Nadie puede ignorar la importancia de las redes sociales hoy en día. A nivel usuario, se han erigido como uno de los principales canales de comunicación y pilar de las nuevas (o no tan nuevas) generaciones, y a nivel de empresa como una tentadora fuente de información e instrumento para dirigirse a los usuarios. En este entorno, el Comité Europeo de Protección de Datos ha publicado una guía sobre el targeting de usuarios de redes sociales que analizamos a continuación.

La Guía 8/2020 sobre el targeting de usuarios de redes sociales (la “Guía”), en fase aún de consulta pública, comienza aclarando que el concepto de “red social” debe entenderse en el sentido más amplio posible, es decir, cualquier plataforma online que permita el desarrollo de redes y comunidades de usuario, donde información y contenido es compartido (incluyendo redes de citas, videos, ciertos videojuegos, etc.).

La Guía busca identificar los principales actores que intervienen en el mundo de las redes sociales, su rol y responsabilidades; así como los principales riesgos y retos que plantean las campañas dirigidas a los usuarios de las mismas.

Principales riesgos derivados del targeting de usuarios de redes sociales

Sin ánimo de exhaustividad pero remarcando la importancia de identificar los riesgos que conlleva cualquier tratamiento de datos antes de llevarlo a cabo, se destacan los siguientes:

  • Llevar a cabo tratamientos que exceden la expectativa razonable de privacidad de los interesados: las actividades de perfilado que se llevan a cabo en las redes sociales y su acceso por terceros hace que sea sencillo que los usuarios no sean conscientes de lo que implica hacer un mero “clic” en una red social, lo que conlleva la pérdida de control por su parte sobre los datos personales.
  • Posibilidad de discriminación y exclusión (tanto directa como indirecta vía el uso de herramientas automatizadas).
  • La manipulación de los usuarios y la capacidad de influencia sobre los mismos (destacando su importancia en los procesos electorales).
  • La combinación de datos de las redes sociales con información obtenida fuera de ellas, y la sobre monitorización de las personas. El llamado “chilling effect” o efecto desalentador para la libertad de expresión.

Es importante tener siempre en mente estos riesgos a la hora de cumplir con los principios de accountability o responsabilidad proactiva, y privacidad desde el diseño y por defecto; la realización de test de ponderación en el marco del interés legítimo; o en la realización de evaluaciones de impacto.

Intervinientes y roles

  • Usuarios: registrados o no en la red social (no siempre es necesario), incluyendo los casos en los que se registren con seudónimos, pero que puedan ser individualizados.
  • Editores / proveedores de la red social: quienes ofrecen el servicio de la red social vía páginas web o Apps. Quienes determinan qué datos se tratan (incluyendo información de fuera de su plataforma), para qué fines y bajo qué términos.
  • Anunciantes: persona física o jurídica que usa la red social para dirigir mensajes específicos a un grupo concreto de usuarios que cumplen ciertos parámetros o criterios. Son aquellos que determinan el mensaje y/o la audiencia del mismo en base a las características, intereses y/o preferencias de los usuarios.
  • Otros: como proveedores de servicios de marketing, redes publicitarias, gestores de datos (data management providers), brokers y analistas que recopilan y tratan los datos de los usuarios (p.ej. siguiendo su actividad en las redes) de las redes sociales (así como de otras fuentes).

Análisis de los diferentes mecanismos de targeting

El CEPD parte del siguiente esquema de targeting o publicidad dirigida, en función de cómo se obtienen los datos personales: (i) aquellos que directa y activamente facilita el usuario; (ii) los que se obtienen indirectamente vía el uso que se hace de la red social; o (iii) los que se infieren y generan los anunciantes o editores sobre la base de las categorías anteriores.

La casuística es casi infinita y la Guía incluye numeroso ejemplos de cada categoría para determinar el rol oportuno de los intervinientes (i.e. responsables independientes, corresponsables o responsable-encargado) en cada caso y las bases legales apropiadas. Como resumen (no muy denso) de la Guía, nos gustaría destacar:

  • Roles: la corresponsabilidad (ex. art. 26 RGPD) entre el editor de la red social y el Anunciante se vuelve la gran ganadora en la Guía. Ambas partes deciden sobre los datos que se recogen, la finalidad y los medios de forma conjunta (p.ej., con respecto a los medios, mediante la instalación en una web del anunciante de plugins de los editores). No se debe olvidar que el anunciante determina los criterios para seleccionar el público objetivo más adecuado. La corresponsabilidad solo se da sobre la campaña concreta.

