Las oportunidades que nos brinda el mundo 2.0 se deben aprovechar. De ahí que en los últimos años aparezcan nuevos perfiles profesionales, tal es el caso de los “gestores de comunidades”, más conocidos como “community manager”.
Existen muchas definiciones de "community manager" pero de forma resumida y con un intento de mezclarlas todas, podemos definir este nuevo profesional como aquél que se encarga de crear, hacer crecer, gestionar y dinamizar comunidades de usuarios de Internet entorno a una marca empresarial -o a alguna otra causa-. Se convierte una especie de intermediario entre la marca (la empresa -su cliente-) y el usuario (el cliente de su cliente). Su ámbito de actuación también engloba lo relacionado con la "reputación online" de la organización que representa a través de la avaluación del prestigio de la marca en el entorno online -sea personal o corporativa-, debiendo conocer la opinión que los usuarios tienen sobre ella y gestionar las incidencias que puedan suceder al respecto. Así las cosas, el community manager es la voz de la empresa de cara al exterior y la del cliente para la propia organización.
Observamos pues, que el community manager gestionará los perfiles que la empresa tenga en las distintas redes sociales. Esto implica que tendrá a su disposición todas las contraseñas de ésta así como toda la información y datos relativos a contactos, clientes, followers, amigos y fans de la organización que representa.
En consecuencia, su tarea de gestión de contenidos incide claramente sobre cuestiones jurídicas relativas a la protección de datos de los usuarios que interactúan, a la propiedad intelectual e industrial, al honor, a la imagen, a la intimidad, a la privacidad, a los derechos de los menores de edad, a la seguridad de la información, al comercio electrónico, entre otras. No obstante, en el presente artículo nos centraremos en la incidencia de la figura del community manager en materia de protección de datos.
Si bien es cierto que a un community manager no se le puede exigir que sea jurista ni que tenga competencias en este ámbito, sí es importante que el profesional conozca y sea consciente de que su actividad repercute directamente sobre cuestiones legales y que debe actuar en consecuencia.
Posiciones jurídicas de la empresa, el community manager y el usuario en la LOPD
La normativa en materia de protección de datos (esto es, la LOPD y su reglamento de desarrollo) prevé y destaca la intervención de tres figuras principales: la del responsable del tratamiento, la del encargado del tratamiento, y la del interesado.
De
conformidad con el art. 3 d) LOPD y 5.1 q) RLOPD, es responsable del
tratamiento de los datos de carácter personal la "persona física o
jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realice materialmente.".
No obstante esta aproximación, el RDLOPD
distingue dos tipos de responsables: el responsable
del fichero (cuando no realice materialmente el tratamiento de los datos
personales) y el responsable del
tratamiento (cuando sí lo realice materialmente). En consecuencia, en los
supuestos en que una empresa contrate los servicios de un community manager, dicha empresa será el responsable del fichero.
Por otro lado, la LOPD prevé la figura del encargado del tratamiento en el art. 3 g) LOPD y 5.1 i) RDLOPD conforme a los cuales éste es "la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate los datos personal por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación por la prestación de un servicio." En virtud de esta definición, la intervención del community manager tiene perfecto encaje en la figura del encargado del tratamiento por cuanto en entornos digitales, ha sido contratado por una empresa a la que representa con el fin de tratar y gestionar los contenidos y datos de los usuarios que forman parte de una comunidad virtual.
Finalmente, y a los meros efectos de protección de datos, los usuarios que forman parte de la comunidad virtual de una determinada marca serán los afectados o interesados. Es decir, las personas físicas titulares de los datos que sean objeto del tratamiento que realizan los community managers.
Régimen jurídico del community manager como encargado del tratamiento
La figura del encargado del tratamiento nació con el objetivo de dar respuesta al fenómeno de la externalización de servicios (outsourcing) por parte de empresas que siendo responsables del tratamiento de los datos de carácter personal, encomendaban a un tercero la prestación de un servicio que requería que éste accediera a datos personales (a ello se refiere expresamente el art. 12.1 LOPD). En cuyo caso, se determina que estos supuestos no se considerarán comunicación de datos. En definitiva, estos supuestos se pueden extrapolar a la actuación del community manager ya que para que pueda gestionar la reputación online así como mantener el contacto con la comunidad virtual de la empresa que representa, es necesario que acceda a datos de carácter personal (nombres, apellidos, fotografías de perfil, avatar, correo electrónico, teléfono, etc.).
Sin embargo, todo buen community manager deberá tener en cuenta que la ley le exige que suscriba un contrato por escrito con la empresa (su cliente) en virtud del cual se regule las condiciones en las que realizará el tratamiento de los datos personales de su representado. En especial, habrá que constar lo siguiente:
- Descripción detallada de los servicios que prestará: su carácter remunerado o no, y duración;
- Indicación expresa de que tratará los datos conforme a las instrucciones de su cliente (la empresa, como responsable del fichero);
- Indicación expresa de que no utilizará los datos con fines distintos a los acordados, ni los comunicará a otras personas, ni subcontratará su tratamiento a un tercero (salvo autorización del responsable del fichero o se estipule expresamente esta posibilidad);
- Indicación de las medidas de seguridad que ha implementado;
- Obligación de guardar secreto respecto de los datos que le confíen;
- Obligación de destruir o devolver al responsable del fichero los datos personales cuando finalice la prestación del servicio del community manager.
