Plugins en redes sociales y pri­va­ci­dad: consejos legales

Con la creciente po­pu­la­ri­dad de las redes sociales, los plugins para compartir o re­co­me­n­dar el contenido en Facebook, Twitter, Instagram y otras pla­ta­fo­r­mas se han co­n­ve­r­ti­do en un co­m­ple­me­n­to muy usado en cualquier página web. Estos módulos in­te­gra­dos en las páginas permiten a los usuarios enlazar ofertas y contenido de Internet en sus perfiles sociales con un solo clic y re­co­me­n­dar­los allí, por ejemplo, en forma de “Me gusta”, re­co­me­n­da­cio­nes, pins o tuits. Sin embargo, estas prácticas ex­te­n­sio­nes, que sin duda pueden aumentar el alcance de las páginas web, deberían uti­li­zar­se con prudencia, ya que los co­m­ple­me­n­tos sociales son un tema co­n­tro­ve­r­ti­do frente a la pro­te­c­ción de datos. Descubre a co­n­ti­nua­ción lo que, como operador o dueño de una página web, deberías co­n­si­de­rar antes de utilizar plugins sociales.

Aunque la situación legal en España en relación a los plugins sociales aún no ha sido regulada de forma co­n­clu­ye­n­te, las nuevas leyes de la Unión Europea, así como las se­n­te­n­cias ju­di­cia­les en el pasado reciente, han llevado a un re­pla­n­tea­mie­n­to en el uso de los botones de las redes sociales. Por lo tanto, los expertos legales aconsejan a los dueños y de­sa­rro­lla­do­res de páginas web, tanto privados como co­me­r­cia­les, que tomen más medidas de pre­cau­ción para pro­te­ge­r­se de las quejas y demandas sobre de­fi­cie­n­cias en la pro­te­c­ción de datos. En la mayoría de los casos, en nuestro país la pro­te­c­ción de datos de los usuarios tiene prioridad sobre los intereses co­me­r­cia­les in­di­vi­dua­les.

En España existe desde 1999 la Ley Orgánica de Pro­te­c­ción de Datos de Carácter Personal (LOPD), cuyo objetivo principal es ga­ra­n­ti­zar y proteger el tra­ta­mie­n­to de los datos de carácter personal, in­di­fe­re­n­te­me­n­te del formato en el que sean tratados.

Dado que los plugins sociales también afectan a la pri­va­ci­dad de los usuarios, las páginas web con botones de redes sociales son ahora el foco de muchos problemas legales. Además de la normativa española vigente, el 25 de mayo de 2018 entra en vigor el Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGDP). En el curso de la nueva ley, las de­cla­ra­cio­nes de pro­te­c­ción de datos in­co­m­ple­tas o in­co­rre­c­tas en Internet se han co­n­ve­r­ti­do en una ad­ve­r­te­n­cia: cualquier persona que recopile datos pe­r­so­na­les de co­n­su­mi­do­res en línea y los procese con fines pu­bli­ci­ta­rios, ela­bo­ra­ción de perfiles o co­me­r­cia­les, debe informar a sus usuarios por ade­la­n­ta­do y en su totalidad. De no ser así, la empresa puede ser amo­ne­s­ta­da con una multa y otras re­pre­sa­lias. Esta re­gu­la­ción se aplica en pa­r­ti­cu­lar a la pro­te­c­ción de datos en el área de comercio ele­c­tró­ni­co o tiendas online, donde la in­fo­r­ma­ción es­pe­cí­fi­ca para el co­n­su­mi­dor, así como los términos y co­n­di­cio­nes generales o las in­s­tru­c­cio­nes de ca­n­ce­la­ción, son obli­ga­to­rias de cualquier forma.

