Facebook y protección de datos

En el artículo de hoy, vamos a hablar de una decisión sin precedentes, tomada por la Autoridad de Control de Noruega, en relación al uso de Facebook, la valoración de los riesgos que ello implica y la importancia de la protección de datos en este ámbito.

Cuando se tratan datos personales, uno de los principios que hemos de cumplir, a tenor de lo dispuesto en el art. 13 RGPD, es el derecho a la información del interesado; en otras palabras, comunicarle quién va a tratar sus datos, con qué fines, durante cuánto tiempo… Como parte de este derecho, en el contenido del mismo, hay que notificarle al interesado si el tratamiento va a implicar alguna transferencia internacional de datos personales.

¿Qué son las transferencias internacionales de datos?

Aunque muchos ya estamos familiarizados con el término y con sus implicaciones, una transferencia internacional de datos es el fenómeno que se produce cuando tiene lugar un tratamiento de datos personales más allá de los límites de la Unión Europea.

Esto puede suceder con independencia de que nuestras sedes y nuestros servicios se ubiquen dentro del espacio europeo, si es que se da el caso de que trabajamos con algún proveedor, o usamos algún recurso, procedente del exterior. Tal es el caso, por ejemplo, de WhatsApp, MailChimp, Youtube, Microsoft o, para el supuesto que hoy planteamos, Facebook.

Todas las plataformas mencionadas nos suenan, y de sobra, porque están más que implementadas en nuestro día a día. Eso hace que las veamos como algo cotidiano, de uso común y, aparentemente, sin mayores factores a tener en cuenta.

No obstante, lo que ocurre con las transferencias internacionales de datos es que, si bien la Unión Europea está considerada como un entorno seguro, en materia de confidencialidad y privacidad, y entendemos que el marco normativo europeo ofrece la suficiente protección a la información, no se puede decir lo mismo de otros espacios. Y ahí es dónde está el quid de la cuestión.

La decisión de la Autoridad de Control noruega sobre Facebook

La razón que motiva la elaboración de este artículo es, precisamente, una decisión muy curiosa que acaba de tomar la Autoridad de Control noruega, en relación al uso de Facebook. Decisión que, hasta donde sabemos -como la propia entidad ha destacado- no había sido tramitada, hasta ahora, de la forma en que este órgano lo ha hecho, por lo que fija un precedente.

La historia comienza cuando esta entidad -que sería la equivalente a nuestra AEPD, solo que en el país nórdico- se planteó la creación de un perfil o página oficial en Facebook, a fin de utilizarla como vía de comunicación con los usuarios que accedieran a la misma.

Hasta ahí, todo normal: prácticamente cualquier organismo, público o privado, nacional o internacional, cuenta con perfiles oficiales en Facebook u otras redes sociales.

La diferencia en la actuación de la autoridad noruega radica en que, con anterioridad a la toma de la decisión, decidieron desarrollar una evaluación de riesgos relativa a las implicaciones de la misma; es decir: tomar en consideración los riesgos que la apertura de dicha página podría conllevar, así como los efectos en los derechos de protección de datos de los interesados.

Las conclusiones de la autoridad noruega sobre Facebook

Una vez elaborada la correspondiente evaluación de riesgos, la citada Autoridad de Control, llegó a una serie de conclusiones en relación al uso de Facebook que, de forma resumida, te contamos:

  1. En primer lugar, el órgano determinó que, de proceder a la apertura de dicha página, no estarían cumpliendo, o al menos no de forma íntegra, con el art. 26 RGPD, que regula la corresponsabilidad en el tratamiento de datos personales.
  2. Por otra parte, también estimaron que el contenido del acuerdo estándar a suscribir con Facebook no tenía el carácter adecuado.
  3. Así mismo, la autoridad afirmó no estar segura de poder garantizar cómo se trataría la información de los usuarios que interactuaron con su página o con sus publicaciones (por ejemplo, dando “Me gusta”). Saber qué información se guardaría o durante cuánto tiempo escaparía totalmente fuera de su control.
  4. Por último -y, desde luego, no por ello menos importante- la autoridad también entendió, realizada dicha evaluación, que el riesgo asociado al tratamiento de datos personales de los usuarios a través de Facebook era demasiado alto, y que podría afectar a sus derechos y libertades.

Como no te habrá costado adivinar por las conclusiones extraídas, la Autoridad de Control noruega ha decidido no proceder a la apertura de una página en Facebook.

La relevancia de la decisión

Como comentábamos, por la información de que disponemos, es una decisión sin precedentes. Y no nos referimos a la decisión de no abrir un perfil en Facebook, sino a la realización de esa evaluación de riesgos previa.

Por lo que sabemos, y por los datos con que la propia Autoridad de Control noruega cuenta, es la primera vez que una organización procede de esta forma antes de efectuar tal acción. Sin duda, una decisión muy interesante, que abre la puerta a muchos planteamientos e inquietudes en este ámbito.

