1. El Community Manager y
la Ley de Protección de Datos
Eugenia Garrido · Curso Community Manager · DICAMPUS
5 de junio de 2013
2. Obligado
cumplimiento¿Qué es la LOPD?
Es la Ley Orgánica de Protección de Datos de
Carácter Personal.
Regula el intercambio de información privada
Fue aprobada el 13 de Diciembre de 1999 y
entró en vigor el 14 de Enero de 2000.
Adaptación de la legislación española a los
requisitos de la UE en lo que respecta al
tratamiento de datos de carácter personal.
3. Objetivo de la LOPD
Garantizar la protección y buen tratamiento
de nuestros datos personales regulando:
La manera en la que son recogidos.
Cómo se utilizan y para qué finalidad.
El ejercicio de los derechos del afectado
(ARCO).
LOPD no impide que utilicemos los datos que
almacenamos, regula cómo debemos utilizarlos
4. ¿Qué es un dato personal?
Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo que
nos identifica o nos puede identificar.
Información referida a nuestra identidad física,
fisiológica, psíquica, económica, cultural o social.
5. ¿Qué es un dato personal? (cont.)
Atendiendo al nivel de la información que se
recoja de los clientes y/o usuarios, los datos se
dividen en tres niveles:
Nivel básico Nivel medio Nivel alto
Datos identificativos como:
NIF, imagen, nº de la
Seguridad Social, dirección,
firma, nombre y apellidos,
vídeo, e-mail, radiografía,
matrícula, tarjeta de crédito,
fotografía, grabación de voz,
nº de asociado,…
Datos acerca de infracciones
penales o administrativas,
solvencia o crédito, datos de
la SS o tributarios, de
prestación de servicios
financieros, referentes a la
personalidad o
comportamiento de las
personas (gustos,
costumbres,….)
Datos acerca de ideología,
religión, creencia, origen
racial, salud, vida sexual o
violencia de género.
6. ¿Quién debe cumplir la LOPD?
Cualquier persona física o jurídica que en el
ejercicio de su actividad almacene o utilice
datos de carácter personal.
Colegios
profesionales
Comunidades
de VecinosONG/
Asociaciones
Autónomos
Corporaciones
Empresas
… y
7. La AEPD
• Agencia Española de Protección de Datos.
• Su misión: velar por el cumplimiento de la
legislación sobre protección de datos.
Controlar la aplicación de la LOPD
• Inspeccionar los ficheros.
• Ejercer la potestad sancionadora.
• Consideración de autoridad pública.
• Se autofinancia con las sanciones que impone.
8. Concretando… (i)
Existe un conjunto de datos de
carácter personal organizado de
alguna manera que permita acceder a
ellos utilizando algún criterio
determinado Fichero
La base de datos debe estar
registrada en la AEPD y sus “dueños”
cumplir una serie de condiciones que
aseguren la privacidad e indiquen qué
uso se va a hacer de esos datos.
Sí
9. Concretando…(ii)
Responsable del
fichero
Persona o titular del
fichero en el que se
encuentran
almacenados los
datos.
Es quien va a ser
sancionado.
Encargado del
tratamiento
Su responsabilidad
se limita a seguir
las instrucciones y
cumplir con las
estipulaciones del
contrato de acceso
a los datos por
cuenta de terceros.
10.
11. El Community Manager (i)
Los que se dedican al mundo del
social media ya sea como empresa o
como freelance NO están exentos.
El usuario 2.0 es un ente identificado
que facilita datos personales Desde el
momento que se
tratan datos
personales de
otros HAY que
cumplir la LOPD
Recogen
información
de sus
seguidores
Contactan
con
seguidores
Etiquetan a
otras personas
Suben
imágenes a
al perfil
12. El Community Manager (ii)
La AEPD puede considerar que eres responsable
de ficheros si gestionas una página de fans,
tienes un perfil abierto o más amigos en
Facebook de los considerados “normales”.
No solo Facebook sería responsable de los datos
de los usuarios sino también la empresa
propietaria de la página de fans.
13. El Community Manager (iii)
• ¿De quién son los datos que maneja el
CM?
• ¿El CM cumple estrictamente las
instrucciones del cliente?
• ¿El CM gestiona libremente a su parecer
las redes sociales?
• Si la relación termina, ¿cómo se
devuelven las contraseñas de las
cuentas de los perfiles?
• Si hay alguna responsabilidad legal, ¿en
quién recae?
• … ¿? ¿? ¿?