La in­te­gra­ción de plugins sociales, como el llamado botón “Me gusta" de Facebook, es a menudo pro­ble­má­ti­ca en los países de la Unión Europea. Dado que las páginas web con estos botones también tienen que cumplir con los re­qui­si­tos generales de pro­te­c­ción de datos, en este caso surge un problema adicional que vale la pena discutir, y que puede ilu­s­trar­se con el co­m­ple­me­n­to social de Facebook.

Los usuarios que visitan las páginas web ya tra­n­s­mi­ten datos a los pro­vee­do­res, como el nombre del navegador, el idioma preferido y la dirección IP del di­s­po­si­ti­vo terminal. Estos datos, al­ma­ce­na­dos por medio de las llamadas "cookies", pueden ser uti­li­za­dos con el co­n­se­n­ti­mie­n­to del usuario para fines de análisis y marketing de re­ta­r­ge­ti­ng.

A menos que el usuario bloquee ex­pre­sa­me­n­te la opción a través de los ajustes, su propio navegador envía au­to­má­ti­ca­me­n­te las cookies exi­s­te­n­tes al dominio co­rre­s­po­n­die­n­te, que permiten cla­si­fi­car a los usuarios. Las leyes de pro­te­c­ción de datos son pa­r­ti­cu­la­r­me­n­te críticas en este aspecto, ya que el servicio puede fusionar dicha in­fo­r­ma­ción con otros datos ya al­ma­ce­na­dos sobre el usuario. Con la ayuda de estos datos ya conocidos, se puede ide­n­ti­fi­car al usuario con relativa precisión a través de los plugins sociales. Si has iniciado sesión en una red social como Facebook (o tienes una cuenta en la pla­ta­fo­r­ma), se puede averiguar qué página has visitado ac­tua­l­me­n­te después de abrir una página mediante el botón “Me gusta”. Por lo tanto, este botón pone en peligro la pro­te­c­ción de datos en la medida en que la in­fo­r­ma­ción personal puede ser evaluada sin el paso in­te­r­me­dio de la apro­ba­ción oficial por parte del usuario.

En 2011, el plugin social de Facebook dio lugar a la primera ad­ve­r­te­n­cia para una empresa que apa­re­n­te­me­n­te había in­cru­s­ta­do el botón “Me gusta” en su página web sin mayores problemas. En una sentencia del 9 de marzo de 2016, el Tribunal Regional de Dü­s­se­l­do­rf, en Alemania, fi­na­l­me­n­te declaró ilegal la simple in­te­gra­ción del botón “Me gusta” de Facebook sin el co­n­se­n­ti­mie­n­to explícito del usuario, ya que la tra­n­s­fe­re­n­cia de datos sin permiso expreso viola las leyes alemanas y europeas. Por lo tanto, la re­fe­re­n­cia general de de­cla­ra­ción de pro­te­c­ción de datos de la página web, por sí sola, no es su­fi­cie­n­te para integrar el botón de Facebook: los co­n­su­mi­do­res tendrían que ser in­fo­r­ma­dos de antemano sobre el alcance y el tipo de datos que se tra­n­s­mi­ti­rían al utilizar los co­m­ple­me­n­tos sociales. De lo contrario, el uso de botones de medios sociales violaría la ley de pro­te­c­ción de datos.

Dado que los co­m­ple­me­n­tos sociales en relación con la normativa de pro­te­c­ción de datos solo se han co­n­ve­r­ti­do en una cuestión pública re­cie­n­te­me­n­te, la situación jurídica puede cambiar con rapidez. No existe una pro­te­c­ción cien por cien segura por el uso de los botones de las redes sociales, ya que depende de las co­n­di­cio­nes de pro­te­c­ción de datos vigentes en el momento. Ac­tua­l­me­n­te hay 3 po­si­bi­li­da­des para que los dueños de las páginas web se aseguren de cumplir con la normativa:

• No incluir plugins sociales: si quieres estar ab­so­lu­ta­me­n­te seguro, si­m­ple­me­n­te puedes ab­s­te­ne­r­te de usar los botones sociales. Sin embargo, esta no es la solución óptima, ya que tu página web generará un menor alcance al no incluir enlaces directos con las redes sociales.
   