Tal y como indicamos unas líneas más arriba, estas tecnologías están totalmente implantadas en nuestra vida, y sería idealista tratar de ignorar su uso. Pero no por ello deberíamos olvidar los riesgos a que puede quedar expuesta la información personal cuando no se salvaguarda correctamente, o con las suficientes garantías.

La Autoridad de Control noruega considera que ha sido un paso dado en la buena dirección, y que probablemente la realización de estas acciones sería muy apropiada por parte de otras organizaciones y negocios. Y no podemos evitar coincidir con este criterio.

¿Y tú? ¿Usas las redes sociales como parte de tu actividad?

Si quieres saber más sobre esta decisión, te invitamos a leer la noticia que nos inspiró para escribir este post.

Acceso a la red WIFI y RGPD, una combinación explosiva que trae de cabeza a hoteles, restaurantes, bares, y todo tipo de negocio que da el acceso a su red WIFI  de forma gratuita con la única intención de fidelizar y atraer clientes.

La puesta a disposición de clientes, empleados, o visitantes el acceso a una red WIFI conlleva una serie de responsabilidades legales para el establecimiento prestador del servicio. En particular es aplicable la normativa de protección de datos, ya que para facilitar el acceso a una red WIFI es necesario tratar datos de carácter personal de los usuarios.

Desde el pasado 25 de mayo es directamente aplicable el Reglamento UE 679/2016, General de Protección de Datos -en adelante RGPD– que establece una serie de obligaciones para los responsables y encargados del tratamiento de datos personales.

Por si hubiera duda, es recomendable que la red WIFI sea profesional que tenga hotspot con controlador, o un controlador más hotspot. No se deben usar conexiones wifi domésticas por razones de seguridad y de gestión, por ejemplo para limitar quién accede, por cuánto tiempo, capacidad de descarga, o incluso la zona geográfica de la prestación del servicio. El acceso a la red WIFI se debe gestionar de forma activa para evitar responsabilidades mayores en el ámbito de las telecomunicaciones o de responsabilidad penal de las personas jurídicas.

Preguntas frecuentes sobre WIFI y RGPD

Para facilitar el entendimiento hemos desarrollado este contenido en relación a las preguntas frecuentes que recibimos sobre esta materia. En orden de prioridad estas son las que más nos realizan sobre la puesta a disposición de una red wifi para clientes o visitantes de un determinado negocio:

1. ¿Me aplica la normativa de protección de datos si instalo una red WIFI para clientes, huéspedes o empleados?

Sí. Cuando se instala un sistema de red WIFI para empresas, negocios o pymes se incluye una serie de aparatos y componentes que recogen datos personales que bien identifican al usuario, o bien le pertenecen al mismo. Esta recogida y tratamiento hacen que la normativa de protección de datos sea exigible al titular de la red WIFI, quien deberá poner las garantías oportunas para proteger el derecho a protección de datos de los usuarios de su red.

2. ¿Qué obligaciones de la normativa de protección de datos me son aplicables cuando instalo una red WIFI?

Teniendo claro que si es de aplicación la normativa de protección de datos la pregunta siguiente es la más clara, pero ¿Y qué me toca hacer?, bueno, varias cosas, tantas como son necesarias para cualquier otro tratamiento de datos.

A modo de resumen, las obligaciones principales para cumplir el RGPD son las siguientes:

1. Identificar el tratamiento de datos y elaborar un registro del mismo

De conformidad con lo exigido en el artículo 30 del RGPD. Si bien el registro no es obligatorio en todos los casos ya que existen una serie de excepciones, es recomendable elaborarlo para poder identificar la capacidad de recogida, almacenamiento y gestión de datos del sistema, la tipología de datos recogidos, las conexiones con otros sistemas, los prestadores de servicio, así como las posibles cesiones de datos afectas.

2. Cumplir con el principio de transparencia

Establecido en el artículo 5.1.a. RGPD, y asociado directamente con el derecho de información del artículo 13 RGPD.
¿Cómo? Facilitando a los interesados toda aquella información relativa al tratamiento (finalidades, legitimación, plazos de conservación); la información del responsable y del encargado si fuera necesario, así como de los destinatarios, si los hubiera; también es necesario informar a los interesados sobre sus derechos, de los medios y cualquier otra información útil para su ejercicio.Normalmente esta información se facilita a través de la página de acceso a la red WIFI (portal cautivo), mediante la política de privacidad incluida en las condiciones de uso de la red WIFI.

3. Realizar un análisis de riesgos y poner las medidas de seguridad correspondientes

Se trata de una acción de identificación, evaluación y tratamiento de los riesgos asociados al tratamiento de los datos personales, y por tanto para los derechos y libertades de los interesados. El análisis de riesgos permite identificar aquellas medidas de seguridad necesarias para la protección de los datos personales y los derechos de sus titulares.

