1470 - Consideraciones destacables del Dictamen 5/2009 sobre redes sociales en línea del Grupo de Trabajo sobre protección de datos del artículo 29

El Dictamen 5/2009 sobre redes sociales en línea, adoptado el 12 de junio de 2009, del Grupo de Trabajo sobre protección de datos del artículo 29, expone con respecto a:

a. Los derechos de los usuarios: 

«Los SRS deberían respetar los derechos de las personas afectadas por el tratamiento de datos, de conformidad con lo dispuesto en los artículos 12 y 14 de la Directiva relativa a la protección de datos.

Los derechos de acceso y rectificación de los usuarios no se limitan a los usuarios del servicio, sino a toda persona física cuyos datos se tratan. Los miembros y no miembros de los SRS deben tener un medio de ejercer su derecho de acceso, rectificación y supresión. La página inicial de los sitios SRS debería hacer referencia claramente a la existencia de una "oficina de reclamaciones", creada por el proveedor de SRS con el fin de gestionar los problemas relativos a la protección de datos y la intimidad, así como las denuncias de los miembros y no miembros.

El artículo 6, apartado 1, letra c), de la Directiva relativa a la protección de datos exige que los datos sean "adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente". En este contexto, cabe señalar que el SRS puede tener necesidad de registrar algunos datos de identificación de sus miembros, pero no es preciso que publique su verdadero nombre en Internet. Por tanto, los SRS deberían considerar si pueden justificar el hecho de obligar a sus usuarios a actuar bajo su verdadera identidad en vez de bajo un seudónimo. Son argumentos de peso para que los SRS dejen la elección a este respecto a los usuarios, y es una exigencia legal al menos en un Estado miembro. Estos argumentos son especialmente sólidos cuando el SRS en cuestión tiene miembros en todo el mundo.

El artículo 17 de la Directiva relativa a la protección de datos exige que el responsable del tratamiento aplique las medidas técnicas y de organización adecuadas para la protección de los datos personales. Tales medidas de seguridad incluyen, en particular, el control del acceso y mecanismos de autenticación que pueden aplicarse aunque se utilicen seudónimos».

b. La conservación de datos: 

«Los SRS no están incluidos en el ámbito de aplicación de la definición de servicios de comunicaciones electrónicas prevista en el artículo 2, letra c), de la Directiva marco (2002/21/CE).

Los proveedores de SRS pueden ofrecer servicios adicionales incluidos en el ámbito de los servicios de comunicación electrónica tales como un servicio de mensajería electrónica accesible públicamente. Tal servicio estará sujeto a las disposiciones de la Directiva sobre la protección de la vida privada en el sector de las comunicaciones electrónicas y la Directiva sobre conservación de datos.

Algunos SRS permiten a sus usuarios enviar invitaciones a terceros. La prohibición de utilizar el correo electrónico con fines de comercialización directa no se aplica a las comunicaciones personales. Para cumplir la excepción de las comunicaciones personales, un SRS debe cumplir los siguientes criterios:

- no incentivar al remitente ni al destinatario;

- el proveedor no selecciona a los destinatarios;

- la identidad del remitente debe mencionarse claramente;

- el remitente debe conocer todo el contenido del mensaje que se enviará en su nombre.

Algunos SRS conservan también los datos de identificación de los usuarios suspendidos del servicio, con el fin de garantizar que ya no podrán registrarse de nuevo. En tal caso, estos usuarios deben ser informados de que se está realizando tal tratamiento. Además, la única información que puede conservarse es la información de identificación y no las razones por las que se suspendió a estas personas. Esta información no deberá conservarse durante más de un año.

Los datos personales comunicados por un usuario cuando se registra en un SRS deberían suprimirse en cuanto el usuario o el proveedor de SRS decida suprimir la cuenta. Del mismo modo, la información suprimida por el usuario cuando actualice su cuenta no debería conservarse. Los SRS deberían informar a los usuarios antes de proceder a estos trámites, a través de los medios de que disponen, sobre estos períodos de conservación. Por razones jurídicas y de seguridad, en algunos casos específicos, podría justificarse conservar datos y cuentas actualizados o suprimidos durante un período de tiempo determinado con el fin de contribuir a impedir las operaciones maliciosas resultantes de la usurpación de identidad y demás infracciones o delitos.

Cuando un usuario no utiliza el servicio durante un período determinado, el perfil debería desactivarse, es decir, dejar de ser visible por otros usuarios o por el mundo exterior y, después de otro periodo, los datos de la cuenta abandonada deberían suprimirse. Los SRS deberían informar a los usuarios antes de proceder a estos trámites a través de los medios de que dispongan».