el marco de un proceso de selección de personal y no para valorar su solvencia de cara a una futura relación comercial.

La AEPD imputa a la parte reclamada la comisión de una infracción por vulneración del Artículo 6.1 del RGPD, por falta de legitimación en el tratamiento ya que, a su entender la actuación de la empresa no se ajusta a ninguno de los supuestos previstos en la norma. La empresa, por su parte, alegó, entre otros, que esta situación podía haberse dado por un error humano porque a la hora de introducir el DNI de la candidata a «Asnef empresas» lo hizo al «Servicio Bureau Crédito».

Finalmente, la Agencia impone una sanción de 70.000€ que, con el reconocimiento de la responsabilidad manifestado en plazo y la reducción por pago voluntario de la sanción, queda en 42.000€. No es un importe pequeño. Aprovechamos para recordar que el reconocimiento de la responsabilidad que da pie a la reducción hace que, a efectos prácticos, acabe con la vía contenciosa de reclamación.

En resumen, la empresa hizo un tratamiento de datos no legitimado porque no contaba con el consentimiento (u otra base legitimadora) para hacerlo. Y eso, según la LOPDGDD, es una infracción muy grave. La contratación de personas en las empresas tiene que seguir, como con todo, unas reglas de juego. En el post citado al principio se recogen las principales.

Como siempre, ¡Cuidaos!

¡Si no pagas los servicios con dinero, lo haces con tus datos!

por

Esto no es nuevo. Desde hace tiempo sabemos que todo aquello que nos dan «gratuitamente» lo estamos pagando con nuestros datos personales. Nos bajamos una app para hacer, pongamos por caso, de brújula y nos piden consentimiento para acceder a nuestros datos, a los contactos, a nuestra ubicación, a las fotografías y los vídeos y a un largo etc. de datos. 

Teniendo en cuenta que en nuestro teléfono tenemos de media unas doscientas aplicaciones instaladas, ya nos podemos ir haciendo una idea de la dispersión de datos que hay.

Pero tampoco es necesario que sea una app, ni siquiera que la transacción se haga en Internet. Las tarjetas de pago como VISA o las de fidelización de cualquier comercio, acumulan a lo largo del tiempo una gran cantidad de datos que permiten hacer perfiles muy detallados de los individuos.

Qué comemos, cuántos somos en casa, de qué edades, estatus económico, dificultades para llegar a fin de mes, cuáles son nuestras preferencias en alimentación, viajes, música y tantas otras cosas. Y todo a cambio de miserables puntos o algún descuento de tanto en tanto.

Hasta aquí todo lo que sabíamos pero ahora, CaixaBank, nos ha abierto aún más los ojos. Y de manera francamente desagradable, por decirlo suavemente. Porque la Agencia Española de Protección de Datos le ha sancionado con 2.100.000€ por condicionar la prestación del consentimiento a sus clientes. Una multa de 2.000.000€ por condicionar la obtención del consentimiento a la exención de comisiones bancarias. Y, una segunda, porque en el formulario de consentimiento las casillas estaban premarcadas.  Práctica muy habitual (también ocurre con las cookies) que, en este caso, ha sido sancionada con 100.000€.

Sí, he leído bien. Según la AEPD, el banco condicionaba la exención de comisiones al otorgamiento del consentimiento por parte del cliente para recibir comunicaciones comerciales y para ceder sus datos a las entidades del Grupo Bankia. El Reglamento Europeo, dice claramente que «el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado que impida que éste ejerza su libre voluntad». La Agencia valora como agravante el gran número de clientes, cerca de un millón, que habían prestado el consentimiento para recibir publicidad y ceder los datos a Bankia.

La segunda multa se debe la inobservancia del requisito de obtener el consentimiento de una manera libre, específica, informada e inequívoca, incumpliendo el RGPD por cuanto «el silencio, las casillas premarcadas o la inacción no deben constituir consentimiento».  Esta invalidez conlleva una falta de legitimación que infringe el artículo 6.1 RGPD.