14. El Community Manager (iv)
Firmar contrato con el cliente donde se dejen
claro de antemano las condiciones del
servicio, precio, horas, obligaciones y
responsabilidades.
15. Algunos consejos (i)
• Ofrecer información básica sobre la identidad y
localización del responsable, finalidad que se
persigue y forma de ejercicio de los derechos.
• Subir fotos de eventos, etiquetar personas.
Se debe recabar el consentimiento del particular a
través de cláusulas. En las invitaciones, por
ejemplo.
• Nuevos contactos.
El CM deberá saber para qué finalidad se van a
tratar esos datos, si se van a ceder a otras
empresas del grupo o a terceros,…
• Hiperenlazar a políticas de privacidad
corporativas.
16. Algunos consejos (ii)
• Establecer procedimiento de bienvenida a nuevos
amigos/seguidores con un mensaje vía e-mail.
• Toda utilización de los datos de la red social en
que se encuentran requieren autorización previa.
• Organizar sorteos, rifas, concursos on line.
Redactar las bases legales (NO corta/pega):
Condiciones de participación.
En qué consiste el premio.
Duración del sorteo.
Si se realiza ante notario.
Modificaciones del premio.
Qué se va a hacer con los datos de las personas que
participen en el sorteo.
17. Algunos consejos (iii)
• Enviar documentación a varios contactos siempre
con copia oculta.
• Formulario de contacto en la web.
▫ Incluir un mecanismo de verificación que permita
asegurar que se ha informado al cliente.
• NO pensar que un perfil abierto en una red social
implica consentimiento.
Internet y las redes sociales no son fuentes
accesibles al público.
18. Errores más comunes
• Pensar que la LOPD solo la tienen que cumplir
las empresas.
• Creer que la AEPD no va a venir a mi negocio
porque es pequeño, soy autónomo y/o trabajo
como freelance.
• Deducir que como no se manejan los datos
personales ni se dispone de ellos físicamente,
el responsable es la persona que los trata.
• No inscribir los archivos en el Registro
General de la AEPD.
19. El “yo no sabía que no
podía”, no exime de
responsabilidad
20. Sanciones (i)
De 900 a 40.000 €
infracciones leves
De 40.001 a 300.000 €
infracciones graves
De 300.001 a 600.000 €
infracciones muy graves
El tipo de infracción (leve, grave, muy grave) atenderá
al nivel de datos afectado (básico, medio, alto).
22. Conclusiones
LOPD
Gran desconocimiento de la LOPD en general, y de las
obligaciones que marca en particular.
Falta de experiencia para implantar las medidas de
seguridad que exige la Ley.
Es muy fácil denunciar o ser denunciado.
No impide que utilicemos los datos que almacenamos, sino
que regula cómo debemos utilizarlos.
COMMUNITY MANAGER
Conocer qué exige la LOPD. El conocimiento legal del
entorno es clave para el éxito de la actividad.
Importancia de firmar contrato con el cliente.
Contar con el asesoramiento de un profesional en la
materia.
23. Enlaces de interés
• Agencia Española de Protección de Datos (AEPD)
• http://www.agpd.es
• Cuida tus datos
• http://www.cuidatusdatos.com
• Estudio sobre la privacidad de los datos personales y la seguridad de la
información en las redes sociales on line (2009)
• http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/com
mon/Estudios/est_inteco_redesso_022009.pdf
• Alejandro Touriño: Escribir en Internet: Guía jurídica para los nuevos
medios y las redes sociales
• http://www.abogacia.es/2012/10/02/escribir-en-internet-guia-juridica-para-
los-nuevos-medios-y-las-redes-sociales/
• José C. Moratilla: ¿Lo que se hace en Facebook se queda en Facebook?
• http://www.pysnnoticias.com/2011/01/05/%C2%BFlo-que-ocurre-en-
facebook-se-queda-en-facebook/
• Javier Prenafeta: Implicaciones sobre protección de datos en el uso de
páginas de empresa en Facebook.
• http://www.jprenafeta.com/2011/04/08/implicaciones-proteccion-dat-en-
uso-paginas-empresa-facebook/
24. “El community manager que quiera gestionar sin riesgo la
presencia de una marca o empresa en la red, debe
conocer los límites legales de su actuación, so pena, en
caso de no hacerlo, de incurrir en algún ilícito jurídico o
descrédito reputacional para la propia marca”.
Alejandro Touriño
Socio de Information Technology de ECIJA
Eugenia Garrido
Curso Community Manager
DICAMPUS - 4/06/2013