Esta revolución no ha pasado inadvertida por entidades, entre ellas empresas del sector salud, que ven en internet una aproximación hacia terceros con el fin, entre otros muchos, de dar a conocer sus productos de una forma más dinámica. Es por ello, que el uso de las Redes Sociales es una realidad latente y de trascendental utilidad práctica para los usuarios de las mismas.
Sin embargo, dicha situación en la mayoría de los casos, implica la observancia de las normas de protección de datos, lo cual no siempre es suficientemente conocido por las empresas. Con respecto a la Normativa de Protección de Datos, cuando una empresa crea un perfil en una red social y empieza a captar clientes con fines exclusivamente comerciales, se produce un tratamiento de los datos de dichos clientes, “seguidores”, “amigos”, “contactos”, etc.., con los que se genera dicha vinculación. Consecuentemente, la empresa se convierte en un responsable del tratamiento de dichos datos. Esta situación es debida, entre otras cosas, porque los datos de identificación de usuarios en las redes sociales, suele coincidir con su nombre y apellidos demás de otra información adicional, como cuenta de correo electrónico, entre otros.
Además, porque al ser una empresa la que realiza el tratamiento de dichos datos, no está amparada por la exclusión de la aplicación de la normativa de protección de datos, de los tratamientos realizados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (art. 4 a), RD 1720/2007). Por lo cual se ve sometida a su observancia y cumplimiento. La AEPD ya interpretó el significado de “ejercicios de actividades exclusivamente personales o domésticas” explicando que existe un límite significativo en el número de usuarios agregados en las redes sociales (entre 20 y 30 para considerarse una finalidad exclusivamente doméstica) así como una serie de medidas de privacidad importantes que deben tener el grupo creado.
Debemos destacar, por tanto, que hoy en día el usuario debe cumplir con la normativa de protección de datos. Entre las obligaciones que se derivan del sometimiento a la LOPD la más destacable es sin duda, cumplir con el deber de información del artículo 5 de la LOPD, que dispone que como información mínima se debe advertir de la finalidad de la recogida de los datos, de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento, así como informar sobre el ejercicio de los Derechos ARCO. Esta obligación se puede cumplir incorporando dicha información en la página inicial del grupo de la red social o configurando un e-mail de bienvenida donde quede contemplado.
Además de este deber de información, existen una serie de obligaciones complementarias que deberían ser cumplidas por las empresas del sector salud tales como establecer parámetros por defecto respetuoso de la intimidad, informar y advertir a sus usuarios frente a los riesgos de atentado a la intimidad cuando transfieren datos a los prestadores de servicios o recomendar a sus usuarios no poner en línea imágenes o información relativa a otras personas sin el consentimiento de estas.
Una solución práctica es configurar en la página inicial un enlace hacia una oficina de reclamaciones, tanto para miembros como para no miembros, que cubra cuestiones de protección de datos. Ahora bien, cabe puntualizar dos puntos importantes. En primer lugar, no es necesario recabar el consentimiento de los usuarios del grupo creado por la clínica, ya que esta responsabilidad recae sobre el responsable del fichero, que en este caso concreto es el prestador del servicio de la red social. En segundo lugar, cualquier publicidad realizada fuera del entorno de la red social con datos extraídos de los usuarios de la misma, quedaría sometida a la Normativa relativa a la Ley de la Sociedad de la Información y del Comercio Electrónico.
Publicado en Redacción Médica el Jueves, 30 de junio de 2011. Número 1490. Año VII.