Estas noticias crean desazón en la sociedad, más si vienen de una institución que muchos consideramos señera. De una empresa de referencia como esta y por la naturaleza de su negocio, se espera que, además cumplir la normativa vigente, apliquen los más altos estándares éticos en el trato a sus clientes. La sanción económica no tendrá más trascendencia pero la reputación del Banco se verá afectada. 

Como dice el chef José Andrés, “lo importante es que nos cuidemos los unos a los otros”. Podemos empezar porque las empresas nos cuiden. ¡Y, no descuidemos, vigilar nosotros mismos!

UE-EEUU, luz al final del túnel?

por

Pocos días atrás, saltó la noticia de que la UE y EEUU habían llegado a un acuerdo para transferir, entre ambos espacios, datos personales, garantizando su privacidad. La transferencia de datos estaba suspendida desde el pasado 2020, cuando el Tribunal de Justicia de la Unión Europea (TJUE) anuló el acuerdo llamado “Privacy Shield” al considerar que EEUU no ofrecía suficientes garantías por la privacidad de los ciudadanos europeos.

Este anuncio del Presidente Biden debe tomarse, como siempre, con mucha cautela, por varias razones. Primero, porque por lo que parece, estamos ante una declaración de intenciones. Segundo, porque, de ser así, hay mucho trabajo por delante y no es una cuestión que se va a resolver en unas semanas. Y, tercero, porque, o mucho nos equivocamos pero cuesta creer que Max Schrems (el activista que impulsó las demandas que dieron origen a la anulación) se conforme sin presentar batalla.

Ya hemos hablado de la cuestión en varias ocasiones (1,2,3,4) pero hacemos un resumen de cómo hemos llegado hasta aquí.

Aunque el RGPD prevé otros mecanismos para blindar la privacidad de los datos en las transferencias internacionales (por ejemplo, las SCC –Standard Contractual Clauses– o las BCR –Binding Corporate Rules) es evidente que un acuerdo marco de adhesión por parte de las empresas americanas como el Privacy Shield facilitaba mucho las cosas, a ambos lados del Atlántico. Las empresas americanas sólo tenían que adherirse con un auto-certificado a los principios establecidos por el Departamento de Comercio de EEUU. Y las empresas, además de cumplir con sus obligaciones, sólo tenían que asegurarse de que la empresa que trataba a los datos estaba en la lista. Este planteamiento saltó por los aires en julio del 2020 con la citada sentencia.

¿Y que supone que el Escudo de Privacidad no esté en vigor? Pues que vayamos hacia dos años de incumplimiento continuado. Google, Facebook, Mailchimp y todas las empresas americanas que dan servicio a empresas europeas están en falso. Y las empresas europeas están, directamente, incumpliendo porque transfieren datos sin garantías. A veces de forma muy grosera como puede ser el caso de Mailchimp y otras, de forma más sutil como puede ser usando Google Analytics.

¿Y que dice el comunicado que pretende resolver la situación?

Pues literalmente dice que «Hoy hemos logrado un acuerdo sin precedentes sobre la protección de la privacidad de los datos y la seguridad de nuestros ciudadanos«. El acuerdo “permitirá el flujo de datos entre la UE y EEUU de forma predecible, fiable, equilibrando la seguridad, los derechos a la privacidad y la protección de datos”, aseguró Von der Leyen. Y, según Biden, que se reanude el flujo de datos tendrá un impacto positivo estimado en unos 6.500 millones de euros.

Intereses económicos versus privacidad. Y, está claro, al final debemos conseguir lo mejor de ambos aspectos: permitir la transferencia de datos sin perjudicar a las empresas y su economía pero manteniendo la privacidad que emana del RGPD. Por esa es la garantía de la prosperidad por las economías occidentales.

Como siempre, ¡vigile sus datos y cuídese!

