El targeting de usuarios en redes sociales.

10/09/2020
-

Recientemente el Comité Europeo de Protección de Datos publicaba dos Guías que darán mucho de qué hablar y que actualmente se encuentran en fase de consultas. En esta ocasión, vamos a centrar nuestra atención en la Guía 08/2020 sobre targeting de usuarios en redes sociales, dada la importancia que ha adquirido en los últimos años el desarrollo de las redes sociales en el entorno online.

El mundo online resulta extremadamente complejo, y el intercambio y análisis de datos provenientes de diversas fuentes, junto con la información personal potencialmente sensible, además de la intervención de numerosos actores puede suponer un riesgo para los afectados relacionados con la pérdida de control de sus datos y la falta de transparencia.

En este sentido, la publicación de esta Guía tiene como fin arrojar cierta luz sobre los diferentes roles adoptados por cada uno de los actores que intervienen y definir cuáles son las responsabilidades de cada uno. Para ello, utiliza prácticos ejemplos sobre situaciones reales en las cuales se producen intercambios de datos, y analiza los roles y responsabilidades de cada interviniente. La navegación por distintas webs de terceros que posteriormente se traducen en anuncios dirigidos y personalizados en las redes sociales, la utilización de social plug-ins, cookies o dispositivos de seguimiento para identificar e impactar a los usuarios, o el intercambio de listados de emails de clientes con las redes sociales para redirigir las campañas, son algunos de los ejemplos incluidos en la misma.

A lo largo del documento, se analiza la existencia de los principales actores que intervienen: los proveedores de servicios de redes sociales (Facebook, Twitter, TikTok), los usuarios, los que buscan captar la atención de los usuarios (los anunciantes, marcas, partidos políticos), y otros actores que intervienen para que todo esto sea posible (Ad networks, ad exchanges, DSPs and SSPs, DMPs, brokers de datos, y un largo etcétera de empresas del mundo adtech), y cuál es su papel en este tipo de actividades.

Si comparamos con la Directiva 95/46/CE, la antigua LOPD o guías o informes de aquel momento, resulta cuanto menos destacable que la palabra “processor” o encargado del tratamiento aparezca mencionada en únicamente dos ocasiones dentro del texto. Y es que esta nueva Guía viene a confirmar la importancia que la figura de Corresponsabilidad del Tratamiento ha obtenido con el RGPD.

Resulta importante destacar que la cosa no resulta sencilla, puesto que cada situación es un mundo, y con el fin de determinar qué rol adopta cada parte y cuál es su responsabilidad, como siempre, es necesario analizar quién es el que determina los fines y medios del tratamiento, no solo en el momento de mostrar la publicidad en una red social, sino también desde el momento en que se recogen los datos fuera de la plataforma, o se define el público objetivo a quien va a mostrarse esta publicidad. El concepto de corresponsabilidad no necesariamente implica una responsabilidad igual entre las partes afectadas, sino que cada una podrá serlo únicamente de la parte que le corresponda dentro de las operaciones llevadas a cabo, en función de si determinan los fines y medios del tratamiento.

A modo de ejemplo, se cita un importante caso resuelto por el Tribunal de Justicia de la Unión Europea, conocido como Fashion ID, en el cual se analizaba la instalación del botón “Me gusta” de Facebook en la página web de un tercero. Cuando un usuario accedía a dicha web, el sitio web comunicaba automáticamente información sobre dicho usuario a Facebook, con independencia de que el usuario hubiera clicado sobre el “Me gusta”. En esta ocasión, tras el análisis realizado por el Tribunal, se determinó que el administrador de la página web era corresponsable del tratamiento junto con Facebook por la recogida y posterior comunicación de los datos a través de dicha web. No obstante, la responsabilidad del administrador del sitio web se limitaba a la recogida y transmisión de los datos, y por tanto era su deber informar y recoger el consentimiento previo del usuario. Una vez que los datos eran recibidos por Facebook, en la medida en que el administrador del sitio web no estaba en posición de determinar los fines y medios de dicho tratamiento, la responsabilidad del mismo correspondía únicamente a Facebook.

Este caso ha supuesto un antes y un después para este tipo de operaciones, y lo que resulta claro es que el análisis y estudio previo desde el mismo diseño del proyecto o iniciativa resultará determinante para definir de forma clara los roles y responsabilidades de cada actor interviniente, resolviendo, por tanto, a quién corresponde el cumplimiento de las obligaciones del RGPD como el deber de informar, o recabar los consentimientos necesarios.

Loreto Jiménez Muñoz | Head of Privacy | L-A

Let’s start?

Tell us more about your business and we will contact you within 24 hours.