Análisis de caso: Responsabilidad de las empresas en la protección de datos existentes en Internet

This post is also available in: Aragonese

Aplicación e interpretación de la normativa en materia de protección de datos por parte de la Agencia Española de protección de Datos (AGPD)

digital_identity

Planteamiento:

Un emprendedor desea poner en marcha un proyecto de carácter colaborativo en internet consistente en la creación de una red social que sirva de encuentro a empresas, sus empleados y otros profesionales e individuos en general para la generación de contactos que induzcan actividad comercial, pero desconoce las obligaciones y límites existentes que debe tener en cuenta desde la perspectiva de protección de datos y necesita disponer de la certeza necesaria a ese respecto, con la finalidad de atraer a potenciales inversores preocupados por los posibles riesgos inherentes al objeto mismo del negocio planteado, consistente en el tratamiento y acceso a datos personales y profesionales con finalidad comercial.

***

1. Identificar al “responsable de los datos”

El “responsable del fichero o tratamiento de datos” es el propio emprendedor ya que, en aplicación de la responsabilidad y autoridad que tiene sobre las actividades de su empresa, es la persona que tiene capacidad de decisión “sobre la finalidad, contenido y uso del tratamiento” de los datos (LOPD, art. 3).

2. Usuarios (personas físicas) de la red social ¿pueden quedar excluidos de la aplicación de la normativa de protección de datos?

En ningún caso.

Si se trata de usuarios de una red social en Internet (tipo Twitter, Facebook, LinkedIn) los datos son responsabilidad de la propia red social, que, salvo situaciones especiales, pasan a considerarse fuentes de acceso público (LOPD, art. 3).

En este contexto, una tercera empresa como la del caso práctico, puede utilizar estos datos de varias formas:

  • si la empresa consulta los datos online -sin incorporarlos a ningún fichero privado de la propia empresa- deberá, en cada comunicación que establezca con el interesado, informar del origen de los datos y de la identidad del responsable del tratamiento (la red social), así como de los derechos que le asisten (LOPD, art. 30);
  • si incorpora una copia de los datos de un usuario obtenidos de una red social, estos dejarán de considerarse fuente de acceso público en el plazo de un año, contado desde el momento de su obtención, con lo cual las obligaciones de la LOPD pasarán a la empresa (LOPD, art. 28).

En el caso de tratarse de una red social corporativa, los datos de los usuarios de la red pasan a ser responsabilidad total de la empresa como ficheros de titularidad privada (LOPD, cap. II), que deberá cumplir con todas las obligaciones de la LOPD.

3. Usuarios (personas físicas) de la red social en representación de sus empresas ¿deben asumir las obligaciones de un “responsable de datos”? 

La personas en representación de sus empresas serán “responsables del fichero o tratamiento de datos” si tienen la capacidad de decisión “sobre la finalidad, contenido y uso del tratamiento” de los datos (LOPD, art. 3), otorgada por las respectivas empresas.

Una vez aclarado este aspecto, que depende del reparto de responsabilidades y autoridad en cada empresa, debieran darse al menos estas dos condiciones para que los usuarios de una red social tuvieran algún tipo de responsabilidad dentro del ámbito de la LOPD:

  • en primer lugar que los usuarios en las redes sociales utilizasen los perfiles claramente relacionados con la actividad profesional de la empresa en la respectiva red social, ya que la LODP no aplica a los ficheros mantenidos por personas físicas en el ejercicio de actividades personales (art. 2);
  • en segundo lugar, que los datos tuvieran la consideración de ficheros de titularidad privada, tal y como se ha analizado en el apartado anterior (2). Es decir, que los datos fueran responsabilidad de la empresa en representación de la cual actúan.

4. Los “responsable de los datos” en las redes sociales ¿deben recabar el consentimiento de los interesados para el tratamiento de sus datos? ¿se considera una “cesión de datos” la incorporación de los datos de los empleados a la red social? 

Según el art. 6 de la LOPD, “No será preciso el consentimiento cuando los datos de carácter personal […] figuren en fuentes accesibles al público […]”

En aplicación de este artículo, si los datos son responsabilidad de la respectiva red social y, por tanto, son fuentes de acceso público, no será necesario que la empresa recabe el consentimiento de los usuarios, ya que esta es responsabilidad de la propia red social.

Otro caso es el que parece plantearse en el caso práctico, según el cual es la propia empresa la que incorpora a la red social datos de sus empleados -que son, a todos los efectos, datos de titularidad privada de la empresa- y al respecto de los cuales la empresa deberá cumplir con todas las obligaciones que establece la LOPD, entre las que se incluye la obligación del “responsable del fichero” de informar a los afectados en el momento en que se efectúe la primera cesión de datos (LOPD, art. 27)

5. Alcance del “principio de conservación” aplicable a los datos recabados por la red social, en relación con la cancelación de los mismos

Desde el punto de vista de una red social, todos los datos que aportar un usuario forman parte de un fichero de titularidad privada de la propia red social, la cual es plena responsable del tratamiento de los datos, incluyendo la cancelación de los mismos establecida a lo largo de la LOPD, específicamente en el art. 16, 17 y siguientes.

Bibliografía:
[1] BOE. 13 diciembre 1999, núm. 298, página 43088. LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. https://www.boe.es/boe/dias/1999/12/14/pdfs/A43088-43099.pdf. Consultado 9 oct 2015.