• Solución de 2 clics: para evitar que los datos del usuario se tra­n­s­fie­ran antes del primer clic en los botones de compartir, deberías pre­s­ci­n­dir de los botones ori­gi­na­les. De forma al­te­r­na­ti­va, puedes integrar un plugin en el que los usuarios no den su co­n­se­n­ti­mie­n­to para la re­co­pi­la­ción de sus datos de usuario hasta que vuelvan a hacer clic. Sin embargo, esta opción ofrece solamente una seguridad parcial, ya que no impide la re­co­pi­la­ción de datos básicos, sino que la retrasa a un segundo clic. Algunos expertos co­n­si­de­ran que esta opción también viola las normas de pro­te­c­ción de datos.
   
• Plugin de seguridad: si no deseas pre­s­ci­n­dir co­m­ple­ta­me­n­te de los botones de redes sociales, también puedes agregar un plugin que impida el se­gui­mie­n­to directo y exhau­s­ti­vo de los datos. El plugin Shariff, por ejemplo, reemplaza el botón de redes sociales di­s­cre­ta­me­n­te por un enlace estático que solo libera los datos del usuario cuando el usuario hace clic en el botón.

Sea cual sea la opción que elijas, debes tener en cuenta las co­n­se­cue­n­cias legales que el uso de plugins sin el co­n­se­n­ti­mie­n­to de los usuarios puede tener para tu negocio. Por ello, es aco­n­se­ja­ble seguir de cerca la evolución jurídica en España y en la Unión Europea.

La situación legal en materia de pro­te­c­ción de datos y, por lo tanto, también de los co­m­ple­me­n­tos sociales, suele estar de­te­r­mi­na­da por las leyes na­cio­na­les y europeas. Así, la ju­ri­s­pru­de­n­cia varía de un país a otro. Con la entrada en vigor del RGPD (Re­gla­me­n­to Europeo de Pro­te­c­ción de Datos) el 25 de mayo de 2018, parte de la LOPD (Ley Orgánica de Pro­te­c­ción de Datos) quedará derogada. Esta nueva normativa de la Unión Europea ha sido elaborada con el fin de ocupar los huecos vacíos de las leyes europeas exi­s­te­n­tes relativas a los nuevos avances te­c­no­ló­gi­cos, como el big data o la in­te­li­ge­n­cia ar­ti­fi­cial.

A di­fe­re­n­cia de España, países como Estados Unidos se co­n­si­de­ran pa­r­ti­cu­la­r­me­n­te liberales en lo que se refiere a la pro­te­c­ción de datos, ya que no existe una ley in­te­r­se­c­to­rial para regularla. Hasta ahora, el llamado Privacy Shield o Escudo de la Pri­va­ci­dad UE-EEUU garantiza una tra­n­s­fe­re­n­cia de datos le­ga­l­me­n­te segura entre los Estados Unidos y Europa: es re­s­po­n­sa­bi­li­dad de las empresas que operan a nivel in­te­r­na­cio­nal y que se co­m­pro­me­ten a cumplir con ciertos es­tá­n­da­res mínimos. Sin embargo, no está claro cuánto tiempo pe­r­ma­ne­ce­rá el acuerdo actual en el marco de la evolución política de Estados Unidos. Algunos expertos y ac­ti­vi­s­tas de los derechos civiles cue­s­tio­nan la seguridad jurídica del pro­ce­di­mie­n­to, es­pe­cia­l­me­n­te en lo que se refiere al trato "pri­vi­le­gia­do" de los ciu­da­da­nos no es­ta­dou­ni­de­n­ses en virtud de la le­gi­s­la­ción sobre pro­te­c­ción de datos.

