El portal jurídico de
IUS ET VERITAS

Las redes sociales como fuentes de acceso público: Alcances desde la protección de datos personales | Carlos Holguín

Compartir

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Escrito por Carlos Holguín Cafferata*

¿Quién no ha buscado su nombre en redes sociales para ver que aparece? Seguramente se sorprenderían de la diversa información que uno puede encontrar de sí mismo; la cual -ya sea de manera consciente o involuntaria- compartimos constantemente en nuestras redes.

El actual valor económico de la información es un hecho indiscutible y es este el motivo por el cual no somos los únicos haciendo este tipo de búsquedas. Las empresas han encontrado en las redes sociales una fuente indispensable para la recopilación de información (personal o no) que les permite conocer mejor a sus clientes, identificar gustos y preferencias, crear perfiles, mejorar productos, dirigir publicidad personalizada, etc.

La información se ha convertido entonces en un activo empresarial clave, pues sostiene la estructura primaria de distintos modelos de negocio y es; además, el motor de las nuevas tecnologías que impulsan la innovación. Por eso, no es sorprendente escuchar hoy en día que muchas empresas tienen equipos enteros navegando en las redes para encontrar información; además de usar diversos sistemas para su identificación y tratamiento (data mining).

Parte importante de la información que pueden encontrar las empresas en las redes sociales se compone de la data personal de los usuarios; la cual puede ser definida como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”[1].  Por ejemplo, nombres, correos electrónicos, direcciones, teléfonos, etc.

Este tipo de información representa un activo maleable y útil que, de usarse de manera correcta, puede suponer un gran beneficio para las empresas; incluso al punto que se establezca una ventaja competitiva únicamente a partir de ella. Sin embargo, esto no significa que las empresas puedan usar los datos personales que encuentran en las redes sociales de cualquier forma y sin ninguna restricción.

A efectos de proteger a los titulares de datos personales del uso indebido/no autorizado de su información, distintos países han incorporado en sus ordenamientos normas para la protección de datos personales con el fin de establecer obligaciones y responsabilidades frente al tratamiento de dicha data. Esto no ha sido ajeno al caso peruano, pues desde el año 2011 contamos con una Ley de Protección de Datos Personales[2]; además de un Reglamento publicado en el 2013.

El presente artículo nos permitirá dar algunos alcances de cómo nuestra legislación ha regulado los usos de aquellos datos personales que pueden encontrarse en las redes sociales.

Tratamiento de datos personales contenidos en redes sociales

Aunque nuestra legislación no utiliza el término “redes sociales”, sí utiliza el concepto de “medios de comunicación social” (social media); cuya definición engloba a aquellas plataformas de comunicación e intercambio de contenido que ya conocemos (p.e Facebook, Twitter, Instagram, LinkedIn, etc.)

Este concepto lo podemos encontrar en el artículo 17 del Reglamento de la LPDP[3], dentro de un listado de “fuentes accesibles al público” tales como: guías telefónicas, diarios, revistas, repertorios de jurisprudencia, registros públicos, medios de comunicación electrónica, etc.

La inclusión de los medios de comunicación social (redes sociales) en este listado conlleva que se les atribuya la categoría de “fuentes accesibles al público”; cuya definición encontramos en el artículo 2° numeral 11 de la LPDP:

 “Artículo 2. Definiciones

Para todos los efectos de la presente Ley, se entiende por:

    1. Fuentes accesibles para el público. Bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Las fuentes accesibles para el público son determinadas en el reglamento”

¿Y qué implica que las redes sociales sean fuentes accesibles al público? La respuesta la encontramos en el artículo 14° numeral 2 de la LPDP:

“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales

No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:

 (…)

 Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público”

La norma nos señala que para el tratamiento (uso) de la información personal contenida en redes sociales no se requerirá contar con el consentimiento del titular de dicha información (en este caso, de los usuarios de las redes sociales).

Recordemos que el principio del consentimiento es un principio central de nuestra normativa de protección de datos personales; el cual básicamente señala que para el tratamiento de los datos personales deberá existir autorización por parte de su titular (los usuarios de las redes sociales).

Por tanto, la inclusión de las redes sociales en la categoría de fuentes de acceso público configura un eximente (limitación) al requisito de tener que obtener la autorización por parte del titular para usar los datos personales que puedan encontrarse en las plataformas como Facebook, Twitter, Instagram, LinkedIn y otras.

¿Esto significa que las empresas podrán usar la información sin ningún tipo de restricción? No, y tampoco significa que puedan dejar de cumplir con el resto de las obligaciones de la normativa (p.e el deber de informar). Como dice Revoredo, esto de ninguna manera conlleva a que los datos podrán ser utilizados de manera indiscriminada (p.e para generar nuevas bases de datos o completar bases de datos existentes); por el contrario “los referidos datos (…) solo podrán ser utilizados en tanto forman parte de una red social para ser tratados dentro de la red social y utilizados en ese contexto salvo que obtenga previamente un consentimiento específico para el tratamiento distinto que planeo darles”[4]

En esta misma línea, en el año 2018, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales emitió la Opinión Consultiva N° 37-2018-JUS/DGTAIPD que señala lo siguiente:

los datos contenidos en las fuentes de acceso al público deben de utilizarse únicamente dentro del marco para el cual dicha fuente ha sido creada y pone a disposición la información mencionada. Por ejemplo, las listas de colegios profesionales tienen como finalidad identificar a un profesional determinado, poder verificar si se encuentra habilitado y contactarlo como profesional, pero no para realizar perfilamiento para remitir publicidad.

