Redes sociales: tejiendo datos personales por la web(*)

Revista N° 28 jul.-sep. 2010

por Estefanía Santos 

Introducción

La teoría de los seis grados de separación explica que cualquier persona puede estar conectada con otra persona del planeta a través de una cadena de conocidos que no tiene más de cinco eslabones o puntos de unión. La teoría fue inicialmente propuesta en 1929 por el escritor húngaro Frigyes Karinthy, en una historia corta llamada chains. El concepto está basado en la idea según la cual el número de conocidos crece exponencialmente con el número de enlaces en la cadena, y solo un pequeño número de enlaces son necesarios para que el conjunto de conocidos se convierta en la población humana entera: solo seis eslabones nos separan de cualquier persona del mundo.

Si a principios del siglo XX eran solo seis eslabones, con la revolución de internet ¿se ha acortado esta cadena? Hoy en día, si uno busca a otro, seguramente lo primero que hará es recurrir a la red. La herramienta por excelencia del siglo XXI para encontrar personas son las redes sociales.

A través de las redes sociales, los internautas pueden, entre otras cosas, compartir sus perfiles, crear o unirse a grupos de interés y buscar conocidos o desconocidos. Cada red social pone a disposición de sus usuarios distintas aplicaciones. Pero puede afirmarse, con seguridad, que todas las redes sociales contienen incontables e innumerables datos personales de sus usuarios.

El derecho ha intentado acompañar la evolución de las nuevas herramientas tecnológicas. Aunque siempre está un paso atrás, debido a su propia naturaleza, igualmente provee los recursos para defender la intimidad de los usuarios de las ansias de la actual sociedad de la información.

Las redes sociales son actualmente las generadoras de ficheros de datos personales por excelencia y es indudable que en los próximos años serán el foco de atención de las autoridades para la aplicación de la normativa sobre protección de datos personales.

El presente trabajo tiene como objetivo analizar los riesgos para la privacidad que generan las redes sociales y cómo la legislación comunitaria de la Unión Europea puede asistir en su prevención. La presente investigación se centra principalmente en el análisis de la normativa de la Comunidad Europea —CE— relativa a la protección de datos personales. Se hará especial mención a la adopción de las directivas en el sistema jurídico español y los esfuerzos de la Agencia Nacional de Protección de Datos Personales —Agencia— por hacer cumplir la normativa comunitaria y local.

En el primer capítulo, se expondrán las principales características y aplicaciones de las revolucionarias redes sociales, para conocer en profundidad cuál es el objeto de estudio del presente trabajo de investigación. En un segundo capítulo, se analizará la legislación comunitaria sobre protección de datos personales, la cual provee soluciones legales para preservar la protección de datos personales en las redes sociales. Finalmente, se expondrán las conclusiones de la investigación.

Es importante destacar que se hará mención a varios sitios que proveen servicios de redes sociales. Dichas menciones son meramente ejemplificativas y no tienen la intención de señalar o distinguir a ningún proveedor en particular. A su vez, cabe aclarar que los términos que se encuentren en itálica a lo largo el texto están definidos en el glosario. Al final del trabajo, se encuentra un glosario de términos técnicos que ayudan a comprender los alcances de las nuevas aplicaciones y tecnologías en internet.

1. Las redes sociales

Las redes sociales son el nuevo fenómeno social de internet. Desde hace cuatro años se ha visto un crecimiento exponencial de la cantidad de redes sociales disponibles en la red y los usuarios crecen en número y participación. Actualmente, las redes sociales están integradas a nuestra cotidianidad y reciben más de una visita diaria por usuario.

Las redes sociales permiten y asisten la comunicación entre personas a través de internet y también vía celular. Los usuarios pueden comunicarse con otros que se encuentren dentro de su lista de contactos, comúnmente llamados “amigos”, y también con personas que no conocen. Este fenómeno es nuevo y se distingue de otros servicios —tales como el chat o instant messaging— por sus particulares reglas, convenciones y funciones.

En el presente capítulo se centrará la atención sobre la definición e identificación del objeto de estudio de este trabajo: las redes sociales. Luego se hará un breve relato de la evolución cronológica de este fenómeno para comprender su génesis hasta llegar a comprender su actualidad.

Finalmente, un estudio sobre los motivos y formas de uso de las redes sociales por los millones de usuarios resulta imprescindible para comprender la razón por la cual los individuos tejen sus datos personales en la web.

