El pasado 7 de septiembre de 2020, el Comité Europeo de Protección de Datos (en adelante, “CEPD”) publico la Guía 8/2020 sobre el targeting de usuarios de redes sociales (en adelante, la “Guía”). Nuestros abogados especialistas en internet y derecho digital explican el contenido de esta guía en este artículo.

El objetivo de la Guía se centra en (i) identificar los principales sujetos que intervienen en las RRSS, y responsabilidades que tiene su actuación en ellas; (ii) identificar los principales riesgos y retos que plantean las campañas publicitarias dirigidas a los usuarios de estas plataformas digitales.

La Guía comienza aclarando que el concepto de “redes sociales” (en adelante “RRSS”) debe entenderse en el sentido más amplio posible. En otras palabras, establece el concepto de “red social” como cualquier plataforma online que permita el desarrollo de redes y comunidades entre los usuario, en la cual se pueda compartir información y contenido.

Principales sujetos que intervienen en las RRSS

  • Usuarios: registrados o no en las RRSS, incluyendo los casos en los que se registren con seudónimos, pero que puedan ser individualizados.
  • Proveedores: quienes ofrecen el servicio en las RRSS y determinan qué datos se tratan, los fines de ese tratamiento y los términos del mismo.
  • Anunciantes: persona física o jurídica que usa la red social para dirigir mensajes específicos a un grupo concreto de usuarios que cumplen ciertos parámetros o criterios. Son aquellos que determinan el mensaje y/o la audiencia del mismo en base a las características, intereses y/o preferencias de los usuarios.
  • Proveedores de servicios de marketing, gestores de datos (data management providers), brokers y analistas que recopilan y tratan los datos de los usuarios conforme a su actividad en RRSS.

Principales riesgos del targeting de usuarios en RRSS

El CEPD parte del siguiente esquema de targeting o publicidad dirigida, en función de cómo se obtienen los datos personales: (i) aquellos que directa y activamente facilita el usuario; (ii) los que se obtienen indirectamente vía el uso que se hace de la red social; o (iii) los que se infieren y generan los anunciantes o editores sobre la base de las categorías anteriores. Estos mecanismos de targeting conllevan una serie de riesgos:

  • Llevar a cabo tratamientos que sobrepasen los límites de privacidad en cuanto a las actividades de creación de perfiles que se llevan a cabo en las RRSS y su acceso por terceros. Es decir, existe un porcentaje alto en cuanto a que los usuarios no sean conscientes de la pérdida de control por su parte sobre los datos personales simplemente por el hecho de entrar en determinadas RRSS.
  • Posibilidad de discriminación y exclusión, tanto directa como indirecta vía el uso de herramientas automatizadas.
  • El mal uso de la capacidad de influencia sobre los usuarios de las RRSS, que se hacen patentes en casos de manipulación en la decisión de compra o en los procesos electorales.
  • La posible combinación de datos de las redes sociales con información obtenida fuera de ellas y la sobre monitorización de las personas.

Principales directrices de la guía en cuanto al targeting de usuarios en RRSS

Detallamos las principales directrices de la guía en cuanto al targeting de usuarios en RRSS.

Corresponsabilidad

Es importante destacar la corresponsabilidad entre el editor de la red social y el Anunciante, que es quien determina los criterios para seleccionar el público objetivo más adecuado. Ambas partes deciden sobre los datos que se recogen, la finalidad y los medios de forma conjunta. Además esta corresponsabilidad no puede ser general sino que solo se da sobre la campaña concreta.

La Guía indica qué debe contener el acuerdo de corresponsabilidad y los niveles de responsabilidad del anunciante y el editor de la red social. Se tienen en cuenta las obligaciones derivadas de la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio (Directiva E-Privacy) y las reglas de lo tratamiento automatizado de datos del art. 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril (RGPD).

A parte las principales bases legales en cuanto al tratamiento de los datos son el consentimiento y el interés legítimo.

Es decir, que los datos sean tratados conforme a los principios idoneidad, necesidad y proporcionalidad en relación con los intereses y derechos de los usuarios. Considerando que, algunos tratamientos que no pueden basarse en dicho interés legítimo, por ejemplo cuando se tratan y monitoriza a un usuario a través de distintas plataformas, webs, localizaciones, etc.

Además, los corresponsables deben determinar conjuntamente si se realizan y en qué medida una evaluación de impacto.

Tratamiento de categorías especiales de datos:

El proveedor de medios de comunicación social y el destinatario deben determinar si la actividad de orientación implica el tratamiento de categorías especiales de datos personales. En caso afirmativo, deben asegurarse de que pueden basarse en uno de los fundamentos jurídicos del artículo 9 de la Ley de Protección de Datos para el tratamiento de esos datos con fines de selección. El CEPD también distingue las situaciones en las que el tratamiento implica categorías especiales de datos que son explícitas, inferidas, combinadas o hechas manifiestamente públicas y sus implicaciones legales.

Transparencia

Se debe dejar claro la monitorización que se vaya a llevar a cabo de su uso de la red social y las actividades que los corresponsables llevan a cabo, así como no olvidar informar en el marco de la corresponsabilidad en los términos de los arts. 13 y 14 RGPD, y el art. 26 RGPD. Si se lleva a cabo un tratamiento ulterior, fuera de la corresponsabilidad, no hay que olvidar el cumplimiento con los arts. 6.4 y 14.4 RGPD.

Ante el hecho de que las RRSS suponen en la actualidad uno de los principales canales de comunicación y una fuente de información e influencia en el usuario, es necesaria la presencia de directrices como la del CEPD para asegurar la protección de los mismos y el respeto a la normativa europea.