Industria publicitaria: ¿cómo afectará el nuevo RD sobre publicidad de alimentos y bebidas para menores?

por

Esta semana, el Ministerio de Consumo ha presentado el borrador del Real Decreto que regulará la emisión de publicidad de alimentos y bebidas para menores de 16 años. El documento, que estará en trámite de audiencia e información pública hasta el próximo 29 de marzo, tiene como objetivo «garantizar la protección de los derechos a la salud y el desarrollo integral de la infancia».

Dos son los grandes objetivos del Real Decreto:

1) Definir un marco regulatorio mínimo para la protección de la salud de la infancia y la adolescencia.

2) Promocionar acuerdos de corregulación y códigos de conducta en el ámbito de las comunicaciones comerciales sometidas a la norma.

Con el fin de justificar el Real Decreto, el Ministerio realiza una larga exposición de motivos, incluyendo numerosas referencias a estudios de la Organización Mundial de la Salud (OMS), de la Autoridad Europea de Seguridad Alimentaria (EFSA) y otros de carácter nacional como el que asegura que en España, cuatro de cada diez escolares entre 6 y 9 años sufren exceso de peso, Además la obesidad y el sobrepeso afecta especialmente a sectores vulnerables de la población.

La norma limita y reduce la exposición del público infantil y adolescente a la publicidad de alimentos y bebidas considerados poco saludables. Y va dirigida a menores de 16 años con acceso a contenido publicitario a través de medios como televisión, prensa y revistas infantiles, páginas web o redes sociales.

¿Y cuáles son las principales restricciones y prohibiciones? Por lo que afecta a la industria publicitaria, destacamos:

Evitar el uso de elementos de fantasía como dibujos animados.
No presentar alimentos y bebidas en cantidades excesivas.
Prohibir comunicaciones que sugieran que la compra aportará éxito social, popularidad o cualidades especiales de quien aparece en sus anuncios.
Prohibir comunicaciones comerciales que inciten a los menores a pedir a los familiares que les compren el producto anunciado.

El RD también incluye prohibiciones específicas de hacer publicidad en 5 categorías de productos:

  • Chocolate y productos de confitería, barritas energéticas, coberturas de dulces y postres
  • Pasteles, galletas dulces y bollería y otros productos de pastelería
  • Zumos
  • Bebidas energéticas y
  • Helados

Respecto a los productos no afectados de forma específica, se podrán publicitar siempre que no excedan determinadas cantidades de sodio, azúcar, edulcorantes, grasas totales y saturadas por cada 100 gr. de producto.

También se incluyen prohibiciones específicas en cuanto a las comunicaciones comerciales como que aparezcan “madres o padres, educadores, docentes, profesionales de programas infantiles, deportistas, artistas, influencers, personas o personajes de relevancia, notoriedad pública o proximidad con el público infantil , sea real o de ficción, que por su trayectoria sean susceptibles de constituir un modelo o ejemplo para las personas menores de edad”.

También se prohíbe realizar promociones dirigidas al público infantil que publiciten alimentos que no respeten los límites mencionados.

Destacar, por último, las restricciones sobre la publicidad en Internet de los productos limitados o prohibidos. En los servicios de intercambio de vídeos a través de plataformas o redes sociales, sólo se permitirá en plataformas que dispongan de mecanismos eficaces para evitar que las comunicaciones se dirijan al público infantil y permitan el bloqueo de anuncios emergentes por parte de los usuarios. La publicidad en páginas web y aplicaciones también queda supeditada a que dispongan de mecanismos similares.

Por último, el régimen sancionador remite a la Ley 17/2011, de 5 de julio, sobre Seguridad Alimentaria que prevé sanciones de hasta 600.000€ por las infracciones más graves en la materia.

Habrá que seguir la evolución del texto legal durante la exposición pública y ver cómo queda la norma definitiva. Sin embargo, tomamos nota y empezamos a prever los posibles escenarios que se pueden plantear y a pensar en alternativas. La previsión es siempre buena consejera.

Como siempre, ¡Cuidados!

