Resumen: Aunque en el presente artículo nos centraremos en la
incidencia de la figura del community
manager en materia de protección de datos, su tarea de gestión de
contenidos incide claramente sobre cuestiones jurídicas relativas a la
protección de datos de los usuarios que interactúan, a la propiedad intelectual
e industrial, al honor, a la imagen, a la intimidad, a la privacidad, a los
derechos de los menores de edad, a la seguridad de la información, al comercio
electrónico, entre otras.
Autor del artículo
|
Colaboración
|
|
CRISTINA
RIBAS CASADEMONT
|
||
Actualizado
|
25 de Junio de 2013
|
|
ÍNDICE
1.
INTRODUCCIÓN
2.
POSICIONES JURÍDICAS DE LA EMPRESA, EL COMMUNITY
MANAGER Y EL USUARIO EN LA LOPD3. RÉGIMEN JURÍDICO DEL COMMUNITY MANAGER COMO ENCARGADO DEL TRATAMIENTO
4. ¿ES NECESARIO OBTENER EL CONSENTIMIENTO DE LOS USUARIOS ANTES DE CONTRATAR LOS SERVICIOS DE UN COMMUNITY MANAGER?
5. RESUMEN FINAL
6. DERECHOS DE AUTOR
1. INTRODUCCIÓN
Las oportunidades que nos brinda el mundo
2.0 se deben aprovechar. De ahí que en los últimos años aparezcan nuevos
perfiles profesionales, tal es el caso de los “gestores de comunidades”, más conocidos como “community manager”.
Existen muchas definiciones de “community manager” pero de forma
resumida y con un intento de mezclarlas todas, podemos definir este nuevo
profesional como aquél que se encarga de crear, hacer crecer, gestionar y
dinamizar comunidades de usuarios de Internet entorno a una marca empresarial –o
a alguna otra causa-. Se convierte una especie de intermediario entre la marca
(la empresa –su cliente-) y el usuario (el cliente de su cliente). Su ámbito de
actuación también engloba lo relacionado con la “reputación online” de la organización que representa a través de
la avaluación del prestigio de la marca en el entorno online –sea personal o
corporativa-, debiendo conocer la opinión que los usuarios tienen sobre ella y
gestionar las incidencias que puedan suceder al respecto. Así las cosas, el community manager es la voz de la
empresa de cara al exterior y la del cliente para la propia organización.
Observamos pues, que el community manager gestionará los
perfiles que la empresa tenga en las distintas redes sociales. Esto implica que
tendrá a su disposición todas las contraseñas de ésta así como toda la
información y datos relativos a contactos, clientes, followers, amigos y fans de la organización que representa.
En consecuencia, su tarea de gestión de
contenidos incide claramente sobre cuestiones jurídicas relativas a la
protección de datos de los usuarios que interactúan, a la propiedad intelectual
e industrial, al honor, a la imagen, a la intimidad, a la privacidad, a los
derechos de los menores de edad, a la seguridad de la información, al comercio
electrónico, entre otras. No obstante, en el presente artículo nos centraremos
en la incidencia de la figura del community manager en materia de
protección de datos.
Si bien es cierto que a un community manager no se le puede exigir
que sea jurista ni que tenga competencias en este ámbito, sí es importante que el profesional conozca y sea consciente de que su
actividad repercute directamente sobre cuestiones legales y que debe actuar
en consecuencia.
2. POSICIONES JURÍDICAS DE LA EMPRESA, EL COMMUNITY MANAGER Y EL USUARIO EN LA LOPD
La normativa en materia de protección de
datos (esto es, la LOPD y su reglamento de desarrollo) prevé y destaca la
intervención de tres figuras principales: la del responsable del tratamiento,
la del encargado del tratamiento, y la del interesado.
De conformidad con el art. 3 d) LOPD y 5.1
q) RLOPD, es responsable del tratamiento de los datos de carácter personal la “persona
física o jurídica, de naturaleza pública o privada, u órgano administrativo,
que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso
del tratamiento, aunque no lo realice materialmente”.
No obstante
esta aproximación, el RDLOPD distingue dos tipos de responsables: el responsable del fichero (cuando no
realice materialmente el tratamiento de los datos personales) y el responsable del tratamiento (cuando sí
lo realice materialmente). En consecuencia, en los supuestos en que una empresa
contrate los servicios de un community
manager, dicha empresa será el responsable del fichero.
Por otro lado,
la LOPD prevé la figura del encargado del tratamiento en el art. 3 g ) LOPD y 5.1 i) RDLOPD
conforme a los cuales éste es “la persona
física o jurídica, pública o privada, u órgano administrativo que, solo o
conjuntamente con otros, trate los datos personal por cuenta del responsable
del tratamiento o del responsable del fichero, como consecuencia de la
existencia de una relación jurídica que le vincula con el mismo y delimita el
ámbito de su actuación por la prestación de un servicio.” En virtud de esta definición, la intervención
del community manager tiene perfecto
encaje en la figura del encargado del tratamiento por cuanto en entornos
digitales, ha sido contratado por una empresa a la que representa con el fin de
tratar y gestionar los contenidos y datos de los usuarios que forman parte de
una comunidad virtual.
