Las reseñas online se han convertido en un elemento clave para la reputación de cualquier negocio. Sin embargo, cuando una empresa responde impulsivamente a una crítica negativa, el problema puede dejar de ser reputacional para convertirse en una cuestión de cumplimiento normativo.
Una reciente resolución de la Agencia Española de Protección de Datos (AEPD) vuelve a poner sobre la mesa una cuestión que muchas organizaciones siguen ignorando: la protección de datos también aplica en las respuestas a comentarios, reseñas y publicaciones realizadas en internet.
Cuando gestionar una crítica se convierte en un problema legal
El caso analizado por la AEPD tiene su origen en varias reseñas negativas publicadas por clientes en el perfil de Google de un establecimiento. Como respuesta, la empresa decidió publicar diversa información personal de quienes habían realizado los comentarios, incluyendo datos identificativos y referencias a aspectos de su vida privada.
La actuación terminó derivando en una sanción económica y en la obligación de eliminar los contenidos publicados.
Más allá de los detalles concretos del caso, la resolución resulta especialmente relevante porque aborda una práctica relativamente frecuente: utilizar información obtenida en redes sociales para responder públicamente a clientes o usuarios.
Que un dato sea público no significa que pueda reutilizarse libremente
Uno de los argumentos planteados por la empresa era que parte de la información publicada podía encontrarse en perfiles de redes sociales.
La AEPD rechaza expresamente esta interpretación y recuerda que la mera disponibilidad de un dato en internet no autoriza a terceros a recopilarlo, reutilizarlo o difundirlo libremente.
Desde la perspectiva del RGPD, acceder a información personal, recopilarla y volver a publicarla constituye un tratamiento de datos personales que requiere una base jurídica válida.
En otras palabras: que un usuario comparta determinada información en una red social no convierte esos datos en un recurso de libre utilización para empresas, empleados o terceros.
El riesgo aumenta cuando intervienen datos especialmente sensibles
La resolución adquiere una dimensión aún más relevante porque parte de la información divulgada hacía referencia a aspectos relacionados con la orientación sexual de una de las personas afectadas.
Este tipo de información forma parte de las categorías especiales de datos contempladas por el RGPD, cuyo tratamiento está sujeto a un nivel de protección reforzado y únicamente puede realizarse en circunstancias muy concretas.
La publicación de este tipo de información en un entorno abierto y accesible para cualquier usuario supone un riesgo significativo para los derechos y libertades de las personas afectadas y puede dar lugar a consecuencias regulatorias especialmente severas.
La gestión de la reputación digital requiere protocolos
Las organizaciones suelen invertir recursos en marketing digital, gestión de redes sociales y atención al cliente online. Sin embargo, no siempre existen procedimientos claros sobre qué información puede utilizarse al responder públicamente a usuarios.
La realidad es que una respuesta impulsiva de un empleado, un community manager o incluso de la dirección de la empresa puede generar riesgos legales, reputacionales y económicos muy superiores al impacto de una reseña negativa.
Por ello, resulta recomendable que las compañías integren la protección de datos dentro de sus políticas de comunicación digital, formando a sus equipos y estableciendo controles específicos para la gestión de comentarios, reclamaciones y conflictos en entornos online.
Protección de datos y reputación: dos caras de la misma moneda
En un contexto en el que la actividad empresarial se desarrolla cada vez más en plataformas digitales, la reputación corporativa y el cumplimiento normativo están estrechamente conectados.
La gestión adecuada de datos personales, el diseño de protocolos de respuesta y la formación en privacidad son elementos esenciales para evitar que una crisis reputacional puntual termine convirtiéndose en un procedimiento sancionador.
Porque en materia de protección de datos, responder a una crítica puede ser legítimo; exponer públicamente información personal de quien la realiza, no.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
