El informe jurídico 0241/2011 de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación de una empresa a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en el contexto de la creación de una cuenta en una red social con fines publicitarios. La empresa consulta si puede invitar a todo el mundo y si dicha invitación puede reproducirse de forma viral.
La AEPD establece que la empresa, al actuar en nombre de una entidad comercial, no está exenta de las obligaciones de protección de datos, a diferencia de los usuarios que actúan en un ámbito puramente personal o familiar. Por lo tanto, la empresa debe cumplir con las obligaciones impuestas por la Ley Orgánica 15/1999, como la obtención del consentimiento inequívoco, específico, informado y libre de los afectados para el tratamiento de sus datos personales.
El consentimiento debe ser obtenido antes de que los usuarios se conviertan en «amigos» o «seguidores» de la página de la empresa. Este consentimiento debe incluir información clara sobre la finalidad del tratamiento de datos, la identidad del responsable del tratamiento, y los derechos de acceso, rectificación, cancelación y oposición. La información debe ser accesible y comprensible para los usuarios antes de que presten su consentimiento.
En cuanto a las invitaciones, la AEPD señala que el envío de comunicaciones publicitarias por correo electrónico u otros medios electrónicos está regulado por la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico. Esta ley prohíbe el envío de mensajes comerciales sin el consentimiento previo y expreso de los destinatarios, salvo en casos de relaciones contractuales previas y bajo ciertas condiciones.
La empresa debe asegurarse de que cualquier mecanismo de invitación o mensajería en la red social cumpla con estas normativas. Además, si la empresa importa datos de otros ficheros (como libretas de direcciones), debe obtener el consentimiento de los afectados para la cesión de estos datos a la red social.
La AEPD también subraya la importancia del deber de secreto y la configuración adecuada de los parámetros de privacidad en la red social. La empresa debe garantizar que los datos de sus «amigos» o «seguidores» no sean accesibles a terceros no autorizados y que cualquier incorporación de estos datos a sus propios sistemas se haga con el consentimiento de los afectados.
En resumen, la empresa debe asegurarse de cumplir con todas las obligaciones legales en materia de protección de datos, obteniendo el consentimiento adecuado, informando claramente a los usuarios, y respetando las normativas sobre envío de comunicaciones comerciales y cesión de datos.