La rellevància de les xarxes socials està, a dia d’avui, fora de tot dubte. Es tracta d’un servei de la societat de la informació, quina prestació implica el tractament de dades, bé amb la finalitat de proporcionar el servei, bé amb altres objectius com l’oferiment de publicitat personalitzada als usuaris. En aquest sentit, el prestador del servei de xarxa social, com a responsable del tractament, haurà d’implantar les mesures corresponents que assegurin el compliment de les seves obligacions d’acord amb la normativa en matèria de protecció de dades.
El titular de la xarxa social, en tant que és qui oferta el servei, disposant dels mitjans tècnics a l’efecte i decidint sobre la finalitat, el contingut i l’ús del tractament de les dades, queda clar que ha de ser considerat com el responsable del tractament. Doncs, la clau de la seva actuació ha d’estar basada en la proactivitat, i en la privacitat des del disseny (privacy by design) i en la privacitat per defecte (privacy by default), comportant que a l’usuari se li ofereixi el servei, des de l’inici, amb el major nivell de privacitat possible, de manera que sigui ell qui, si ho desitja, la rebaixi mitjançant actes expressos de consentiment, i que el seu compte tingui, per defecte, la menor quantia de dades, obrint el perfil només quan l’usuari expressament ho permeti. D’aquesta forma, el prestador de la xarxa social haurà, tant el en moment de determinar els mitjans del tractament, com en el moment del propi tractament, d’adoptar les mesures tècniques i organitzatives adequades per aplicar de forma efectiva els principis de protecció de dades i integrar les garanties necessaris en el tractament, sent alguns exemples de mesures concretes disposar d’una base jurídica idònia a la licitud del tractament, aplicar la minimització de dades i la limitació de la finalitat, donar compliment al principi d’informació o la limitació del termini de conservació de les dades.
En relació al consentiment, llevat determinades excepcions, el tractament de dades personals a les xarxes socials, ha d’estar basat en el consentiment prestat pels seus titulars com a base legitimadora. I aquest consentiment, ha de ser lliure, informat, inequívoc, revocable, exprés, transparent, positiu i verificable, exigint, per tant, una declaració expressa o acció afirmativa, una volta rebuda la informació corresponent. Tanmateix, s’ha de tenir en compte que quan el tractament tingui diverses finalitats, el consentiment haurà de donar-se per a totes elles.
Altrament, cal considerar la posició dels usuaris de xarxes socials com a responsables, o no, del tractament. En dita línia cal diferenciar entre els usuaris particulars i els corporatius. En quant als usuaris particulars, aquests utilitzen les xarxes per a finalitats personals, i es beneficien de l’excepció de tractament personal o domèstic prevista per la norma, en no tenir connexió amb cap activitat professional o comercial. Per tant, els usuaris particulars no seran considerats com a responsables pe tractament de dades personals de tercers que puguin realitzar en el curs de les seves activitats en la xarxa social. No cal oblidar però que sí respondrien per l’ús de les dades de tercers conforme a qualsevol altra posició legal, com podria ser la protecció al dret a l’honor, la intimitat personal o familiar i imatge. No obstant, existeixen casos en que les activitats d’un usuari particular no es beneficien d’aquesta exempció, com en el supòsit en que tots els membres que pertanyen a una xarxa social poden accedir a un perfil o quan les dades són indexables pels motors de recerca. En aquests casos, l’accés sobrepassa l’àmbit personal o domèstic, i per tant, la difusió oberta a tercers és considerada com un tractament de dades subjecte a la normativa.
D’altra banda, els usuaris corporatius, en la mesura que utilitzen la xarxa com a plataformes per al desenvolupament d’activitats comercials o professionals, poden ser considerats, a sensu contrario, com a responsables del tractament. És precís aquí tenir en compte que dit usuari corporatiu serà responsable, juntament amb el prestador de la xarxa social, establint-se el caràcter solidari d’ambdues responsabilitats concurrents, sense perjudici de que, entre ells, delimitin les seves responsabilitats de mutu acord.
Finalment, resulta precís determinar la responsabilitat del prestador de la xarxa social per les conductes il·lícites dels seus usuaris. En aquests casos, més enllà de la pròpia responsabilitat de l’usuari, també ha d’afirmar-se la responsabilitat del prestador, derivada, no de l’activitat de l’usuari, sinó de la seva pròpia actuació davant la constatació de l’il·lícit que ha comès l’usuari emprant el seu servei. Conseqüentment, les causes d’exoneració de responsabilitat que podrà al·legar el prestador són les següents: 1) l’absència de coneixement efectiu per la seva part sobre el caràcter il·lícit dels continguts subministrats per l’usuari o; 2) en el seu defecte, la retirada diligent dels mateixos, o haver fet impossible el seu accés.
En conclusió, després de l’anàlisi realitzat, queda clar que les xarxes socials queden subjectes a la normativa de protecció de dades, identificant els diversos responsables del tractament de dades en el marc d’aquesta prestació de serveis, així com la posició dels usuaris i els seus drets.
