Usualmente cuando hablamos de la privacidad en redes sociales nos centramos en los riesgos que significa compartir toda clase de datos, fotos y eventos personales en una red social recordando que “Internet no olvida”. Otras veces hablamos de las políticas de privacidad o las de derechos de autor de las redes sociales y como ellas logran obtener algún tipo de derecho a usar nuestra información, compartirla con terceros o a conseguir beneficios económicos de ella.

Muy pocas veces, sin embargo, hablamos del uso que las empresas pueden hacer de los datos personales que obtienen de las redes sociales de las que somos miembros. En este artículo trataremos de dar algunos pincelazos sobre este tema y trataremos de aclarar las dudas que el artículo 14 de la Ley de Protección de Datos Personales (Ley 29733) viene generando en el Perú (en adelante, la “Ley de PDP”).

El numeral 2 del referido artículo 14 establece que no es necesario el consentimiento del titular de datos personales “Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público.” Por su parte, el Reglamento de la Ley de PDP (en adelante el “Reglamento de PDP”), en su artículo 17, delimita el concepto de “fuentes accesibles al publico” y lo restringe a: medios de comunicación electrónica, guías telefónicas, diarios y revistas, medios de comunicación social, padrón de asociados de colegios profesionales, repertorios de jurisprudencia, registros públicos, las entidades publicas en la atención de solicitudes de acceso a la información publica.

Se puede interpretar, entonces, que si los datos están en una base de datos accesible al publico ¿pueden ser utilizados indiscriminadamente para cualquier finalidad?¿puedo grabarlos en un disco duro y generar mi propia base de datos para los fines que yo considere? ¿puedo completar los perfiles de mis clientes con la información que de ellos encuentro en Internet? o, por el contrario, ¿debo interpretarlo restrictivamente y limitar su uso en tanto que no he obtenido el consentimiento?

Consideramos que la interpretación correcta es la última. Es decir, los datos que obran en “fuentes accesibles al publico” no podrán ser utilizados para su tratamiento indiscriminado, para generar nuevas bases de datos, para completar bases de datos existentes. Los referidos datos, desde nuestro punto de vista, solo podrán ser utilizados en tanto forman parte de una red social para ser tratados dentro de la red social y utilizados en ese contexto salvo que obtenga previamente un consentimiento específico para el tratamiento distinto que planeo darles.

Al respecto, queremos recordar que uno de los principios que rige la legislación de protección de datos en todo el mundo es el Principio de Finalidad recogido en el artículo 6 de la Ley de PDP que señala expresamente lo siguiente:

Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.

Por este principio, los datos solo pueden ser utilizados para aquellas finalidades que el titular del banco de datos informó al titular de los mismos antes de recogerlos. Cualquier uso para una finalidad distinta constituye un tratamiento indebido y por lo tanto sujeto a la posibilidad de una sanción.

Es decir, el hecho que un dato se encuentre en una fuente de acceso público no quiere decir que pueden ser usadas para cualquier efecto pues dichos datos fueron entregados a la red social únicamente para la finalidad descrita por ella al momento en que el usuario decidió abrir su cuenta y otorgó su consentimiento al tratamiento de sus datos.

En esta linea se encuentra el artículo 2 del Reglamento de PDP pues dispone expresamente que “el tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento”. Es decir, no podremos recogerlos para crear una nueva base de datos y, menos aún, para una finalidad distinta.

Artículo publicado originalmente en nuestro blog en Diario Gestion