Al final de la Guía se aborda qué debe contener el acuerdo de corresponsabilidad y los niveles de responsabilidad del anunciante y el editor de la red social.

  • Bases legales: al margen de las obligaciones derivadas de la Directiva E-Privacy y, en España, de la Ley de Servicios de la Sociedad de la Información y comercio electrónico, las principales bases legales analizadas son el consentimiento y el interés legítimo (si se supera el triple test de idoneidad, necesidad y proporcionalidad en relación con los intereses y derechos de los usuarios). Aquí hay que tener en cuenta que: (i) el CEPD ya ha mencionado algunos tratamientos que no pueden basarse en dicho interés legítimo (p.ej., cuando se tratan y monitoriza a un usuario a través de distintas plataformas, webs, localizaciones, etc.) y (ii) en todo caso se deben respetar las reglas propias de los tratamientos automatizados del art. 22 RGPD (véase la guía del CEPD a este respecto).

Transparencia, derecho de acceso y evaluaciones de impacto

Se debe de hacer énfasis en el cumplimiento del principio de transparencia vis-à-vis los Usuarios (no basta con decir que se tratan sus datos para hacer publicidad…). Se debe dejar claro la monitorización que se vaya a llevar a cabo de su uso de la red social y las actividades que los (co)responsables llevan a cabo, así como no olvidar informar en el marco de la corresponsabilidad en los términos de los arts. 13 y 14 RGPD, y el art. 26 RGPD. Si se lleva a cabo un tratamiento ulterior, fuera de la corresponsabilidad, no hay que olvidar el cumplimiento con los arts. 6.4 y 14.4 RGPD.

Con respecto al derecho de acceso, se destaca la importancia de que los corresponsables diriman claramente las responsabilidades en relación con el ejercicio de este derecho por los usuarios. Además, en este ámbito, parece natural que se de respuesta a este derecho dando acceso remoto a los usuarios.

En el ámbito de esta corresponsabilidad, los corresponsables deberán determinar si se realiza una evaluación de impacto (o se encarga a uno de ellos esta tarea) y colaborar en su elaboración.

Categorías especiales de datos

Con respecto a las categorías especiales de datos del art. 9 RGPD (p.ej. datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, salud, etc.), y al margen de las condiciones generales para su tratamiento (arts. 6 y 9.2 RGPD); la Guía resalta que:

  • Al margen de los datos facilitados donde, de forma explícita, el Usuario señala un dato especialmente protegido, los editores y/o anunciantes pueden inferir u observar este tipo de información. Sobre todo cuando se combina esta información con datos observados durante un periodo de tiempo, o se genera un perfil del usuario.
  • No es relevante, para la aplicación del art. 9 RGPD, que los datos inferidos sean reales. Es decir, que a una persona se le atribuya por su comportamiento un pensamiento político es suficiente para la aplicación del art. 9 RGPD, sin perjuicio de que sea un verdadero votante, seguidor o apoye a dicho partido.

Por otro lado, si se trata mucha información pero de ella no se infieren de forma agregada categorías de datos especialmente protegidos, no aplicará la prohibición del art. 9 RGPD.

  • En general, el consentimiento o el hecho de que los datos sean manifiestamente públicos serán las excepciones a la genérica prohibición del tratamiento del art. 9 RGPD.
  • Con respecto a los “hechos manifiestamente públicos”, es importante interpretar el “manifiestamente” de forma restrictiva y realizar un análisis caso-por-caso. Para ello, el CEPD indica los siguientes criterios a tener en cuenta:

A raíz de todo lo anterior, y aunque la Guía todavía está en fase de consulta pública hasta el próximo 19 de octubre de 2020, la apuesta del CEPD es clara en el ámbito del targeting de usuarios en redes sociales: bienvenidos a la era de la corresponsabilidad.