El taller municipal
Recientemente, una persona cercana supo de una actividad interesante para emprendedores. Consistía en un breve taller sobre cómo manejar algunas redes sociales para mejorar un negocio.
Suponemos que contaba con cierto apoyo de la corporación municipal en cuyo territorio se iba a desarrollar. Lo suponemos por la presentación previa prevista por parte de un concejal y por los logos del ayuntamiento. Por eso y porque el correo de inscripción remitía al dominio oficial del municipio.
El folleto informativo, sin LOPD, permitía deducir que lo suyo era tener un negocio de algún tipo para poder aprovechar las explicaciones. Pero claro, suele suceder que esto no implica que los usuarios tengan una visión restrictiva del requisito. Bien pudieron apuntarse personas deseosas de iniciar un negocio después de saber más sobre el tema de las RRSS.
Datos personales
Nada impedía, entonces, que personas particulares se inscribieran, o bien remitieran sus datos de contacto a través del correo municipal que se facilitaba.
Recordemos que los datos profesionales de un usuario, como pueden ser su correo electrónico y teléfono no están bajo la protección de las LPDs por ser eso, profesionales. Pero el correo electrónico y el teléfono personales sí lo están.
El problema normativo era claro a partir de este punto. Si un usuario proporcionaba para su inscripción su correo electrónico personal, ¿quedaba informado de forma explícita del destino de sus datos? No. Ni de su incorporación a un fichero, de sus derechos y de su ejercicio, y de su cesión a terceros.
La inscripción
Cierto es que la web municipal informaba de la LODP respecto a los formularios encontrados en la web, pero no lo hacía respecto a la información que pudiera recopilar por correos electrónicos directos o por las llamadas a los teléfonos proporcionados.
Los correos electrónicos de confirmación de asistencia tampoco incluían ninguna firma indicando qué sucedía si, siendo particular, uno se echaba para atrás y renunciaba a acudir al evento.
Aunque era evidente que el correo electrónico suministrado era absolutamente necesario para poder participar en el curso y que este iba a ser usado para gestionar las redes sociales objeto del asunto, esto tampoco estaba indicado de forma explícita.
Hasta aquí, son asuntos relacionados con “pulir” lo que ya se tiene trabajado de la LOPD.
LOPD y RRSS: la complicación
Pero el asunto iba a complicarse un poco más. La persona ponente del curso dispuso de los correos electrónicos de los asistentes previo al comienzo, asumiendo que era el correo desde el que se solicitó la inscripción el que iba servir para trabajar la página profesional de Facebook.
Era muy probable, pero no seguro. ¿Podría haberse colado algún correo personal? A continuación, solicitó unir gracias a estos correos los perfiles del Facebook de los asistentes en un grupo. Lo hizo enviando directamente una invitación de grupo de Facebook a los asistentes. Y aquí la cosa se complica un poco más.
Aunque se sobreentiende que iba a ser necesario trabajar en Facebook y que, en todo grupo formativo lo suyo es saber quienes son los otros alumnos, la invitación del grupo no indicaba que podía estar suponiendo la cesión de datos a ese tercero.
A Facebook, del que quizá no todos los alumnos dispusieran de perfil profesional, sino solo personal.
El reto de las aceptaciones
¿Aceptar la invitación suponía liberar el acceso a datos personales, comentarios, fotos de familiares y de hijos (menores) al resto de alumnos? ¿Se cumplía la LOPD? ¿Y la directiva europea?
Es decir ¿era necesario que la organización adviera del requisito de la creación de perfil FB? ¿Y de que eso supondría el acceso a datos personales de los perfiles privados de los usuarios?
Recordemos que, por mucho que uno haya cedido parte de su intimidad a Facebook, este no es una fuente pública de datos. Es una fuente privada. Por ello no se puede disponer a la ligera de lo que se comparte, a pesar de las condiciones legales del propio Facebook.
Veamos.
Sugerencias
A mi entender hay una ruta un poco más correcta de hacer lo mismo, más que nada para proteger al ciudadano y cumplir la LOPD.
Primera sugerencia
Tanto la web municipal como sus correos asociados deberían contener las indicaciones de protección de datos personales correspondientes. De esta manera todo usuario, sobre todo cada particular que haya efectuado la cesión de parte de sus datos por casualidad, pueda ejercer sus derechos con facilidad. Y también solicitar los datos para estos fines de forma explícita, libre e informada.
Segunda sugerencia
Después, indicar en el sistema de inscripción que el curso iba a suponer enlazar perfiles en determinadas redes sociales, por lo que si se pretendía participar, debía suministrarse una dirección de correo profesional, aunque profesional pudiera ser mediante una cuenta gratuita de alguno de los muchos proveedores que las suministran.
Tercera sugerencia
Confirmar que dicha cuenta era la de elección del alumno para compartir los datos a través del grupo de la red social correspondiente. Así como que usar esta red supone aceptar las condiciones que esta considera para su servicio, indicando el enlace a dichas condiciones.
Cuarta sugerencia
Advertir a los alumnos de que, en caso de usar determinadas opciones de perfil, este podría queda abierto al acceso al resto de participantes. Ojo, en principio son empresas.
Y finales
Sólo una vez garantizada la comunicación y aceptación informada y explícita de estas circunstancias invitar al grupo. La razón: aceptar la invitación sobre el perfil personal que el alumno tuviera antes en FB daba lugar a revelar otros datos. Esos datos no eran necesarios para el curso, eran personales.
Se trata de poder delimitar la página de negocio aislándola de las páginas privadas y personales del mismo usuario. En determinadas RRSS tiene una buena dosis de complicación.
Conclusiones
¿Me estoy poniendo más papista que el Papa? Puede, incluso antes de la directiva UE 2016/679.
Pero los tiempos cambian, y la protección de los datos personales ha pasado a ser una obligación de los ayuntamientos. Pronto todos necesitarán un Delegado de Protección de Datos, y muchas empresas privadas, también.
Servicio de Delegado de Protección de Datos Externo
Pensemos en la imagen del profesional del curso y del ayuntamiento. Quizá estaremos dando pie a pensar que un profesional de las RRSS puede gestionar los datos de los alumnos sin demostrar profesionalidad en este ámbito.
Para mi es como si se quiere montar un bar y se abre el local antes de tener los permisos municipales. Además, quizá no quiera que personas que acabo de conocer vean las fotos de mis hijos en la playa. Por eso debo tener la oportunidad de asistir al taller sin que eso suceda.