En lo que respecta al alo­ja­mie­n­to de datos, las cosas se están co­m­pli­ca­n­do un poco más: en general, puede decirse que la pro­te­c­ción de datos bajo la ley europea solo puede ga­ra­n­ti­zar­se si el proveedor de alo­ja­mie­n­to co­rre­s­po­n­die­n­te y su centro de datos también tienen su sede en un país de la UE, donde la pro­te­c­ción de datos está fu­n­da­me­n­ta­l­me­n­te sujeta a la leyes co­mu­ni­ta­rias. Si los se­r­vi­do­res que procesan datos pe­r­so­na­les se su­b­co­n­tra­tan a centros de datos ex­tra­n­je­ros (como ocurre con algunos pro­vee­do­res cloud, por ejemplo), estos están sujetos, en principio, a las leyes na­cio­na­les pe­r­ti­ne­n­tes. Por lo tanto, los usuarios deben in­fo­r­mar­se de antemano si la pro­te­c­ción de datos en virtud de la le­gi­s­la­ción española o de la UE está ga­ra­n­ti­za­da a través de su servicio de hosting. De lo contrario, sigue exi­s­tie­n­do un riesgo residual. Para co­n­tra­rre­s­tar esta in­se­gu­ri­dad, en marzo de 2017 varios pro­vee­do­res de servicios, agrupados como CISPE (Cloud In­fra­s­tru­c­tu­re Services Providers in Europe), acordaron un "Código de Conducta" al­te­r­na­ti­vo que ofrece a los clientes de servicios en la nube la opción de almacenar y procesar datos solo en países de la UE/EEE.

La situación legal de los plugins sociales y de la pro­te­c­ción de datos está en constante de­sa­rro­llo. Teó­ri­ca­me­n­te, la situación de los ope­ra­do­res de páginas web puede cambiar con cada nueva decisión judicial y las nuevas no­r­ma­ti­vas. Por lo tanto, si deseas estar ab­so­lu­ta­me­n­te seguro de que ofreces a tus usuarios toda la in­fo­r­ma­ción necesaria sobre la pro­te­c­ción de datos, lo más re­co­me­n­da­ble es que consultes siempre con expertos y revistas es­pe­cia­li­za­das para obtener la in­fo­r­ma­ción más reciente, o a abogados es­pe­cia­li­s­tas en derecho in­fo­r­má­ti­co, en caso de que tengas preguntas legales es­pe­cí­fi­cas. Esta es la única manera de asegurar que tu página web cumple con los re­qui­si­tos legales actuales. Lo que es seguro es que, al menos dentro del marco de la Unión Europea, las páginas web tendrán que adaptarse pronto a una normativa más estricta.

Die Re­chts­la­ge zu Social-Plug-ins und Da­te­n­s­chutz ist derzeit in stetiger En­t­wi­c­klu­ng. Theo­re­ti­s­ch kann sich mit jedem weiteren Ge­ri­chtsu­r­teil und neuen te­ch­ni­s­chen Fu­n­k­tio­nen die Situation für Website-Betreiber ändern. Wer also in puncto Da­te­n­s­chutz ganz si­che­r­gehen will, sollte sich daher immer bei Experten und Fa­ch­ma­ga­zi­nen über den ak­tue­ll­s­ten Stand in­fo­r­mie­ren bzw. bei konkreten re­chtli­chen Fragen Fa­cha­n­wä­l­te für IT- und Me­die­n­re­cht ko­n­su­l­tie­ren. Nur so können Sie ge­wäh­r­lei­s­ten, dass Ihre Website in allen Belangen den de­r­zei­ti­gen Auflagen gerecht wird. Fest steht, dass sich zumindest EU-weite Betreiber von Websites bald auf strengere Ri­chtli­nien ei­n­s­te­llen müssen. Daher ist es in jedem Fall geboten, die Daten der eigenen Nutzer zu jedem Zeitpunkt so gut wie möglich zu schützen