La evaluación debe abarcar tanto la parte técnica como la administrativa, desde la parte de seguridad de la red, el almacenamiento, las copias de seguridad, etc., hasta lo relativo a los permisos y usuarios, los plazos de realización de las copias de seguridad, el lugar de almacenamiento de los datos, o incluso la elección de prestadores de servicio que tengan acceso directo o indirecto a los datos.

4. Formalizar el contrato de encargo de tratamiento de datos con los prestadores de servicios

Con aquellos prestadores que accedan de forma directa o indirecta a los datos personales de los usuarios de la red WIFI. Es necesario identificar qué prestadores de servicio acceden a los datos personales y formalizar con ellos el correspondiente acuerdo de tratamiento de datos con arreglo al artículo 28 RGPD.

En relación al sistema de red WIFI empresarial es habitual que exista una empresa de servicio de mantenimiento del sistema, almacenamiento de los datos, e incluso de control y revisión del tráfico de la red.

3. ¿Debo tener unas condiciones de uso de la red WIFI?

En principio no hay una norma que lo exija de forma literal. Es recomendable contar con ellas para facilitar de forma ordenada toda la información que estamos obligados a dar a los usuarios.

En las condiciones de uso también es posible incluir nuestras propias normas de uso del servicio;  cualquier información obligatoria, e información general relacionada.

4. ¿Debo tener una política de privacidad asociada al uso del sistema WIFI?

Los sistemas de puesta a disposición del acceso a una red WIFI recaban datos personales de los usuarios, a los que es necesario facilitar toda la información asociada al tratamiento de sus datos y las acciones de defensa de su derecho de conformidad con el RGPD. La forma de facilitar esta información es a través de una cláusula informativa llamada habitualmente “Política de privacidad”.

El contenido mínimo de una política de privacidad es el exigido en el artículo 13 RGPD. Datos principales:

  • a) La identidad y los datos de contacto del responsable.
  • b) Los datos de contacto del delegado de protección de datos, si lo tuviera.
  • c) Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
  • d) El plazo de conservación de los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
  • e) Los destinatarios o las categorías de destinatarios de los datos personales.
  • f) En su caso, la intención del responsable de realizar una transferencia internacional de datos.
  • g) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • h) El derecho a presentar una reclamación ante una autoridad de control.
  • i) La existencia de decisiones automatizas, incluida la elaboración de perfiles;  información básica exigida art. 13.

5. ¿Puedo usar los datos de los usuarios WIFI para mandarles publicidad?

La finalidad de un punto de acceso WIFI, es esa, ni más, ni menos. Si se quiere utilizar los datos para otros fines es obligatorio informar al usuario de ello; se debe facilitar toda la información asociada a dicha finalidad, conforme exige el artículo 13 RGPD.

Cuando la finalidad del tratamiento de datos es el envío de publicidad, la base jurídica del tratamiento suele ser de forma típica el consentimiento del interesado. El responsable debe recabarlo adecuadamente. En caso de que el envío de la publicidad se realice con la base jurídica del interés legítimo, será necesario realizar el juicio de ponderación e informar de todos los pormenores del mismo.

El consentimiento para el envío de publicidad puede obtenerse en el momento de facilitar el usuario la clave de acceso a la red WIFI, o de una casilla de verificación en la página de acceso a la red WIFI. Se debe informar sobre la posibilidad de retirar el consentimiento en cualquier momento.

6. ¿Durante cuánto tiempo tengo que almacenar los datos?

El tiempo del almacenamiento de los datos asociados a la puesta de disposición del acceso a una red WIFI establecido en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones NO aplica a las empresas que no están obligadas a registrarse en el Registro de Operadores de la CNMV.

¿Quiénes no están obligados al registro en la CNMV?

Los hoteles, cafeterías, bares, centros comerciales y otros que ofrezcan el servicio de acceso a red WIFI:

  1. Dentro de sus instalaciones
  2. Solo para sus clientes y visitantes
  3. De forma gratuita y accesoria a su actividad principal

Para estas empresas o negocios el tiempo de conservación de los datos será el que les corresponda como resultado al juicio de ponderación sobre el tratamiento realizado, los fines, y los derechos y libertades de los interesados.
El plazo de un año es solo exigible a las empresas obligadas a realizar el registro ante la CNMV.

Conclusiones

Al prestar el servicio de acceso a una red WIFI, se recogen y tratan datos personales que en muchas ocasiones se usan con fines de marketing y publicidad; Es necesario dar cumplimiento a la normativa de protección de datos sin dilación.

Es importante realizar una evaluación sobre el cumplimiento del Reglamento General de Protección de Datos; a partir de ahí, establecer todas las medidas de seguridad, técnicas, administrativas y de gestión, necesarias para garantizar el derecho a la protección de datos de los interesados.