¿Eres europeo? Pues la guerra de Ucrania no es la única amenaza

por

La semana pasada recogíamos el conflicto de Google con la legislación de protección de datos de la UE. De hecho, el Supervisor Europeo acababa, nada menos, de sancionar al Parlamento Europeo por infringir el RGPD al utilizar, precisamente, Google Analytics. Puedes leer el post aquí.

Y ahora toca, no podía faltar el inefable Mark Zuckerberg. Amenaza con cerrar Facebook e Instagram en Europa. La advertencia se encuadra en la guerra que Meta, la matriz de Facebook, Instagram y Whatsapp, tiene con las leyes europeas de protección de datos.

El problema tiene la misma raíz que con Google Analytics, MailChimp y una larga lista de empresas americanas que no cumplen con la legislación europea. Todo viene de la sentencia que anuló el acuerdo denominado Privacy Shield entre la UE y EEUU el pasado verano de 2020. Y ya lo explicamos en su día (‘Efecto Bruselas’: puñetazo de la UE sobre la mesa). Y la UE está dispuesta a hacer valer el Derecho de la Unión.

Y por si esto no ha quedado claro, la UE dar dos pasos definitivos en el sentido regulador: la reciente Ley de Servicios Digitales (DSA) que ha aprobado el Parlamento Europeo (que todavía no entrará en vigor hasta que se negocie con la Comisión y el Consejo Europeo) es una y, la otra, la Ley de Mercados Digitales.

Respecto a la primera, y en palabras del comisario de competencia de la UE, “Es hora de poner orden en el salvaje oeste digital. Hay un nuevo sheriff en la ciudad, que se llama DSA”. El resumen de la Ley sería que lo que es ilegal en la vida real, debería serlo online. La Ley se centra en crear un entorno digital más seguro para los usuarios y las empresas digitales, a través de la protección de los derechos fundamentales online. La Ley aborda, entre otros, el comercio e intercambio de bienes, servicios y contenidos ilegales online y, muy importante, los sistemas algorítmicos que amplían la propagación de la desinformación.

Y respecto a la segunda, complementaria de la primera, pretende igualar las condiciones para todas las empresas digitales, independientemente de su tamaño. Fija reglas claras sobre lo que las grandes plataformas de Internet pueden y no pueden hacer en la UE. Busca promover la innovación, el desarrollo y la competitividad, ayudando a las empresas más pequeñas ya las nuevas empresas a competir con las grandes.

Como decíamos en el post, Europa es un mercado único muy envidiable, entre otras cosas, por su gran poder adquisitivo. ¿Será suficiente para que los gigantes tecnológicos se sometan a las leyes europeas? ¿Es lo de Facebook una fanfarronada para presionar a las autoridades europeas? ¿Qué hará Google con Google Analytics?

Veremos lo que ocurre en los próximos meses pero, lo que esta claro, es que la UE quiere, y probablemente lo conseguirá, marcar el paso. Wait and see.

Mientras tanto, ¡cuidados!

¿Qué sabes de Google Analytics?

por

Pues si sabes poco o nada y tienes una web que utiliza cookies para recoger datos de Google Analytics, ya puedes ir aprendiendo rápido. El Supervisor Europeo de Protección de Datos acaba de sancionar al Parlamento Europeo por infringir el Reglamento de Protección de Datos al utilizar, precisamente, Google Analytics.

No deja de tener gracia que la primera sanción de este tipo se haya impuesto en el Parlamento Europeo. Está claro que, a partir de ahí, todos –empresas, administraciones, instituciones, etc.– tendrán que cumplir la normativa porque, como decía el clásico de Rojas Zorrilla, “del rey abajo, ninguno”.

Durante la pandemia, el Parlamento contrató a una empresa para la realización de pruebas de detección de Covid a los europarlamentarios y al resto de trabajadores de la Cámara. Los usuarios debían registrarse en la web del proveedor que utilizaba cookies de Google Analytics y de la pasarela de pago Stripe. Los datos personales recogidos eran transferidos a Estados Unidos sin suficientes garantías de protección. El Parlamento ha estado apercibido y obligado a actualizar los avisos relativos al tratamiento de los datos personales.

