En principio, es perfectamente posible recopilar diferentes tipos de datos a través de las redes sociales. De hecho, estos pueden ser datos personales y no personales. La comprensión de los datos como no personales tiene una gran importancia a nivel jurídico y, obviamente, para la elaboración de estas directrices, en la medida en que el RGPD no sería aplicable, pero sí el Reglamento de la UE 2018/1807. En la práctica, esta división entre estos dos tipos de datos se está difuminando debido al creciente uso de la tecnología de análisis de datos, que permite una mayor capacidad de procesamiento de datos y extrapolación de resultados (privacidad de grupo). Esta situación difumina la línea entre los datos personales y los no personales hasta el punto de que, por ejemplo, los perfiles son cada vez más precisos, aunque no estén vinculados a ningún individuo concreto y, por tanto, no sean datos personales.
El límite para considerar los datos como personales reside en su capacidad para identificar directa o indirectamente a una persona y, en particular, si los costes y el tiempo que conlleva dicha identificación no son excesivos[1]. Sin embargo, este tipo de clasificación no es tan fácil de aplicar en la práctica. Para empezar, algunos datos que parecen anónimos a primera vista pueden ser desanonimizados[2] (véase la subsección “Identificación, pseudonimización y anonimización” en la sección “Conceptos principales” de la parte general de estas directrices). Además, los datos personales como concepto jurídico gozan de una especie de naturaleza expansiva en la medida en que la hiperproducción de datos y la capacidad de procesarlos y analizarlos crece constantemente, lo que reduce los costes y el tiempo necesarios para identificar a una persona a partir de cualquier conjunto de datos (personales o no personales)[3].
Teniendo todo esto en cuenta, hay que concluir que, en el caso de las redes sociales, el tratamiento de datos personales es generalmente la norma. Esto es especialmente cierto si tenemos en cuenta que en este contexto es habitual que los usuarios se registren con un conjunto de datos personales. Es muy posible que (1) muchos de estos datos no sean estrictamente necesarios para iniciar la sesión y, por lo tanto, no cumplan el principio de minimización de datos (art. 5.1.c del RGPD) o que (2) los datos se utilicen para fines que van más allá del mero inicio de sesión, incumpliendo en este caso el principio de limitación de la finalidad (art. 5.1.b del RGPD). Por último, la elaboración de perfiles personales puede alcanzar un alto nivel de precisión con independencia del tipo de datos utilizados para la elaboración de dichos perfiles. Para ello es necesario tener en cuenta las siguientes precauciones:
- Los responsables deben asumir por defecto que están tratando datos personales y actuar en consecuencia.
- Sólo es aconsejable evitar este supuesto si los datos que se van a utilizar y los datos inferidos por los responsables son totalmente no personales (por ejemplo, datos meteorológicos). En estos casos, los responsables deben documentarlo en los registros del tratamiento.
- Si los datos que se van a tratar se refieren a personas fallecidas o a personas jurídicas, deben tomarse precauciones para evitar que estos datos se vinculen a personas físicas (por ejemplo, familiares de personas fallecidas o personas físicas vinculadas a personas jurídicas).
- Si los datos que se van a tratar están relacionados con personas fallecidas, también deben tenerse en cuenta las normas nacionales de tratamiento de datos, ya que los datos de personas fallecidas no son datos personales según el RGPD.
- Debe definirse un nivel de granularidad en la elaboración de perfiles que garantice suficientemente la privacidad de las personas que puedan estar potencialmente vinculadas a dichos perfiles.
- Deberán elaborarse protocolos para evitar o reducir la posibilidad de reidentificación de los usuarios cuyos datos hayan sido tratados para la elaboración de perfiles. Deberán incluir un compromiso jurídicamente vinculante de no buscar dicha reidentificación y la adopción de medidas dedicadas a evitar la reidentificación involuntaria.
Además de la distinción inicial entre datos personales y no personales, debe tenerse en cuenta, dentro de los primeros, si se trata de categorías especiales de datos. Esta distinción es importante en la medida en que las condiciones de tratamiento de los datos varían según se trate o no de categorías especiales (artículo 9 del RGPD).
Por último, cabe hacer una consideración sobre los datos derivados o inferidos. Ha habido cierta controversia sobre si los datos derivados, y especialmente los perfiles personales, deben considerarse o no propiedad intelectual. Independientemente de ello, conviene recordar que, según el artículo 4, apartado 1, del RGPD, estos datos son datos personales en la medida en que se refieren a una persona identificada o identificable. Cabe añadir que es posible hacer inferencias relacionadas con lo que el artículo 9 del RGPD considera categorías especiales de datos a partir de datos personales ordinarios o incluso de datos no personales combinados con otros datos personales (privacidad de grupo). En la medida en que estas inferencias se refieran a una persona identificada o identificable, deben tratarse como categorías especiales de datos, independientemente de que se entiendan (o no) como objetos de propiedad intelectual.
- Véase el Considerando 26 del RGPD. ↑
- Véase el Considerando 26 del RGPD: “Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable” ↑
- Consúltese: G. Comandé (Editor) Encyclopedia of Data Science and Law Edwards Eldgar, 2021; forthcoming; G. Comandé – G. Malgieri, “Sensitive-by-distance: quasi-health data in the algorithmic era” (2017), in Information & Communications Technology Law, Vol. 26, Iss. 3, p. 229-249; G. Comandé – G. Schneider, “Regulatory Challenges of Data Mining Practices: The Case of the Never-ending Lifecycles of ‘Health Data’” (2018), in European Journal of Health Law, Volume 25, Issue 3, pages 284 – 307. ↑