Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 51

Como bien ha podido ver el lector por el propio título, el centro de este capítulo son las Redes Sociales. Si bien no vamos a entrar a analizar los tipos de Redes Sociales ni sus características ni número de usuarios, sí que es importante tener en cuenta que en este Capítulo se analizarán sanciones en las que la sancionada no es la red social en sí2 sino una entidad –incluso un particular– que ha hecho uso de las Redes Sociales incumpliendo la normativa.

Y es que, lo primero que ha de tenerse en cuenta es que los tratamientos de datos personales y/o, por ejemplo, el envío de comunicaciones comerciales o el análisis de perfiles que se puede realizar con la información obtenida de las Redes Sociales también deben cumplir la normativa o, dicho de otra manera, deben respetar lo dispuesto por el RGPD, la LOPDGDD y la LSSI-LCE, entre otras.

Por tanto, en caso de que se incumpla, el organismo garante en nuestro país –la Agencia Española de Protección de Datos y/o las Agencias autonómicas cuando corresponda– impondrá la sanción que corresponda.

Antes de pasar a analizar, de manera eminentemente práctica y basándonos únicamente en las Resoluciones dictadas por el organismo de control, enumeramos brevemente las obligaciones que se desprenden del RGPD y de la LOPDGDD y que resultan de aplicación a los usos que, de una red social, haga una entidad siempre que impliquen tratamiento de datos personales. Entre estas obligaciones, cabe citar:

– Amparar el tratamiento en una de las seis bases legitimadoras que establece el RGPD en su artículo 6. Tal y como veremos, en la mayoría de las ocasiones, la base legitimadora aplicable será el consentimiento.

– Cumplir con el deber de información, de manera clara y transparente.

– Respetar los principios en todo tratamiento de datos personales que lleve a cabo la entidad, incluido el tratamiento de datos personales en y/o a través de Redes Sociales. Y, por supuesto, cuando decimos “todos” los principios no nos referimos solo a los que constan en el primer apartado del artículo 5 del RGPD3 sino también al “principio de principios” que figura en el apartado segundo: el famoso Accountability.

– Incluir el tratamiento relacionado con las Redes Sociales en el Registro de actividades del tratamiento de la entidad.

– Atender los derechos del interesado, incluido el de revocar el consentimiento.

– Llevar a cabo el análisis de riesgos y, en su caso, la evaluación de impacto.

– Nombrar un Delegado de Protección de Datos (DPO). Si bien no en todos los casos es obligatorio, nosotros recomendamos contar siempre con el apoyo de un DPO puesto que fomentará y ayudará a lograr un cumplimiento efectivo de la normativa de protección de dato en la entidad.

– En caso de que sufra una brecha de seguridad que afecte a los datos personales, notificarlo al organismo de control en un plazo máximo de 72 horas desde que se tuvo conocimiento de la incidencia. Y, en caso necesario, comunicárselo al interesado a la mayor brevedad posible.

– En caso de que lleve a cabo tratamiento de categorías especiales de datos a través de las Redes Sociales, es necesario que cumpla con todas las garantías que exige la normativa para el tratamiento de este tipo de datos personales.

– Firmar los contratos con encargados y corresponsables del tratamiento que correspondan. Recordamos en este punto que, si la entidad hace uso del botón “Me gusta” en su página web para aumentar su número de seguidores en su página de Facebook, se considera que actúa como corresponsable del tratamiento con Facebook4.

– Implementar todas las medidas de seguridad para evitar cualquier acceso a datos personales no autorizado. En esta labor, es fundamental la formación y concienciación de todos los empleados y, por supuesto, también del Community manager.

Teniendo en cuenta las obligaciones de la normativa y los aspectos básicos de la presencia de una entidad en Redes Sociales, pasamos ya a analizar los criterios que el organismo garante –y, posteriormente, los jueces y tribunales- están teniendo en cuenta a la hora de sancionar a entidades y particulares por sus acciones en Redes Sociales.