¿Y esto en qué nos afecta? Pues que cualquier web, y son la mayoría, utilizan cookies de Google Analytics y los datos recogidos son transferidos a Estados Unidos, cometen una infracción en materia de protección de datos. No es el único caso. MailChimp es otra empresa muy conocida, que se utiliza por miles de empresas para hacer mailings, que tampoco cumple con la normativa. Y sus clientes, por tanto, tampoco.

Y esto, ¿por qué ocurre?

Pues eso ocurre porque en el verano de 2020, a raíz de la histórica sentencia conocida como Schrems II, una resolución del Tribunal de Justicia de la Unión Europea invalidó el escudo de protección de la privacidad (Privacy Shield) entre la Unión Europea y los Estados Unidos por no cumplir con los niveles de protección comunitarios. Lo que significa que si queremos continuar transfiriendo datos deberemos hacerlo aumentando las garantías por el usuario (por ejemplo, con Cláusulas Contractuales Tipo CTT, Normas Corporativas Vinculantes NCV y otros).

Si no se establecen las garantías y medidas técnicas adecuadas, a las empresas españolas –europeas– no les que otro que alojar los datos en servidores localizados fuera de Estados Unidos. Y puestos a cambiar, la recomendación es hacerlo en territorio comunitario. Y lo que decimos es válido, no sólo para el cloud sino también para aquellas aplicaciones que utilizamos a diario y que, muchas veces inadvertidamente para casi todos, transfieren los datos a un país no adecuado.

Lo dicho. Tenga cuidado. Y cuando contratamos un servicio (web, cloud, marketing, etc.) hacemos la pregunta de rigor: ¿se realizan transferencias internacionales de datos personales? Y no nos conformamos con una respuesta verbal. Pidámoslo por escrito al proveedor.

Como siempre, cuide los datos y ¡Cuídese!

¿Publicas fotos de tus trabajadores en la web o en las redes sociales?

por

Pues hay que tener cuidado. La AEPD ha sancionado a una empresa con 9.000 euros por publicar en su web y redes sociales fotos de un trabajador sin su consentimiento.

Porque publicar imágenes de un trabajador sin permiso es sancionable pero no hacer caso a las peticiones para retirarlas aún más. Esto es lo que le ha pasado a una empresa de formación que ha sido sancionada con 9.000 € por tratar los datos del trabajador sin consentimiento (6.000 €) y no atender a las demandas para eliminar las imágenes de las redes sociales (Facebook e Instagram), otros 3.000€. Además del coste reputacional, por supuesto. No es ninguna broma.

Así lo ha entendido la AEPD en su Resolución de Procedimiento Sancionador. La empresa publicó fotografías de la trabajadora sin consentimiento. La trabajadora pidió a la empresa, al menos en dos ocasiones, que retiraran las fotografías en las que aparecía, sin que la empresa atendiera su petición. Tras intentarlo una segunda vez, de nuevo sin éxito, la trabajadora afectada presentó una reclamación, en noviembre de 2020, ante la AEPD.

La Agencia intentó ponerse, por distintas vías, en contacto con la empresa sin conseguirlo. Quedó acreditado que la empresa había llevado a cabo un tratamiento de datos consistente en haber subido las fotografías a su página web y sus redes sociales. No consta que la exhibición de las imágenes estuviera amparada por ninguna base legitimadora del arte. 6 RGPD (por ejemplo, el consentimiento), quedando acreditada la comisión de la infracción.

Para agravarlo más si cabe, la empresa no atendió el derecho de supresión de la interesada, amparado por el artículo 17 RGPD, y no excluyó los datos personales de su tratamiento. Según este artículo “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”. Y el responsable estará obligado a suprimir sin tardar los datos personales cuando, entre otras condiciones, se dé la recogida en el apartado “d) los datos personales hayan sido tratados ilícitamente”.