Finalmente, y a los meros efectos de protección
de datos, los usuarios que forman parte de la comunidad virtual de una
determinada marca serán los afectados o interesados. Es decir, las personas
físicas titulares de los datos que sean objeto del tratamiento que realizan los
community managers.
3. RÉGIMEN JURÍDICO DEL COMMUNITY
MANAGER COMO ENCARGADO DEL TRATAMIENTO
La figura del
encargado del tratamiento nació con el objetivo de dar respuesta al fenómeno de
la externalización de servicios (outsourcing)
por parte de empresas que siendo responsables del tratamiento de los datos de
carácter personal, encomendaban a un tercero la prestación de un servicio que
requería que éste accediera a datos personales (a ello se refiere expresamente
el art. 12.1 LOPD). En cuyo caso, se determina que estos supuestos no se
considerarán comunicación de datos. En definitiva, estos supuestos se pueden
extrapolar a la actuación del community
manager ya que para que pueda gestionar la reputación online así como
mantener el contacto con la comunidad virtual de la empresa que representa, es
necesario que acceda a datos de carácter personal (nombres, apellidos,
fotografías de perfil, avatar, correo electrónico, teléfono, etc.).
Sin embargo,
todo buen community manager deberá
tener en cuenta que la ley le exige que suscriba un contrato por escrito con la empresa (su cliente) en virtud del cual
se regule las condiciones en las que realizará el tratamiento de los datos
personales de su representado. En especial, habrá que constar lo siguiente:
- Descripción detallada de los servicios que prestará: su carácter remunerado o no, y duración;
- Indicación expresa de que tratará los datos conforme a las instrucciones de su cliente (la empresa, como responsable del fichero);
- Indicación expresa de que no utilizará los datos con fines distintos a los acordados, ni los comunicará a otras personas, ni subcontratará su tratamiento a un tercero (salvo autorización del responsable del fichero o se estipule expresamente esta posibilidad);
- Indicación de las medidas de seguridad que ha implementado;
- Obligación de guardar secreto respecto de los datos que le confíen;
- Obligación de destruir o devolver al responsable del fichero los datos personales cuando finalice la prestación del servicio del community manager.
El community managers deberá ser consciente
de que en caso de que destine los datos de los usuarios a otras finalidades,
los comunique o los utilice de forma que incumpla las cláusulas del contrato
con la empresa, se le considerará también responsable del tratamiento, lo que
implicará que pueda responder de las infracciones en las que hubiera incurrido
él personalmente. En consecuencia, los community manager también están sujetos
al régimen sancionador que establece la legislación española en materia de
protección de datos (art. 12.4 LOPD en relación con el art. 43 y ss LOPD).
Aunque la ley
determine que este tipo de prestación de servicios no se considera comunicación
de datos, el art. 20.1II declara expresamente que sí se tratará de un supuesto
de comunicación de datos cuando un community
manager accede a los datos con el objetivo de establecer un vínculo entre
él y los usuarios.
No hay que
pensar que la empresa se libere de responsabilidad ya que en caso de querer
contratar los servicios de gestión de comunicación 2.0 deberá cerciorarse que
dicha entidad o profesional le ofrecen garantías para el cumplimiento de la normativa
de protección de datos y, en todo caso, debe recordar que seguirá estando
sujeta al régimen sancionador de la LOPD.
4. ¿ES NECESARIO OBTENER EL
CONSENTIMIENTO DE LOS USUARIOS ANTES DE CONTRATAR LOS SERVICIOS DE UN COMMUNITY MANAGER?
Partiendo de la base de que el
art. 11.1 LOPD establece que los datos personales objeto de tratamiento
solamente se podrán comunicar a un tercero si se obtiene el consentimiento
previo del interesado, se nos puede plantear la duda de si las empresas
deberían obtener el consentimiento de sus clientes, seguidores y fans antes de
poder contratar los servicios de un community
manager para que trate y gestione sus datos personales. Es preciso pues,
interpretar la ley y ofrecer una aproximación al respecto de esta cuestión,
para nada baladí (y más, teniendo el cuenta que nos enfrentaríamos a la
comisión de una infracción muy grave –art. 44.4 b) LOPD- sancionada con una
multa de 300.001€ a 600.000€).
Anteriormente hemos determinado
(y así lo entendemos) que, si se cumplen todas las exigencias que impone la
normativa, la relación jurídica que existe entre la empresa/cliente y el community manager se englobaría dentro del
supuesto del art. 12.1 LOPD por cuanto, como quiera que para prestar sus
servicios el community manager debe
acceder necesariamente a los datos que dispone la empresa contratante, éste
supuesto no se considera una comunicación de datos y en consecuencia, no sería
imprescindible obtener el consentimiento de los clientes y usuarios de dicha
empresa.
