El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0184/2013 aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal a la creación de una red social que incluirá perfiles de personas físicas, profesionales o autónomos y empresas. La consulta plantea diversas dudas sobre cómo se deben manejar los datos personales en este contexto.
### Responsabilidades del Proveedor de la Red Social
El proveedor del servicio de red social es considerado responsable del tratamiento de datos, según el artículo 3.d) de la Ley Orgánica 15/1999. Esto implica que debe cumplir con todas las obligaciones y deberes establecidos en dicha normativa, incluyendo la obtención del consentimiento inequívoco de los usuarios para el tratamiento de sus datos personales. Este consentimiento debe ser libre, específico, inequívoco e informado, y debe incluir información clara sobre las finalidades del tratamiento y los derechos de los usuarios.
### Usuarios Personas Físicas
Para los usuarios personas físicas, el tratamiento de datos personales de terceros puede quedar excluido de la normativa de protección de datos si se realiza en el ámbito de actividades personales o domésticas. Sin embargo, si los datos se publican en un perfil de libre acceso o si el número de contactos es muy alto, se considera una cesión de datos que requiere el consentimiento del interesado.
### Profesionales, Autónomos y Empresas
Cuando los usuarios actúan en nombre de una empresa o utilizan la red social con fines comerciales, políticos o sociales, asumen todas las obligaciones de un responsable de datos. Esto incluye obtener el consentimiento de los interesados y cumplir con las medidas de seguridad necesarias para proteger los datos personales.
### Tratamiento de Datos y Consentimiento
El tratamiento de datos personales debe estar fundado en alguna de las causas legitimadoras previstas en la Ley Orgánica 15/1999, siendo el consentimiento el fundamento principal. El proveedor de la red social debe informar a los usuarios sobre la existencia del tratamiento, sus finalidades y los derechos que les asisten, facilitando una política de privacidad accesible y clara.
### Derechos de los Interesados
Los usuarios tienen derechos de acceso, rectificación, cancelación y oposición, que deben ser facilitados por el proveedor de la red social. Además, el tratamiento de datos debe respetar el principio de conservación, cancelándose los datos cuando dejen de ser necesarios para la finalidad para la que fueron recabados.
### Medidas de Seguridad
El proveedor de la red social debe adoptar medidas de seguridad adecuadas para garantizar la protección de los datos personales y evitar accesos no autorizados. Estas medidas deben ser proporcionales al riesgo y a la naturaleza de los datos tratados.
### Responsabilidad y Sanciones
La difusión de datos personales en una red social que no se ajuste a los principios de la Ley Orgánica 15/1999 puede dar lugar a infracciones imputables al responsable del tratamiento. Además, la publicación de vídeos o fotografías de terceros sin su consentimiento puede infringir derechos fundamentales como el honor, la intimidad y la propia imagen.
### Conclusión
El informe subraya la importancia de que el proveedor de la red social y los usuarios cumplan con las obligaciones establecidas en la Ley Orgánica 15/1999 para garantizar la protección de los datos personales. Esto incluye obtener el consentimiento adecuado, informar a los usuarios sobre sus derechos y adoptar medidas de seguridad apropiadas. La AEPD recomienda que se establezcan parámetros de confidencialidad por defecto y que se advierta a los usuarios sobre los riesgos de compartir información personal en línea.