Para graduar las sanciones, la Agencia considera que los tratamientos vienen de lejos -desde 2017 a 2020-, la cantidad no es escasa y el alcance es importante ya que figuran en dos redes sociales y la propia web de la empresa. Respecto a la infracción por no atender el derecho de supresión del artículo 17 RGPD, la Agencia relata que se solicitó en dos ocasiones, sin obtener ninguna respuesta, lo que pone de manifiesto una falta de cumplimiento en los deberes que le corresponden a la empresa.

Aprendamos la lección. No se pueden publicar imágenes de los trabajadores sin su consentimiento. Atendamos las peticiones de supresión que nos hagan. La carencia de diligencia es imperdonable. Y un recordatorio. Cuando un trabajador deja la empresa (despedido o por voluntad propia), recordemos suprimir las imágenes en las que aparece (web, redes, folletos, anuncios, etc.). Salvo, claro, que no tengamos su consentimiento expreso.

Como siempre, ¡Cuidados!

FanPages, cumplimiento obligado del RGPD

por

A raíz de una consulta empresarial, hacemos este post para aclarar conceptos sobre la relación entre las FanPages y el RGPD. La respuesta corta es que sí, las empresas que las usan tienen que cumplir con la normativa de protección de datos.

Empezaremos para explicar, para quien no lo sepa, qué es una FanPage. Las fanpages son una funcionalidad que Facebook introdujo ya hace años. Es una página creada especialmente para ser un canal de comunicación con fans dentro de la red social.

A diferencia de los perfiles, son espacios que reúnen a personas interesadas sobre un asunto, empresa, causa o algún rasgo en común sin la necesidad de la aprobación de la solicitud de amistad. Es el fan el que elige si seguirá o no las actualizaciones de una determinada página.

Son canales de comunicación muy apreciados por las empresas porque es una forma económica, rápida, sencilla y cuantificable de comunicar en tiempo real con clientes potenciales. Una especie de televisión o radio pero con unos costes infinitamente más económicos.

La consulta que nos hacía el empresario era básicamente sobre dos puntos ¿Estamos obligados a cumplir con el RGPD? y, si es así, ¿Qué tenemos que hacer?

A efectos de la normativa de protección de datos, estas páginas funcionan como una página web. Recogen datos personales de los usuarios y, por lo tanto, se tiene que aplicar la misma normativa, es decir, proporcionar acceso al Aviso legal, a la Política de Privacidad y a la Política de Cookies de la empresa. Y naturalmente que toda la documentación cumpla la normativa vigente. Si además, como es frecuente, la empresa instala el píxel de seguimiento de Facebook, con más motivo. Pero del píxel ya hablaremos otro día.

Dicho esto y entienden que es una página situada en una plataforma en la que la empresa tiene muy poco margen de maniobra, conviene establecer quién es realmente el responsable de los datos personales, la empresa o Facebook. Pues bien, lo son los dos.

Una sentencia de junio de 2018 del Tribunal de Justicia de la Unión Europea resolvió que el concepto de responsable del tratamiento comprendía también al administrador de un página web alojada en una red social. Según la sentencia, a pesar de que Facebook trata los datos personales mediante cookies sin informar a la empresa, no es menos cierto que FB pone a disposición de la empresa estadísticas (anónimas) de los visitantes y que la empresa puede definir criterios a partir de los cuales se tienen que elaborar las estadísticas e, incluso, designar las categorías de personas los datos de las cuales serán objeto de explotación por parte de FB. La sentencia concluye que el administrador de la página tiene que ser calificado como responsable del tratamiento conjuntamente con FB.

Por lo tanto tenemos que cumplir con lo siguiente: informar de los datos y su finalidad, recoger el consentimiento explícito para el tratamiento, pedir solo los datos necesarios, no usar los datos con una finalidad diferente a la pedida, no conservar los datos más tiempos del necesario, implementar medidas organizativas adecuadas, atender las solicitudes de ejercicio de los derechos de los usuario y crear la correspondiente actividad en el Registro.

Como siempre, atentos a todos los detalles de cumplimiento. Y si tenéis dudas, consultadnos.

Y lo más importante, cuidaos!

Revisión Textos Legales Web