El social media y los datos de carácter personal

El social media y los datos de carácter personal

Hoy se planteó un interesante debate en Twitter alrededor de una pregunta planteada por Cuco de Venegas y organizado bajo el hashtag#inp por Red de Ideas:¿Son los medios sociales una gran base de datos?Aunque no pude seguirlo en directo sino durante unos momentos, he leído la mayoría de las aportaciones después. Surgió una serie de preguntas alrededor de las implicaciones en la privacidad de los datos, aunque el objetivo del debate era evaluar, según yo lo entendí, la calidad o no de los datos recopilados en CRM cuyas fuentes descansan en las redes sociales. ¿Son fiables? ¿Qué confiabilidad puede atribuirse a esta información? ¿De verdad expresan tendencias en consumo? Lo que indica la agencia seo barcelona.

 

¿Oportunidades para adecuar la oferta a la demanda? Yo resumiría mi visión -imprecisa- con una frase de Marcelino Madrigal:Las redes sociales no son más que un catálogo de características de personas.Sin embargo, sin perder de vista este objetivo en la discusión, me llamó la atención esa pequeña desviación en la parte inicial del debate sobre hasta qué punto se atenta o no contra la privacidad al recopilar determinada información.La Ley Orgánica 15/1999, que quizás ostente el récord en ser una de las que más tiempo ha tardado en ponerse en marcha, define los datos de carácter personal a cualquier información concerniente a personas físicas identificadas o identificables. Al decir identificada se indica que a través de esa información se sabe quién es la persona. Más interesante para el caso es el término o identificables pues nos habla que también se considera dato de carácter personal o privado a aquel que permite llegar a la identificación de la persona. Posteriores consultas a la AEPD han definido al correo electrónico, el DNI o incluso una dirección IP (en determinados casos) como tales.¿Esto que implica? Supongamos que la empresa Eventos XYZ dispone de un foro donde participan quienes asisten a sus fiestas; intercambian impresiones, cuentan lo que menos les gustó, de lo que más disfrutaron. Para participar en el foro el usuario debe registrarse y únicamente se pide un nick, un correo electrónico y una clave. En nuestro CRM recogemos esos datos y asociados a ellos las impresiones, gustos y críticas. Además otros datos deducidos como el género, la franja de edad posible y ubicación geográfica en relación al evento.Bien, la diferencia entre tener que declarar a la Agencia Española de Protección de Datos o no esta base de datos estriba exclusivamente en la recopilación o no del correo electrónico. Si además registramos la IP del usuario para afinar su ubicación de conexión, dado que podemos recoger sin saberlo una IP fija, como ambos datos, se entiende, pueden dar a lugar a la identificación de la persona, se considera sin lugar a duda que estás entrando en el área de la privacidad; además SIN el debido consentimiento informado y autorización por parte de la persona te expones a una sanción casi segura. Sólo excluyendo estos datos podemos obviar el papeleo, las declaraciones a la Agencia y todo lo que lleva implícito.Supongamos ahora alguno de los casos de ejemplo que Cuco de Venegas pone sobre la mesa en su magnífico artículo. O supongamos que recoges datos de mis gustos personales de consumo a través de mis perfiles en Twitter, Facebook o LinkedIn. No asocias la información recopilada a mi nombre ni a mi correo electrónico. Sí incluyes otros datos que, por sí solos, no son útiles para mi identificación -me gustan los 4×4-. Pero, para no perderme la pista tienes la idea de almacenar la URL a mis perfiles o el nick utilizado habitualmente. Es decir, que el registro de datos, al leerlo, diría: estos hábitos de consumo, preferencias, opiniones, profesión, provincia, franja de edad y género están asociados a facebook.com/artecar24. Obviamente, si no puedes definir un perfil de consumo a un consumidor… ¡Para qué queremos el CRM! (Para estudios de mercado o tendencias o perfiles generalizados, por ejemplo, por citar algunas ideas a bote pronto.)En este punto hago un paréntesis. Aunque los datos de carácter personal sean recopilados en fuentes de acceso público, algo