Las investigaciones basadas en datos recogidos a través de las redes sociales suelen implicar el tratamiento de muchos datos personales. Esto crea un escenario complejo. Los responsables deben ser conscientes de que, aunque sea difícil de conseguir, los interesados deben poder entender cómo y para qué se utilizan sus datos personales. En general, esto significa que los investigadores deben utilizar herramientas capaces de proporcionar ese conocimiento de la manera más fácil posible. La explicabilidad es especialmente importante en el caso del tratamiento automático de datos o la elaboración de perfiles. “Los métodos para dar información, ofrecer el derecho a negarse o solicitar el consentimiento deben ser lo más fáciles de usar posible. Por lo tanto, las políticas de información deben centrarse en información comprensible para el usuario y no deben limitarse a una política general de privacidad en el sitio web de los responsables”.^[1]

Si los responsables “planean” llevar a cabo un tratamiento con fines distintos de aquellos para los que se recogieron los datos de la red social, deben informar previamente a los usuarios o a los interesados de ese nuevo tratamiento, facilitando información y cumpliendo todos los demás requisitos, como tener una base jurídica para esa nueva finalidad o llevar a cabo una evaluación de la compatibilidad (véase el subapartado “Principio de limitación de la finalidad” de la sección de Conceptos Principales de la Parte General de estas Directrices). Por supuesto, los requisitos de transparencia están claramente relacionados con el principio de lealtad, ya que cuanto más difícil sea para el usuario comprender el tratamiento de los datos, mayor será la diferencia entre los distintos tipos de usuarios. En general, “cuanto mayor es la cantidad de datos, más difícil es una visión clara e inteligible en forma de texto. Los símbolos ofrecen una forma de representar las categorías de datos personales de forma sencilla y reconocible. Esto requiere representaciones gráficas significativas y autoexplicativas de los datos.”^[2]

Según el RGPD, la información que un responsable del tratamiento debe proporcionar a los interesados varía en función de si esta información se ha obtenido de ellos o no. Si los datos personales no se obtienen del usuario (art. 14 del RGPD), como en el caso de recibir los datos de una red social, los responsables deben estar especialmente atentos a proporcionar al interesado la información adecuada, sobre todo porque se está realizando una recogida masiva de datos. Así, los responsables del tratamiento deberán informar al usuario de lo dispuesto en el art. 14 del RGPD^[3].

Sin embargo, es necesario mencionar que a veces puede ser extremadamente difícil para un responsable del tratamiento que ha recogido los datos de una red social informar a los interesados sobre el tratamiento. Si este es el caso, podría recordar el artículo 14. 5 (b), que establece que “el suministro de dicha información resulta imposible o supondría un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, con sujeción a las condiciones y garantías contempladas en el apartado 1 del artículo 89 o en la medida en que la obligación contemplada en el apartado 1 del presente artículo pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento” (véase la subsección “Protección de datos e investigación científica” de la sección de Conceptos principales de la Parte General de estas Directrices).

En estos casos, los responsables deberán adoptar las medidas adecuadas para proteger los derechos y libertades y los intereses legítimos del interesado, incluida la puesta a disposición del público de la información (véase la subsección “Derecho a la información” de la sección Derechos de los interesados de la Parte General de estas Directrices). Así pues, en principio, los responsables podrían evitar facilitar información sobre el tratamiento a los interesados si esto resulta imposible, pero sólo si adoptan las medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos, incluida la puesta a disposición del público de la información.

No obstante, hay que tener en cuenta que en algunas jurisdicciones el esfuerzo desproporcionado puede interpretarse de forma restrictiva. Por ejemplo, hubo una decisión reciente (marzo de 2019) de la Autoridad de Protección de Datos polaca cuando multó a una empresa de raspado de datos con 220 mil euros por no proporcionar avisos de privacidad a 5,7 millones de personas cuyos datos fueron raspados de un registro público. La APD polaca rechazó el argumento de que la colocación de un aviso de privacidad en el sitio web de la empresa de raspado de datos era suficiente para notificar a los individuos, especialmente cuando estos no eran conscientes de que sus datos habían sido raspados y estaban siendo procesados.^[4]

Lista de control: lealtad y trasparencia Lealtad ☐ Los responsables realizan auditorías destinadas a detectar sesgos en los conjuntos de datos construidos y/o en las conclusiones del análisis ☐ Los responsables han implementado medidas adecuadas para evitar sesgos provocados por el uso de herramientas de IA. Transparencia ☐ Los responsables del tratamiento proporcionan: una visión panorámica de qué datos personales se han comunicado a qué responsables y bajo qué políticas; acceso en línea a los datos personales y a cómo se han tratado; capacidades de contraperfilado que ayudan al usuario a anticipar cómo sus datos coinciden con los perfiles de grupos relevantes, lo que puede afectar a futuras oportunidades o riesgos ☐ Si los datos personales no fueron facilitados por el interesado, los responsables facilitaron toda la información enumerada en el artículo 14.1 del RGPD; ☐ Si los datos personales no son proporcionados por el sujeto de los datos, la información se proporciona en un plazo razonable después de obtener los datos personales, pero a más tardar en un mes; si los datos personales se van a utilizar para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado; si se prevé una divulgación a otra persona, a más tardar en el momento de la primera divulgación de los datos personales ☐ La información se proporciona de forma concisa, transparente, inteligible y fácilmente accesible. Es clara y redactada en un lenguaje sencillo. ☐ Si proporcionar la información resulta imposible, los responsables toman las medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos, incluida la puesta a disposición del público de la información. ☐ Los responsables del tratamiento han documentado toda la información relativa a estas cuestiones

 

 

1. Grupo de Trabajo del Art 29 (2014) Dictamen 8/2014 sobre la sobre la evolución reciente de la Internet de las cosas (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
2. Bier C., Kühne K., Beyerer J. (2016) PrivacyInsight: The Next Generation Privacy Dashboard. In: Schiffner S., Serna J., Ikonomou D., Rannenberg K. (eds) Privacy Technologies and Policy. APF 2016. Lecture Notes in Computer Science, vol 9857. Springer, Cham. https://doi.org/10.1007/978-3-319-44760-5_9 ↑
3. Véase: CNIL, La réutilisation des données publiquement accessibles en ligne à des fins de démarchage comercial, en: https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial ↑
4. Campbell, Fiona, Data Scraping – Considering the Privacy Issues, at: https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-scraping-considering-the-privacy-issues ↑