El community managers deberá ser consciente de que en caso de que destine los datos de los usuarios a otras finalidades, los comunique o los utilice de forma que incumpla las cláusulas del contrato con la empresa, se le considerará también responsable del tratamiento, lo que implicará que pueda responder de las infracciones en las que hubiera incurrido él personalmente. En consecuencia, los community manager también están sujetos al régimen sancionador que establece la legislación española en materia de protección de datos (art. 12.4 LOPD en relación con el art. 43 y ss LOPD).
Aunque la ley determine que este tipo de prestación de servicios no se considera comunicación de datos, el art. 20.1II declara expresamente que sí se tratará de un supuesto de comunicación de datos cuando un community manager accede a los datos con el objetivo de establecer un vínculo entre él y los usuarios.
No hay que pensar que la empresa se libere de responsabilidad ya que en caso de querer contratar los servicios de gestión de comunicación 2.0 deberá cerciorarse que dicha entidad o profesional le ofrecen garantías para el cumplimiento de la normativa de protección de datos y, en todo caso, debe recordar que seguirá estando sujeta al régimen sancionador de la LOPD.
¿Es necesario obtener el consentimiento
de los usuarios antes de contratar los servicios de un community manager?
Partiendo de la base de que el art. 11.1 LOPD establece que los datos personales objeto de tratamiento solamente se podrán comunicar a un tercero si se obtiene el consentimiento previo del interesado, se nos puede plantear la duda de si las empresas deberían obtener el consentimiento de sus clientes, seguidores y fans antes de poder contratar los servicios de un community manager para que trate y gestione sus datos personales. Es preciso pues, interpretar la ley y ofrecer una aproximación al respecto de esta cuestión, para nada baladí (y más, teniendo el cuenta que nos enfrentaríamos a la comisión de una infracción muy grave -art. 44.4 b) LOPD- sancionada con una multa de 300.001€ a 600.000€).
Anteriormente hemos determinado (y así lo entendemos) que, si se cumplen todas las exigencias que impone la normativa, la relación jurídica que existe entre la empresa/cliente y el community manager se englobaría dentro del supuesto del art. 12.1 LOPD por cuanto, como quiera que para prestar sus servicios el community manager debe acceder necesariamente a los datos que dispone la empresa contratante, éste supuesto no se considera una comunicación de datos y en consecuencia, no sería imprescindible obtener el consentimiento de los clientes y usuarios de dicha empresa.
No obstante, como el art. 12.1 LOPD tampoco indica expresamente que "no será necesario obtener el previo consentimiento del interesado", intentaremos buscar un ulterior camino que pueda amparar el caso de una empresa que haya prescindido de obtener el consentimiento de sus usuarios. Para ello, vamos es preciso analizar si este supuesto podría encajar en alguna de las excepciones a la obtención del consentimiento que prevé la normativa en materia de protección de datos.
En este sentido, el art. 11.2 LOPD establece que no será preciso el consentimiento del interesado para ceder o comunicar sus datos a terceros cuando:
- La cesión esté autorizada en una ley;
- Se trate de datos recogidos de fuentes accesibles al público;
- El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique;
- La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de sus funciones;
- La cesión se produzca entre administraciones públicas;
- La cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiológicos.
Visto lo anterior, se puede considerar que nuestro supuesto podría tener encaje dentro de la excepción del art. 11.2 a). Tanto es así que el hecho de que el art. 12.1 LOPD no lo considere como una cesión o comunicación de datos, a través de una interpretación a sensu contrario, se puede entender que la está autorizando. En consecuencia, la normativa en materia de protección de datos permitiría que una empresa comunicara los datos de su comunidad virtual al community manager que hubiera contratado sin necesidad de recabar el consentimiento de sus usuarios -y siempre que se cumpliera con el resto de la normativa- por cuanto una ley como lo es la LOPD, autoriza dicha cesión (art. 11.2 a) LOPD en relación con el art. 12.1 LOPD).
Mayores malabares interpretativos exige la excepción del art. 11.2 c) -en relación con el art. 10.4 a) RLOPD-, puesto que exigiría un estudio con mayor detenimiento y lo cierto es que la pretensión de este artículo no es la de extendernos aquí, sino solamente ofrecer una ligera aproximación al respecto.
En otro orden de cosas, al community manager sí se le exigirá que obtenga el consentimiento de los interesados en aquellos casos en los que pretenda publicar fotografías (p.ej.: de eventos que haya organizado la corporación) en las que aparezcan los usuarios, o para etiquetarlos en las mismas. Este consentimiento podrá obtenerlo a través de las oportunas cláusulas, en las invitaciones a los eventos o, solicitándolo individualmente por correo electrónico (si es posible).
Resumen final
- La profesión de community manager repercute directamente sobre la protección de datos;
- El community manager se convierte en encargado del tratamiento y está sujeto al régimen sancionador de la LOPD;
- Él y la empresa deberán suscribir un contrato por escrito que regule su relación profesional y en especial, las cuestiones relativas al tratamiento de los datos de los usuarios;
- Aunque parece que la LOPD les dispensa de solicitar el consentimiento de los usuarios, recomendamos encarecidamente que se les informe al respecto y se obtenga su consentimiento de todas formas (ya se sabe: hombre o mujer precavidos valen por dos). Tampoco cuesta tanto y además, es más fácil, rápido y barato que hacer malabares de interpretación jurídica para esquivar expedientes sancionadores de la AEPD; y,
- El derecho a la protección de datos es un derecho incorporado constitucionalmente en el art. 18 CE que garantiza que toda persona pueda controlar sus datos personales y, en especial, el uso y destino que les dan los demás. Actuad en consecuencia.