Los retos del Reglamento de Protección de Datos para las empresas españolas: Un breve decálogo

Sin ningún tipo de duda, las redes sociales como Facebook, Twitter e Instagram, por mencionar únicamente los más conocidos, se han consolidado como la mejor presentación online que una empresa puede ofrecer de sus productos o servicios tanto a clientes consolidados como a potenciales clientes, al suponer un coste asequible para las empresas en cuanto a recursos económicos se refiere, e incluso a querer mostrar una cierta transparencia en el trato directo con los usuarios de sus servicios. Evidentemente, el hecho de que una empresa no tenga presencia en redes sociales digitales supone un menoscabo en la imagen de marca que se quiera proyectar tanto a nivel offline como online.

En pocas palabras, si una empresa no tiene presencia digital (Web, Facebook, Twitter, Instagram o WhatssAp) a estas alturas de la película, o es que su actividad se centra en una función muy específica, o es que se estás quedando atrás respecto al resto de competidores.

Por otro lado, nos encontramos con el cumplimiento normativo respecto de la legalidad de aquellas empresas que sí tienen presencia en cualquier tipo de Red Social. Si el cumplimiento normativo de la Ley Orgánica de Protección de Datos por parte de las empresas españolas no ha sido precisamente ejemplar en comparación con otras legislaciones similares de nuestros vecinos europeos, el cumplimiento en materia de privacidad de aquellas empresas españolas que tienen presencia en Redes Sociales ha sido, sin ningún tipo de duda, generalmente catastrófico.

La creencia generalizada de que el tratamiento de los datos en redes sociales como Facebook, o la recién desaparecida Tuenti, eximía de cualquier tipo de obligación en la materia a las PYMES y derivaba cualquier tipo de responsabilidad a la red social en sí, lo cual ha estado deviniendo en un incumplimiento sistemático de todas las obligaciones correspondientes al respecto tales como no inscripción del fichero correspondiente, incumplimiento del deber de información o la ausencia de protocolo de ejercicios de los derechos de acceso, cancelación, rectificación y oposición.

Sin embargo, uno de los aspectos que más se deberían cuidar a partir del próximo 25 de Mayo de 2016, fecha en que entra en vigor el tan ansiado Reglamento General de Protección de Datos aunque no será plenamente aplicable –y por tanto exigible- a partir de esa misma fecha en 2018 para todos los estados miembros de la Unión Europea, es precisamente el tratamiento que puedan sistematizar tanto los responsables de los ficheros correspondientes (normalmente la red social en sí) como los responsables de los propios tratamientos, es decir, el 80% de las PYMES españolas con presencia online.

El especialista en privacidad que asesore a clientes con presencia en internet, deberá cumplir con un decálogo no exento de actuaciones tales como:

Asegurar que el usuario ha sido plena y legítimamente informado.
Asegurar que se ha obtenido el consentimiento inequívoco de tales usuarios para interactuar con ellos en las redes sociales.
Asegurar que el usuario o interesado puede ejercitar con todo tipo de garantías los derechos de acceso, rectificación, cancelación y oposición.
No olvidar el derecho al olvido, como expresión específica de los unos de las garantías fundamentales que establece el Reglamento General de Protección de Datos.
Muchas empresas están recurriendo a un especialista en gestión de comunicación en estas redes, normalmente conocido como Community Manager (CM) o incluso un Social Media Manager que supervise el trabajo de distintos CMs; ambos perfiles necesitarán mantenerse asesorados por un especialista en privacidad e incluso recabar sus funciones y obligaciones en un documento habilitado a tal efecto.
Saber que existe un registro de incidencias en casos que puedan afectar a la intimidad de las personas y cuál es el procedimiento para notificarlas.
Establecer garantías específicas para los menores de 14 años, así como de la información que pudiera recabarse de su ámbito familiar.
Cuidar especialmente aspectos como la accountability o rendición de cuentas en caso de inspección por parte de la autoridad de control correspondiente como pueda ser la Agencia Española de Protección de Datos.
Conocer plenamente la funcionalidad de las cookies que recaban información del usuario y que pueden reutilizarse en aras del tratamiento de datos en redes sociales.
Estar atentos al derecho a la portabilidad de los usuarios en caso de que quieran abandonar la red social.
Ejercer acciones concretas de Compliance en aras de evaluar los riesgos que puedan derivarse en redes sociales, así como gestionar los mismos.

Es por ello que gracias a la oportunidad que nos ha brindado la Asociación Profesional Española de Privacidad (APEP), al amparo de su específico plan de formación, he tenido la oportunidad de preparar un exiguo compendio de ejercicios y recomendaciones prácticas para todos aquellos profesionales que necesiten o quieran conocer más a fondo la problemática específica que surge en el día a día de las redes sociales así como a las cookies asociadas a las mismas y en último lugar a las aplicaciones diseñadas para móviles, ya que muchas de ellas basan su operatividad y funcionalidad en un compendio unificado que necesitan cumplir requisitos en materia de privacidad similares a los de Redes Sociales, todo ello en un ámbito online y colaborativo que funcione como una propia red social en sí mismo.

Para más información os invito a visitar el siguiente enlace:

http://www.apep.es/redes-sociales-e-internet-las-cookies-las-aplicaciones-moviles/

Y os comunico que podremos seguir hablando de privacidad en las redes.