LA PROTECCIÓN DE DATOS PERSONALES Y LAS REDES SOCIALES 

La Protección de Datos Personales ha tomado importancia en la última década en Latinoamérica Siguiendo el camino de la Unión Europea, nuestros países han adoptado leyes que regulan la recopilación, uso y almacenamiento de datos personales por parte de entidades públicas, privadas y personas naturales. Estas leyes generan una serie de derechos, obligaciones y medidas que deben ser observadas por todos quienes, en el desarrollo de sus actividades, con o sin fines de lucro, traten datos personales de terceros. Estas obligaciones, medidas, derechos etc., son fácilmente identificables y regulables en las empresas legalmente constituidas, fundaciones, entidades públicas, entre otros, pero ¿qué sucede en el comercio y uso de información en las redes sociales? En este artículo analizaremos una interesante resolución de la Superintendencia de Industria y Comercio de Colombia (SIC) sobre el tema. 

RESOLUCIÓN DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO DE COLOMBIA

Las transacciones comerciales y el fujo de información personal a través de las redes sociales es cada vez mayor. En plataformas como Instagram y Facebook es cada vez más usual observar ofertas de bienes y servicios, ofertas educativas, promociones, webinars, cursos, sorteos y otras actividades que conllevan la recopilación, tratamiento y almacenamiento de datos personales. Estas actividades, sobre todo el comercio, no siempre es formal, detrás están personas naturales, pequeños comercios, grandes comercios, entidades privadas y públicas etc. El volumen de información personal que transita en las redes sociales es inmenso, lo cual hace que el seguimiento y la regulación sea más compleja, así como el ejercicio de derechos y reparación frente al uso indebido de datos personales. 

Uno de los ejemplos de este problema, y sobre el cual versa la resolución emitida por la Superintendencia de Industria y Comercio de Colombia (SIC), es el caso de los grupos como Wikis y Destrabadas. La SIC, en resolución de octubre de 2019, analiza el alcance de las disposiciones de las normas sobre protección de datos personales, el concepto de tratamiento y el uso de bases de datos. Las más importantes conclusiones de la SIC con las siguientes: 

- El tratamiento de datos no está vinculado a la existencia de una base de datos.

- Cualquier operación que utilice un dato personal, con o sin la ayuda de herramientas informáticas, constituye tratamiento de datos personales. 

- Las páginas y grupos de Facebook tratan datos personales en la medida que usan dicha red para recopilar y usar información de personas, así el grupo o página sea conocido solo por sus miembros y no por el público en general. 

- El listado de miembros de un grupo o página de red social puede ser considerado una base de datos. - Los administradores de páginas y grupos en redes sociales son responsables del tratamiento de datos personales. 

- Los administradores de grupos y páginas de Facebook están obligados a tener manuales para la recolección, tratamiento y almacenamiento de datos personales, en forma independiente alas políticas aplicables de Facebook. 

Esta resolución abre varias interrogantes sobre el uso de datos personales en redes sociales. El volumen de negocios y flujo de datos que se da en estas plataformas es incalculable. Diariamente se pueden observar ofertas de productos, servicios, de comercios formales e informales, personas naturales y jurídicas, oferta de cursos gratuitos, webinars y otros. En todos éstos se recolectan datos personales como nombres, apellidos, teléfonos y correos electrónicos. En algunos casos se requieren datos más sensibles como información financiera. Surgen las siguientes preguntas ¿cumplen todos estas entidades y personas con las obligaciones legales de protección de datos personales? ¿están todas ellas obligadas a dar cumplimiento de estas obligaciones? ¿pueden ser sujetos de acciones ante la Superintendencia de Protección de Datos Personales? 

OBLIGACIÓN DE PROTECCIÓN DE DATOS EN REDES SOCIALES

Hay que tomar en cuenta que varios de los negocios y transacciones que se producen en redes sociales pertenecen a personas naturales y negocios informales. Sin embargo, de acuerdo con lo establecido en la Ley Orgánica de Protección de Datos Personales (LODPD), la cual es muy similar a la legislación Colombiana, son responsables todas las personas naturales o jurídicas que de una u otro forma traten datos personales y decidan sobre la finalidad de dicho tratamiento. Es decir, las personas naturales y jurídicas, negocios formales o informales, que recaben y traten datos personales a través de las redes sociales, están sujetos al cumplimiento de las disposiciones de la LODPD. Estas personas, naturales o jurídicas, independientemente a la forma en la que trabajen, si pudiesen ser sujetos de acciones ante la Superintendencia de Protección de Datos Personales. 

Quienes alguna vez hemos realizado transacciones en redes sociales, podemos decir que las disposiciones de la LOPDP no siempre se cumplen, especialmente, en negocios pequeños, ciertos registros en webinars, grupos con fines específicos, entre otros. Se puede decir que, obligaciones como el consentimiento de tratamiento de datos, la información sobre la finalidad, el almacenamiento, el tiempo de conservación, acceso a políticas de tratamiento, acceso a ejercicio de derechos, no se cumplen. 

Las conclusiones de la SIC en su resolución de octubre de 2019 serían aplicables no solamente al caso de grupos en redes sociales, sino a las distintas actividades comerciales y no comerciales que se desarrollan en estas plataformas en las que se recaban y almacenan datos personales. Tanto personas naturales como jurídicas, independientemente de la actividad que realicen y la finalidad para la cual accedan a datos personales, deben cumplir con obligaciones básicas como son el consentimiento de tratamiento, la publicación de políticas de tratamiento y el acceso al ejercicio de derechos por parte de los titulares. Estas obligaciones son desconocidas por la mayoría de negocios pequeños que utilizan las redes como herramienta comercial y representan un alto riesgo de incumplimiento de la Ley, así como un alto riesgo para los titulares de datos por uso indebido.