José Antonio Castillo Parrilla e Iñigo de Miguel Beriain (UPV/EHU)

La versions preliminaries del documento fueron revisadas por Dr Denise Amram, DPD, investigador afiliado de LIDER Lab – DIRPOLIS Institute, Scuola Superiore Sant’Anna (Italia) y DPD de Derecho privado comparado en la Scuola Superiore Sant’Anna y el Prof. Giovanni Comandé, Dirpolis, Sant’Anna School of Advanced Studies, Pisa, Italia.

Esta parte de la Directrices fue validada por Iñaki Pariente, ex director de la Agencia Vasca de Protección de Datos

Las redes sociales pueden describirse como plataformas en línea que permiten el desarrollo de redes y comunidades de usuarios, entre los que se comparte información y contenidos. Otras funciones de las redes sociales son la personalización, la analítica y la publicación (principalmente a través de servicios de segmentación), lo que permite llevar a cabo iniciativas autónomas u ofertas de servicios más amplias. Las redes sociales permiten a los individuos crearse cuentas para interactuar con otros usuarios y desarrollar y ampliar conexiones y redes. Los usuarios comparten datos con los administradores de la red y con otros usuarios con fines totalmente diferentes. El contenido que comparten los individuos puede ser creado por ellos mismos (contenido generado por el usuario) o no.^[1]

Por otro lado, es importante mencionar que el objetivo principal de los datos colocados en una red social es permitir que las personas interactúen, que se relacionen. De hecho, un usuario establece dos tipos de relaciones: una relación vertical con la empresa propietaria de la red, y una relación horizontal con otras personas con las que quiere interactuar. Esta relación puede ser general (perfiles abiertos) o particular (perfiles con acceso limitado). Dependiendo del tipo de interacción que se produzca, la situación jurídica del tratamiento de los datos será probablemente diferente.

En general, las redes sociales son óptimas para las prácticas de extracción masiva de datos. De hecho, existen herramientas de software que pueden recoger automáticamente los datos de los usuarios de la red en los espacios públicos en línea. Además, la mayoría de las redes sociales permiten la utilización de interfaces de programación de aplicaciones, o APIs^[2], que simplifican el desarrollo y la innovación del software y hacen posible que las aplicaciones intercambien datos y funcionalidades de forma fácil y segura. Estas circunstancias hacen que las redes sociales sean especialmente atractivas para algunos tipos de investigación, pero también crean exigentes retos en cuanto a cuestiones de protección de datos.

Esta parte de las Directrices está destinada a ayudar a los investigadores o innovadores de las TIC que utilizan datos personales obtenidos de las redes sociales. Cabe mencionar que no abordaremos aquí el uso de las redes sociales para recopilar datos (como, por ejemplo, mediante el uso de encuestas de Google para obtener datos sobre un conjunto específico de preguntas de personas reales). Esto se debe a una sencilla razón: en estos casos, los datos en sí no proceden de una red social, sino a través de una red social. De hecho, las redes sociales sólo actúan como una herramienta para recopilar esos datos. Por lo tanto, estos datos no son tan diferentes de cualquier otro dato recogido por una vía más tradicional (como una encuesta en papel) y, por lo tanto, no merecen una atención especial aquí.

Si los desarrolladores de TIC que consultan estas Directrices tienen previsto utilizar herramientas de IA para procesar los datos obtenidos de estas redes, deben consultar la parte de las Directrices dedicada a la Inteligencia Artificial (IA). Si tienen previsto utilizarlas para fines relacionados con la biometría, la Internet de las cosas o la localización geoespacial, deberán consultar las partes de estas Directrices dedicadas a esos temas. Para evitar repeticiones innecesarias, dejamos esos temas fuera de este análisis.

DESCARGO DE RESPONSABILIDAD

Esta parte de las Directrices se redactó en un momento en el que no se había aprobado el Reglamento sobre privacidad electrónica. Puede ocurrir que, en el momento de utilizar esta herramienta, el Reglamento esté en vigor. Si es así, habrá que tener en cuenta los posibles cambios que éste haya producido en el marco normativo. Hasta que el Reglamento sobre privacidad electrónica entre en vigor, existirá una situación fragmentada. De hecho, las autoridades de control se enfrentan ahora a una situación en la que la interacción entre la Directiva sobre privacidad electrónica y el RGPD coexisten y plantean cuestiones relativas a las competencias, las tareas y las facultades de las autoridades de protección de datos en aquellas cuestiones que desencadenan la aplicación tanto del RGPD como de las leyes nacionales de aplicación de la Directiva sobre privacidad electrónica.

1. EDPB Guidelines 8/2020 on the targeting of social media users, p. 3. ↑
2. Ver en APIs: Oscar Borgogno & Giuseppe Colangelo, Data Sharing and Interoperability Through APIs: Insights from European Regulatory Strategy, Stanford-Vienna European Union Law Working Paper No. 38, http://ttlf.stanford.edu; Russell, N. Cameron and Schaub, Florian and McDonald, Allison and Sierra-Pambley, William, APIs and Your Privacy (February 5, 2019). Disponible en SSRN: https://ssrn.com/abstract=3328825 or http://dx.doi.org/10.2139/ssrn.3328825 ↑