No obstante, como el art. 12.1
LOPD tampoco indica expresamente que “no
será necesario obtener el previo consentimiento del interesado”,
intentaremos buscar un ulterior camino que pueda amparar el caso de una empresa
que haya prescindido de obtener el consentimiento de sus usuarios. Para ello,
vamos es preciso analizar si este supuesto podría encajar en alguna de las
excepciones a la obtención del consentimiento que prevé la normativa en materia
de protección de datos.
En este sentido, el art. 11.2
LOPD establece que no será preciso el consentimiento del interesado para ceder
o comunicar sus datos a terceros cuando:
- La cesión esté autorizada en una ley;
- Se trate de datos recogidos de fuentes accesibles al público;
- El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique;
- La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de sus funciones;
- La cesión se produzca entre administraciones públicas;
- La cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiológicos.
Visto lo anterior, se puede
considerar que nuestro supuesto podría tener encaje dentro de la excepción del
art. 11.2 a ).
Tanto es así que el hecho de que el art. 12.1 LOPD no lo considere como una cesión
o comunicación de datos, a través de una interpretación a sensu contrario, se puede entender que la está autorizando. En
consecuencia, la normativa en materia de protección de datos permitiría que una
empresa comunicara los datos de su comunidad virtual al community manager que hubiera contratado sin necesidad de recabar
el consentimiento de sus usuarios –y siempre que se cumpliera con el resto de
la normativa- por cuanto una ley como lo es la LOPD, autoriza dicha cesión
(art. 11.2 a )
LOPD en relación con el art. 12.1 LOPD).
Mayores malabares interpretativos
exige la excepción del art. 11.2 c) –en relación con el art. 10.4 a ) RLOPD-, puesto que
exigiría un estudio con mayor detenimiento y lo cierto es que la pretensión de
este artículo no es la de extendernos aquí, sino solamente ofrecer una ligera
aproximación al respecto.
En otro orden de cosas, al community manager sí se le exigirá que
obtenga el consentimiento de los interesados en aquellos casos en los que
pretenda publicar fotografías (p.ej.: de eventos que haya organizado la
corporación) en las que aparezcan los usuarios, o para etiquetarlos en las
mismas. Este consentimiento podrá obtenerlo a través de las oportunas
cláusulas, en las invitaciones a los eventos o, solicitándolo individualmente
por correo electrónico (si es posible).
5. RESUMEN FINAL
- La profesión de community manager repercute directamente sobre la protección de datos;
- El community manager se convierte en encargado del tratamiento y está sujeto al régimen sancionador de la LOPD;
- Él y la empresa deberán suscribir un contrato por escrito que regule su relación profesional y en especial, las cuestiones relativas al tratamiento de los datos de los usuarios;
- Aunque parece que la LOPD les dispensa de solicitar el consentimiento de los usuarios, recomendamos encarecidamente que se les informe al respecto y se obtenga su consentimiento de todas formas (ya se sabe: hombre o mujer precavidos valen por dos). Tampoco cuesta tanto y además, es más fácil, rápido y barato que hacer malabares de interpretación jurídica para esquivar expedientes sancionadores de la AEPD; y,
- El derecho a la protección de datos es un derecho incorporado constitucionalmente en el art. 18 CE que garantiza que toda persona pueda controlar sus datos personales y, en especial, el uso y destino que les dan los demás. Actuad en consecuencia.
6. DERECHOS DE AUTOR
Imágenes bajo licencia 123RF internacional.
La presente obra y su título están
protegidos por el derecho de autor. Las denominadas obras derivadas, es decir,
aquellas que son el resultado de la transformación de ésta para generar otras
basadas en ella, también se ven afectadas por dicho derecho.
Sobre
la autora:
Cristina Ribas Casademont, abogada colegiada nº 2998 del
Ilustre Colegio de Abogados de Girona, es especialista en Internet y Nuevas
Tecnologías en el despacho jurídico Ribas Casademont Advocats®. Si bien la
vocación por esta profesión le ha llevado a prestar sus servicios en el turno
de oficio de su ciudad, su pasión es la defensa de los internautas. Los delitos
informáticos, el comercio electrónico, la protección de los datos personales,
la propiedad industrial e intelectual, y las redes sociales son su campo de
estudio y trabajo habituales.
Es miembro de la Asociación de Expertos
Nacionales de la Abogacía TIC (ENATIC), ponente y colaboradora de medios de
comunicación como Legal Today, Diario Jurídico y LawyerPress donde publica
artículos jurídicos relacionados con Internet y las nuevas tecnologías.
Licenciada en Derecho por la Universitat de
Girona, Escuela de Práctica Jurídica (actual Máster de Acceso a la Abogacía) en
el Ilustre Colegio de Abogados de Girona y Máster en Derecho de Internet y las
Nuevas Tecnologías por el Instituto Europeo Campus-Stellae.
NOTA DEL EDITOR: La primera publicación de éste artículo
se ha producido en el Blog “Ribas Casademont Advocats” el 23 de junio
de 2013.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.