Una vez que los investigadores se convierten en los responsables del tratamiento de los datos recogidos en las redes sociales, deben decidir cuanto antes la base jurídica que legitimará el tratamiento posterior de esos datos. Sin embargo, e incluso antes de seleccionar la base jurídica (o las bases) para el tratamiento, los responsables deben considerar si el tratamiento implica datos personales de categorías especiales. En ese caso, los responsables deben ser conscientes de que el tratamiento está vetado por el artículo 9.1 del RGPD, a menos que se dé alguna de las circunstancias descritas en el artículo 9.2.
Una vez concluido que no hay datos de categorías especiales implicados o que se ha abordado adecuadamente el veto planteado. Los responsables deberán seleccionar la base jurídica adecuada para el tratamiento de datos. Esto debe hacerse con mucho cuidado, ya que la base jurídica no puede modificarse durante el tratamiento. Estos son algunos criterios que deben tenerse en cuenta para ello:
- La necesidad o utilidad del uso de los datos obtenidos de las redes sociales para la consecución de la finalidad o interés del tratamiento debe estar suficientemente justificada bajo el prisma de la base jurídica seleccionada.
- Los responsables deben sopesar cuidadosamente (1) la base de legitimación utilizada, frente a (2) los posibles riesgos derivados del tratamiento de datos.
- Además, los responsables deben considerar todas las salvaguardias adecuadas para garantizar que los intereses, derechos y libertades del interesado se preservan adecuadamente. Este equilibrio debe ser especialmente cuidadoso si el consentimiento del interesado actúa como base jurídica del tratamiento.
Los siguientes cuadros ofrecen una breve descripción de las distintas bases alternativas de legitimación en virtud del artículo 6 y de las circunstancias que eluden el veto creado por el artículo 9.1 del RGPD y su relación con el tratamiento de datos procedentes de las redes sociales
El consentimiento es la base jurídica más tradicional para el tratamiento de datos en el contexto de las redes sociales. Sin embargo, cuando los responsables pretenden tratar datos personales con fines de investigación, el interés público podría ser una excelente opción. Lamentablemente, requiere que se apliquen ciertas condiciones (véase la subsección “Protección de datos e investigación científica” en la parte de “Conceptos principales” de la parte general de estas directrices). El interés legítimo, por otra parte, es una base jurídica alternativa adecuada para el tratamiento en este contexto, pero no se puede suponer que sea siempre apropiada. Es probable que sea más apropiado cuando los responsables utilicen los datos de las personas de la manera que razonablemente se espera y que tenga el menor impacto posible en la protección de datos o en la privacidad, o cuando exista una justificación convincente para el tratamiento.[1]
Posibles bases legales (Art. 6 RGPD) | |
Bases legales para el tratamiento | Uso en el contexto de las redes sociales |
6.1.a –consentimiento | Probablemente, la base jurídica más popular para el tratamiento de datos, aunque su uso generalizado está siendo cada vez más cuestionado)[2] (véase la sección siguiente) |
6.1.e – el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento | Puede ser aplicable, pero deben observarse las siguientes precauciones: – El objetivo de interés público debe estar claramente identificado, así como la conexión con la investigación, – Deben justificarse los motivos por los que el uso de los datos procedentes de los medios sociales es necesario o muy conveniente para los objetivos perseguidos. -La base para el tratamiento ha sido establecida por la legislación de la Unión; o por una legislación de un Estado miembro a la que los responsables están sujetos. |
6.1.f – l tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño | Puede ser aplicable, y de hecho es la mejor alternativa al consentimiento como base de la legitimidad. Deben observarse las siguientes precauciones: – el responsable del tratamiento debe realizar y motivar una adecuada ponderación de (1) el interés legítimo perseguido y (2) la repercusión en los derechos y libertades fundamentales del interesado; esta ponderación debe realizarse con especial cuidado si se trata de datos de menores de edad |
Categorías especiales de datos (Art. 9 RGPD) | |
Bases legitimadoras | Uso en el contexto de las redes sociales |
9.1.a –consentimiento | Ampliamente utilizado |
9.2.e – el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; | Puede ser aplicable, pero hay que tener especial cuidado con las siguientes garantías: – respeto del principio de limitación de la finalidad (art. 5.1.b del RGPD), teniendo en cuenta las expectativas del interesado y el contexto (red social e impacto del perfil) en el que se han publicado los datos[3]; -medidas de agregación para reducir las posibilidades de reidentificación |
9.2.g – el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado; | Puede ser aplicable, siempre que los responsables del tratamiento observen las siguientes precauciones – debe identificarse claramente el interés público perseguido, así como la normativa aplicable; – debe estar suficientemente justificado que la investigación a través de las redes sociales es necesaria o muy adecuada para este fin – debe prestarse especial atención al desarrollo de medidas de protección contra impactos indebidos en los derechos fundamentales de los interesados. |
9.2.j – el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado | Es plenamente aplicable. Tiene la ventaja de que el principio de limitación de la finalidad es menos estricto (véase el artículo 5.1.b del RGPD) y de que permite el tratamiento de los datos con independencia del consentimiento de los interesados, siempre que el responsable del tratamiento observe las siguientes garantías – debe identificar claramente su finalidad (archivo, investigación científica, investigación histórica o fines estadísticos) – debe justificar la proporcionalidad del tratamiento de datos en relación con la finalidad prevista – debe justificar la utilidad del uso de las redes sociales en la investigación; – debe desarrollar medidas para evitar impactos indebidos en los derechos fundamentales de los interesados, centrándose en (1) un nivel suficiente de agregación, y (2) otras salvaguardias para evitar la reidentificación – debe seguir estrictamente las prescripciones del art. 89 del RGPD |
- ICO: Legitimate interests, at: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/ ↑
- See, on data processing for health purposes in the American privacy system, Charlotte A. Tschider, ´The consent myth: improving choice for patients of the future´ (2019) 96 Washington University Law Review 1506. ↑
- Recientemente, la Agencia Española de Protección de Datos ha multado a Equifax por utilizar datos de solvencia publicados por fuentes oficiales para alimentar sus propios ficheros, por vulneración del principio de limitación de la finalidad en la medida en que se trata de un uso incompatible de los datos a pesar de ser datos de acceso público. El criterio de esta Resolución también puede ser aplicable si se utilizan datos publicados por el propio interesado, en la medida en que los usos derivados de dichos datos son incompatibles. ↑