En caso se requiera realizar tratamiento para finalidades distintas a aquellas para las cuales los datos personales fueron puestos a disposición en las fuentes accesibles al público, como, por ejemplo, remitir publicidad, deberá solicitarse el consentimiento conforme el artículo 5 y el artículo 13, inciso 13.5, de la LPDP”

Se advierte entonces que el uso de los datos que puedan encontrarse en una red social (fuente de acceso público) deberá enmarcarse en los fines propios de la red y los motivos por los cuáles se incluyó/recopiló la data en la misma en un primer momento.

Esto guarda coherencia con el principio de finalidad de nuestra normativa, el cual establece que “los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización”[5]

Sin embargo, determinar la finalidad por la cual fue “creada” una red social resulta en la práctica una tarea compleja. Este criterio puede resultar más fácil de aplicar en casos donde las fuentes de acceso al público tienen un fin evidente (p.e. una guía telefónica), pero se dificulta cuando estamos frente a redes sociales; las cuales -por naturaleza- son plataformas dinámicas y en constante mutación.

Asimismo, entrará en juego también lo que se le informó al usuario al momento de crear su cuenta en la red social; por lo que podrían darse casos en los que una red social diera la apariencia de que ha sido creada para un fin determinado; pero que en los “términos y condiciones de uso” se agreguen otras finalidades; o que incluso sean contrarias a lo que la red social aparentaba ser en un inicio.

Existirán casos medianamente simples, por ejemplo LinkedIn, que es -en esencia- una red de profesionales para networking y provisión servicios; por lo que el uso de los datos personales ahí encontrados deberán enmarcarse en estos fines. No obstante, habrá situaciones más complejas como Facebook, donde los fines domésticos (red de amigos/familia) han quedado relegados a un segundo plano frente a otros usos como los de marketplace o streaming, los cuales están en constante cambio.

Advertimos que ni nuestra legislación, ni el criterio de la Autoridad establecen pautas claras para determinar con certeza la finalidad por la cual fue creada una fuente de acceso público, y mucho menos la de una red social; por lo que la evaluación dependerá de cada caso concreto.

Así, algunos aspectos que deberían ser considerados en la práctica, o ante una eventual disputa usuario-empresa, serán: (i) la información proporcionada al usuario de la red social al momento de crear/usar su cuenta (p.e términos y condiciones, políticas de privacidad, avisos legales, etc) (ii) las distintas autorizaciones dadas por el usuario, (iii) el tipo de perfil del usuario (p.e público, con restricciones, etc) (iv) los tipos de uso de la información por parte de la empresa, (v) si han intervenido procesos de anonimización, entre otros.

De este modo, identificar con exactitud la finalidad por la cual ha sido creada una red social resulta ser una tarea sumamente compleja y que será necesario hacer primero para determinar lo que se podrá hacer con los datos ahí encontrados.

Reflexiones finales

Resulta clave que el titular de datos personales tome conciencia sobre el valor de la información que proporciona en sus redes sociales; así como los tipos de accesos que está dando sobre la misma (p.e perfil público, restringido a amigos/familia, etc).

El titular debe ser el primer interesado en conocer qué está autorizando al usar determinada red social; al igual que los términos y condiciones por los cuales se estará rigiendo el tratamiento de su información personal.

Por otro lado, las empresas -previamente al uso de la información personal- deberán identificar con claridad hasta qué punto podrán almacenar/tratar la información que encuentren en las redes sociales.

Deberá evaluarse entonces si los usos que se le da a la información están enmarcados en la finalidad para la cual la red social fue creada o si; por el contrario, necesitarán una autorización específica para un fin determinado (p.e envío de publicidad personalizada, profiling, etc)

Como hemos explicado, el hecho que un dato personal se encuentre en una fuente de acceso público no significa que su uso sea irrestricto/ilimitado; sino que deberá enmarcarse a la naturaleza de la red social y, en consecuencia, a la finalidad informada al usuario al momento de abrir su cuenta; así como a las autorizaciones que este pudiera haber otorgado.

Sin perjuicio de ello, y conforme desarrolla la autoridad en su Opinión Consultiva N°37-2018-JUS/DGTAIPD, “la obligación de obtener el consentimiento previo no significa la prohibición absoluta de contacto, dado que dicha prohibición haría imposible el consentimiento”.

Por tanto, los datos obtenidos en una red social -además de ser usados para los fines propios de la red- podrán ser usados para contactar a los usuarios y obtener su consentimiento para otros fines; siempre y cuando se cumpla con el resto de las disposiciones de la normativa de protección de datos personales; así como la normativa en materia de protección al consumidor, de ser el caso.


Imagen obtenida de https://cutt.ly/2lVHoWq

*Abogado por la Pontificia Universidad Católica del Perú. Magíster en Derecho de la Propiedad Intelectual y Competencia por la Pontificia Universidad Católica del Perú. Experto Certificado en Protección de Datos por el Institute of Audit & IT- Governance de Barcelona.   Se desempeña actualmente como Asociado Senior en el área de Competencia, TMT y Propiedad Intelectual del Estudio Hernández & Cía.

[1] Artículo 2° numeral 4 de la Ley 29733 – Ley de Protección de Datos Personales.

[2] En adelante, la “LPDP”.

[3] Artículo 17 del Reglamento de LPDP. – Fuentes accesibles al público.

Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al público, con independencia de que el acceso requiera contraprestación, las siguientes:

(…) 4. Los medios de comunicación social.

[4] REVOREDO ABEL. “Redes Sociales y Privacidad” en Gestión. Fecha de publicación: 13 de febrero del 2017. Link: https://gestion.pe/blog/cyberlaw/2017/02/redes-sociales-y-privacidad.html/

[5] Artículo 6 de la LPDP

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada.