¡Dominio público no significa datos públicos!
Home » Redes sociales » Acceder a los datos. Algunos consejos esenciales » ¡Dominio público no significa datos públicos!

El concepto de “dominio público” debe analizarse adecuadamente en el contexto de las redes sociales. Si el investigador o innovador de las TIC ha tenido que registrarse en una comunidad de usuarios para tener acceso a datos concretos, estos datos no son públicos: son datos que los interesados han querido compartir exclusivamente con una comunidad de usuarios y en los términos y condiciones que determina la red social en cuestión, que se aceptan en el momento en que los usuarios crean sus perfiles. Si los investigadores pueden acceder a un perfil o a otro tipo de datos de las redes sociales en un sitio simplemente porque son usuarios registrados, esto no es lo mismo que esa información esté disponible públicamente. Por lo tanto, es absolutamente esencial que el investigador o innovador de las TIC tenga un conocimiento preciso de estos términos y condiciones, que pueden diferir sustancialmente de una red social a otra.

Además, aunque los datos sean de dominio público, esto no significa en absoluto que se puedan utilizar para fines distintos de aquellos para los que se han hecho públicos. Esto es extremadamente importante, ya que de lo contrario podrías enfrentarte a responsabilidades legales.

El caso Equifax: utilizar datos del espacio público no legitima necesariamente el tratamiento

Equifax es una empresa que obtuvo datos del portal de información que utilizan las administraciones públicas para transmitir información a los ciudadanos. A partir de estos datos creó un fichero que supuestamente transmitía información sobre la solvencia de los ciudadanos. Todo ello, sin informar a los interesados de estos tratamientos y utilizando como base de legitimación el interés legítimo de la empresa. El 26 de abril de 2021, la Agencia Española de Protección de Datos (AEPD) multó a Equifax con 1 millón de euros por incumplimiento de la normativa de protección de datos, prohibió seguir utilizando este fichero, ordenó la eliminación de todos los datos de los afectados y ordenó a Equifax que notificara a todas las empresas que hubieran consultado su fichero el contenido de esta Resolución para que hicieran lo mismo y dejaran de utilizar estos datos.

Esta sentencia es de gran importancia por varios motivos. La primera es que se trata de la primera gran sanción derivada del cambio de criterio que ha supuesto el RGPD y la normativa nacional en cuanto al uso de fuentes de acceso público: el hecho de que los datos sean accesibles al público no significa que se puedan utilizar para cualquier fin y sin más explicaciones. En la anterior ley española, la LDPD de 1999, este criterio no era tan claro y parecía lo contrario.

En su Resolución, la AEPD recordó que (1) cualquier uso secundario de los datos debe ser compatible con la finalidad original para la que fueron recogidos (principio de limitación de la finalidad del tratamiento de datos, artículo 5.1.b del RGPD), (2) debe tener su base de legitimación (no basta con alegar que los datos proceden de fuentes de acceso público), y que (3) el interesado debe ser notificado del uso secundario de sus datos. La multa de 1 millón de euros se basó en el incumplimiento del principio de limitación de la finalidad.

 

Ir al contenido