a lo que podríamos aferrarnos en el caso de perfiles no cerrados por políticas de privacidad, caso ejemplar el de Twitter, si identifican a una persona o sirven para su identificación siguen siendo datos de carácter personal. Es decir, el tipo de acceso no limita o modifica en ninguna manera su consideración de personal.Siguiendo con el ejemplo, no cabe duda que al almacenar un dato que identifica ese perfil de consumo con mi perfil en una o varias redes sociales, éstos se vuelven en su conjunto datos de carácter personal que, si por ejemplo, además registran mi pensamiento ideológico tienen un nivel de protección especial dado que ya entrarían en la consideración de sensibles. La identificación del perfil de procedencia de los datos sería el punto que ancla todo el registro y lo arrastra bajo el paraguas de la LOPD y su posterior desarrollo en el Real Decreto 1720/2007.Cierto es que aún no se ha publicado, al menos que yo haya sido capaz de encontrar, ninguna resolución al respecto para esta situación concreta. Sin embargo es interesante lo citado en el último punto de la Resolución sobre Protección de la privacidad en los servicios de redes sociales elaborado a partir de la 30º Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Estrasburgo en octubre de 2008 en los que además de recomendaciones a los usuarios se insta al cumplimiento de una serie de normas por parte de los proveedores de servicios, entre ellas en el punto 10:Indexabilidad de perfiles de usuario: Los proveedores deberán garantizar que los datos de usuarios sólo pueden explorarse en motores de búsqueda externos cuando un usuario haya dado su consentimiento explícito, previo e informado a tal efecto. La no indexabilidad de los perfiles por parte de motores de búsqueda debería ser una opción por defecto.A lo que se podría añadir lo indicado en el segundo párrafo del punto 3:Los proveedores también deberán permitir el control por parte de los usuarios sobre el uso secundario de perfiles y datos de tráfico; por ejemplo en el caso del marketing dirigido a un objetivo. Como mínimo, deberán permitir excluir los datos generales del perfil -opt out- y solicitar el consentimiento expreso para datos sensibles –opt in- (p.ej.: opinión política, orientación sexual) y se deberá aportar datos sobre el tráfico.En el Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online se cita al acceso incontrolado a los perfiles en las redes sociales, en su página 15, como uno de los peligros para la protección de la privacidad:.La mayoría de redes sociales analizadas disponen del perfil completo del usuario, o al menos de parte de este, en formato público, de forma que cualquier usuario de Internet o de la red social puede acceder a información de carácter personal ajena sin que el propietario de los datos tenga que dar su consentimiento expreso.A lo que podríamos añadir que según el estudio Redes Sociales: Análisis cuantitativo y cualitativo sobre hábitos, usos y actuaciones de Ofcom, el 43% de los usuarios no ha configurado ningún tipo de restricción de acceso a sus datos personales a través de las opciones de privacidad.En definitiva, y pese a lo dicho más arriba sobre -si no me equivoco- la ausencia de resoluciones explícitas sobre el asunto, con estos antecedentes en la mano no me cabe la menor duda. Si recopilas información vinculada de alguna manera al perfil de un usuario en una red social, al tiempo que se hace identificable, estás procesando datos de carácter personal y por lo tanto todo el peso de la normativa vigente es de aplicación y ha de ser cumplida. Y esto incluye a los profesionales del social media y del marketing online cuando recopilan perfiles de consumo.Por último, un pequeño detalle que en ocasiones causa confusión entre los empresarios y gestores. Los datos de carácter personal sólo hacen referencia a personas físicas. Un registro recopilado en el CRM del mayorista de papelería Cartones ABC, con una estructura similar a la reflejada en el ejemplo dado más arriba, asociado al gasto en consumibles de Eventos XYZ, queda fuera de esta discusión, pues la información relativa a personas jurídicas no se contempla bajo ningún aspecto.

https://mentedigital.es/

Share this post

No comments

Add yours