La relevancia de las redes sociales está, a día de hoy, fuera de toda duda. Se trata de un servicio de la sociedad de la información, cuya prestación implica el tratamiento de datos, ya sea con el fin de proporcionar el servicio, ya sea con otros objetivos como ofrecer publicidad personalizada a los usuarios. En este sentido, el proveedor del servicio de red social, como responsable del tratamiento, deberá implementar las medidas correspondientes que aseguren el cumplimiento de sus obligaciones de acuerdo con la normativa en materia de protección de datos.
El titular de la red social, en tanto que es quien ofrece el servicio, disponiendo de los medios técnicos para ello y decidiendo sobre el propósito, el contenido y el uso del tratamiento de los datos, queda claro que debe ser considerado como el responsable del tratamiento. Por lo tanto, la clave de su actuación debe estar basada en la proactividad, y en la privacidad desde el diseño (privacy by design) y en la privacidad por defecto (privacy by default), haciendo que al usuario se le ofrezca el servicio, desde el inicio, con el mayor nivel de privacidad posible, de manera que sea él quien, si lo desea, la reduzca mediante actos explícitos de consentimiento, y que su cuenta tenga, por defecto, la menor cantidad de datos, abriendo el perfil solo cuando el usuario expresamente lo permita. De esta manera, el proveedor de la red social deberá, tanto en el momento de determinar los medios del tratamiento, como en el momento del propio tratamiento, adoptar las medidas técnicas y organizativas adecuadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento, siendo algunos ejemplos de medidas concretas disponer de una base jurídica adecuada para la licitud del tratamiento, aplicar la minimización de datos y la limitación del propósito, cumplir con el principio de información o la limitación del plazo de conservación de los datos.
En relación al consentimiento, salvo determinadas excepciones, el tratamiento de datos personales en las redes sociales, debe estar basado en el consentimiento prestado por sus titulares como base legitimadora. Y este consentimiento, debe ser libre, informado, inequívoco, revocable, explícito, transparente, positivo y verificable, exigiendo, por tanto, una declaración explícita o acción afirmativa, una vez recibida la información correspondiente. Sin embargo, se debe tener en cuenta que cuando el tratamiento tenga varios propósitos, el consentimiento deberá darse para todos ellos.
Por otra parte, es necesario considerar la posición de los usuarios de redes sociales como responsables, o no, del tratamiento. En este sentido, hay que diferenciar entre los usuarios particulares y los corporativos. En cuanto a los usuarios particulares, estos utilizan las redes para fines personales, y se benefician de la excepción de tratamiento personal o doméstico prevista por la norma, al no tener conexión con ninguna actividad profesional o comercial. Por lo tanto, los usuarios particulares no serán considerados como responsables por el tratamiento de datos personales de terceros que puedan realizar en el curso de sus actividades en la red social. Sin embargo, no hay que olvidar que sí responderían por el uso de los datos de terceros de acuerdo con cualquier otra posición legal, como podría ser la protección del derecho al honor, la intimidad personal o familiar y la imagen. No obstante, existen casos en los que las actividades de un usuario particular no se benefician de esta exención, como en el supuesto de que todos los miembros que pertenecen a una red social pueden acceder a un perfil o cuando los datos son indexables por los motores de búsqueda. En estos casos, el acceso excede el ámbito personal o doméstico, y por lo tanto, la difusión abierta a terceros es considerada como un tratamiento de datos sujeto a la normativa.
Por otro lado, los usuarios corporativos, en la medida en que utilizan la red como plataformas para el desarrollo de actividades comerciales o profesionales, pueden ser considerados, en sentido contrario, como responsables del tratamiento. Es preciso aquí tener en cuenta que dicho usuario corporativo será responsable, junto con el proveedor de la red social, estableciéndose el carácter solidario de ambas responsabilidades concurrentes, sin perjuicio de que, entre ellos, delimiten sus responsabilidades de mutuo acuerdo.
Finalmente, resulta necesario determinar la responsabilidad del proveedor de la red social por las conductas ilícitas de sus usuarios. En estos casos, más allá de la propia responsabilidad del usuario, también debe afirmarse la responsabilidad del proveedor, derivada, no de la actividad del usuario, sino de su propia actuación ante la constatación del ilícito cometido por el usuario utilizando su servicio. Consecuentemente, las causas de exoneración de responsabilidad que podrá alegar el proveedor son las siguientes: 1) la ausencia de conocimiento efectivo por su parte sobre el carácter ilícito de los contenidos suministrados por el usuario o; 2) en su defecto, la retirada diligente de los mismos, o haber hecho imposible su acceso.
En conclusión, después del análisis realizado, queda claro que las redes sociales quedan sujetas a la normativa de protección de datos, identificando los diversos responsables del tratamiento de datos en el marco de esta prestación de servicios, así como la posición de los usuarios y sus derechos.