1.1. Definición y caracteres de las redes sociales

Las redes sociales son sitios de internet que permiten a sus usuarios construir perfiles o páginas de inicio personales, y al mismo tiempo desarrollar una red social en línea. Un estudio sociológico definió este fenómeno como un servicio basado en internet que permite a los individuos: i) construir un perfil público o semi-público dentro de un sistema limitado; ii) articular una lista de usuarios con quienes compartir una conexión y (iii) ver y atravesar la lista de conexiones propias y las ajenas dentro del mismo sistema. La naturaleza y nomenclatura de las conexiones varía según el sitio(1).

Los usuarios de redes sociales construyen su perfil con toda su información personal. Los sitios que alojan redes sociales proveen a sus usuarios, en la mayoría de los casos, de un formulario en donde se indica qué tipo de datos se deben suministrar para completarlo. Generalmente, los distintos sitios incentivan a los usuarios a completar la mayor cantidad de datos.

Los datos o elementos que generalmente se cargan en un perfil son el nombre, la edad, el domicilio o área de residencia, el sexo y una foto. Luego, dependiendo del tipo de conexiones que el propio sitio pretende entablar entres sus usuarios, se sumarán los datos sobre profesión, preferencias, pasatiempos, orientación sexual, libros o películas preferidos y cualquier otra información que sea relevante para que el usuario se sienta identificado con su perfil.

Los usuarios luego tejen una red de conexiones que, generalmente, está compuesta de personas con las que ya tienen una relación off-line. Se trata del porcentaje de sujetos que utilizan las redes sociales para contactar a extraños. Esto se debe a que la principal función de estos sitios es permitir a sus usuarios alistar y publicar sus redes sociales ya existentes.

Al momento de suscribirse, los usuarios son persuadidos a que inviten a la red social a aquellas personas con las que ya tienen una relación. Generalmente, se efectiviza exportando la lista de contactos de las cuentas de correo electrónico de los usuarios. Una vez que el usuario forma parte de la red social, puede generar nuevos contactos navegando por el sitio en busca de conocidos que ya formen parte del sistema. Cuando los invitados, formen o no parte de la red social, reciben el requerimiento de adhesión en su casilla de correo electrónico, la mayoría de las redes sociales les requieren una confirmación, como requisito indispensable para ser agregados a la lista de contactos del usuario.

Los usuarios pueden ver y acceder a los perfiles de aquellas personas que formen parte de su lista de contactos. En la mayoría de las redes sociales, los usuarios también pueden acceder a los perfiles —o aunque sea sus nombres e información de contacto— de aquellas personas que formen parte de la lista de contactos de sus propios amigos. Así es que se genera el cruce de perfiles y datos entre los usuarios de una misma red.

La exposición pública de los perfiles depende de las funciones y políticas de privacidad que preste el sitio o que hayan elegido los usuarios. Estos pueden elegir que solo accedan a sus perfiles las personas que formen parte de su lista de contactos, o todas las personas que sean contactos de sus propias conexiones.

Las redes sociales ponen a disposición herramientas de chat, instant messaging, funciones para comentar perfiles o fotos de otros usuarios y también para compartir fotos y videos, aplicaciones web para personalizar perfiles y muchas otras opciones que varían de sitio a sitio. Una herramienta muy utilizada es la posibilidad de “etiquetar” a amigos en las fotos propias o ajenas, es decir que puede asignarles a las personas cuya imagen consta en la foto un nombre o sobrenombre. Los usuarios reciben notificaciones cada vez que su imagen en fotos propias o ajenas ha sido etiquetada por otros usuarios.

Todas las redes sociales utilizan sistemas de notificación de novedades que se dirigen a las casillas de correo electrónico. Esto quiere decir, que los usuarios reciben en sus casillas todas las novedades que ocurren tanto en el perfil propio como en los perfiles de las personas que forman parte de la lista de contactos. También se reciben novedades referidas a la prestación misma del servicio de la red social.

