A raíz del siguiente tweet publicado esta mañana:

LOPD_medios_sociales
Creímos acertado postear en nuestro blog un artículo de nuestros colaboradores @Desaconsultores que publicaron hace casi un año  y que a día de hoy todavía tiene vigencia ( y la seguiré teniendo).

Nos volvemos locos con generar concursos y utilizar herramientas para mejorar nuestra BBDD, pero se nos olvida que estamos tratando con datos de usuarios y que a veces,  el uso que le podamos dar a ciertas plataformas pueden rozar la ilegalidad para la Ley de Protección de Datos. Aprendamos algo más leyendo este caso real:

Situación inicial:

Una empresa fabricante de muebles, hizo hace un año su primera inmersión en el mundo de las redes sociales. Hasta este momento, la gestión y dinamización de los diversos perfiles que tenia online había sido llevada a cabo por personal interno sin planificación ni planes estratégicos definidos.

Se requirió nuestra presencia para iniciar un proyecto de adecuación a la Ley de Protección de Datos (LO 15/1999 de 13 de diciembre) de la estructura y verificar si los procedimientos que se estaban llevando a cabo en la gestión de los datos que se recogían vía RRSS eran conforme a la normativa o no.

Análisis:

Durante la fase de trabajo de campo del proyecto de implantación LOPD, además de verificar y normalizar los procedimientos de gestión de datos personales e información dentro de la estructura, se pasa a revisar la forma en que la empresa está comunicando con los usuarios de las redes sociales en las que tienen presencia. Esta revisión no prevé en principio entrar en temas de gestión de marketing, sino comprobar la gestión de los datos personales de los usuarios (followers, fans, etc) que se está llevando a cabo.

Las comprobaciones que se realizan son las siguientes:

La empresa cuenta con más de 300 seguidores de la marca en Twitter y aproximadamente 200 fans en la página de Facebook que tiene abierta.
La empresa está usando los perfiles de los fans en Facebook para sectorializar sus potenciales clientes y enviando publicidad personalizada. En este caso están haciendo un estudio uno a uno de sus fans y segmentándolos en diferentes listas de potenciales a los que a cada uno le asignan una gama de producto (mueble juvenil, mueble de oficina, etc).
Todos los seguidores de la marca en Twitter, reciben cada mes un DM donde se les dirige al catálogo general, con las ultimas ofertas publicadas.

Consideraciones:

El alta de usuarios en las diferentes redes sociales y su afiliación a una marca o empresa, no presupone de ninguna manera la intención de recibir información o publicidad personalizada de la misma. Por tanto, la captación legal de los datos para poder gestionarlos después de forma acorde con la normativa, habría que realizarla de forma diferente. Vamos a analizar los casos por separado:

El usuario de Twitter, sigue a una marca o empresa con la intención de recoger información interesante para, en algunos casos, poder ayudarse en una futura decisión de compra. Sin embargo, el envío de forma sistemática (en este caso mensual) de mensajes directos (DM en la terminología Twitter), puede suponer un caso de SPAM tal como viene reflejado en el artículo 21 de la LSSICE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico 34/2002 de 11 de Julio), donde expresamente viene reflejado:

“Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.…”

Los usuarios de Facebook, registrados en la FanPage de la marca, son objeto sin saberlo de una serie de tratamientos de sus datos personales (correo electrónico, edad, población, etc) por parte de la marca. Este tratamiento es necesario para segmentar los mensajes que posteriormente y de forma personalizada la marca envía a los usuarios. En este caso nos encontrarnos otra vez con el mismo problema con las comunicaciones reflejado en el punto anterior cuando hablábamos de Twitter (comunicaciones no deseadas, art. 21 LSSICE), pero además vemos que se está realizando un tratamiento de los datos a espaldas de los usuarios registrados. Dicho tratamiento incumple varios preceptos de la LOPD y de su Reglamento de Desarrollo (RD 1720/2007 de 21 de diciembre).

Por un lado tenemos una recogida de datos personales sin cumplir con el deber de información al usuario (art. 5 LOPD)

“Artículo 5. Derecho de información en la recogida de datos.

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.…”

Esta recogida de datos, sin el permiso explicito del usuario está reflejada en el art. 44.2 de la LOPD como infracción leve y sancionada con multas de 900 a 40.000 €.

Otro precepto que incumple en el caso que nos ocupa, es el reflejado en el art. 44.3.d de la antedicha LOPD. En este caso se está realizando un tratamiento de los datos y una segmentación en perfiles sin la debida comunicación a los usuarios. Este tratamiento está contemplado como infracción grave y puede ser sancionado con multas de 40.001 a 300.000€, según apreciación del director de la Agencia Española de Protección de Datos (www.aepd.es).

Solución propuesta:

Para el problema planteado, se determinó que la mejor opción era dar a los usuarios de ambas redes sociales, la posibilidad de inscribirse en un boletín informativo de la empresa, donde mediante los clausulados adecuados, se garantizarían los derechos de los mismos: Acceso, Rectificación, Cancelación, Oposición y otros (arts. 13 a 19 LOPD), mediante el cumplimiento de la obligación de informar de dicho tratamiento por parte de la empresa (art. 5 LOPD).

En el formulario de alta de este boletín informativo, se podría recoger los datos necesarios según la empresa, para realizar las prospecciones de marketing necesarias y recoger los perfiles de sus potenciales clientes.

Así pues, las informaciones que los usuarios recibirán en sus perfiles de Twitter o Facebook, serían mensajes generalistas (ofertas, presentaciones de productos, novedades, etc), pero nunca comunicaciones comerciales directas. De forma periódica, eso sí, se les invitaría a darse de alta en el boletín de la empresa.

Fuente original: Blog Desaconsultores