1.2. Cronología de las redes sociales

Muchos de los caracteres de las redes sociales existían en mayor o menor medida en los sitios de chat, instant messaging o en aquellos que servían como plataformas para citas. El primer sitio de internet que puso a disposición de sus usuarios la posibilidad de crear perfiles, alistar contactos y navegar por los contactos de otros fue SixDegrees, en 1998. El nombre de este sitio de internet fue adoptado de la reconocida teoría sociológica de principios de siglo XX de Frigyes Karinthy, quien proponía que toda persona en el mundo puede estar conectada a cualquier otra persona del planeta a través de una cadena de conocidos que no tiene más de cinco intermediarios —conectando a ambas personas con solo seis enlaces—. El sitio SixDegrees tuvo millones de usuarios, pero no tuvo relevancia internacional y terminó desapareciendo del mercado.

La primera red social que logró éxito mundial fue Friendster, que se lanzó al mercado en el 2002. Friendster fue diseñado para que sus signatarios pudieran hacerse amigos de sus propios amigos. Se diferenció de los tradicionales sitios de citas al proponer el establecimiento de contactos con personas que eran amigos de los amigos de cada usuario. En este sitio se permitía la creación de perfiles, listado de amigos y la navegación por los perfiles de los amigos de otros. La única restricción para la navegación por las listas de contactos consistía en que estos estuvieran dentro de los cuatro grados de cercanía —amigos de amigos de amigos de amigos—.

Aunque Frienster tuvo éxito mundial, su vida a largo plazo se vio obstaculizada por problemas técnicos. La creación de perfiles falsos para lograr vencer la restricción de los cuatro grados, sumada a fallas técnicas debidas a la rápida e inesperada expansión de la red, le imposibilitaron un éxito sostenido en el tiempo.

Figura 1. Fechas de lanzamiento de las redes sociales más reconocidas.

foro28pag58.JPG
 

Fuente: Boyd-Ellison

Tal como surge del cuadro anterior, las redes sociales logran éxito y proliferación a nivel mundial a partir del año 2003. Cada red social fue diferenciándose en el mercado a través de la especialización de los objetivos que les proponían a sus usuarios. Tal como LinkedIn, que se instaló en el mercado como una red social de contactos profesionales, dedicada a la recomendación de colegas y a las búsquedas laborales. El sitio Classmates, por su parte, se vendió como la red social para volver a contactar a ex compañeros del colegio o la secundaria. Por otro lado, una de las más grandes redes sociales, Facebook, atrapó en un primer momento a los estudiantes universitarios americanos y hoy en día se ha generalizado su uso a nivel mundial en jóvenes de todas las edades.

Hoy, si bien siguen surgiendo redes sociales generales, tales como Facebook, MySpace y otras, se ve el crecimiento de redes sociales segmentadas, según sus usuarios, por edades, gustos, preferencias, hobbies, profesiones, etc. Así mismo, existen redes sociales que no están abiertas al público en general, cuyos consumidores requieren de recomendaciones para ingresar, como es el caso de SmallWord.

Actualmente, la expansión de las redes sociales es exponencial y su popularidad crece y avanza hacia nuevos usuarios. Los factores tecnológicos que ayudan a la penetración de las redes sociales en la vida diaria de los internautas son el aumento de accesos a internet domiciliario, el aumento de la velocidad de conexión, el desarrollo de programas fáciles que no requieren el conocimiento de herramientas de programación y la versatilidad de herramientas y aplicaciones personalizadas. La expansión de las redes sociales es parte del fenómeno de la web 2.0, a través de la cual los internautas pueden generar contenido web, subir archivos y personalizar su navegación dejando huellas publicadas en internet.

1.3. El uso de redes sociales

Actualmente las redes sociales atraen a millones de usuarios en todo el mundo. La red social Facebook es actualmente el cuarto sitio de internet más visitado del mundo, con 90 millones de usuarios activos(2).

Un estudio publicado por la Oficina de Comunicaciones de Gran Bretaña(3) —OfCom— reveló que el 28% de los usuarios de redes sociales son adolescentes de 12 a 24 años y un 43% son adultos de 25 a 49 años. Dentro de los usuarios que utilizan redes sociales, los más activos son los jóvenes de 16-24 años, que generan y mantienen actualizados sus perfiles con datos personales, fotografías y contenidos en general.

Qué tipo de datos cargan los usuarios a sus perfiles? En los perfiles de los usuarios se pueden cargar todo tipo de datos o información, como el nombre, fecha de nacimiento, domicilio, libros preferidos, orientación sexual, etc. Los profesores Gross y Acquisti elaboraron un estudio para analizar qué tipos de datos personales se cargan en los perfiles de la red social más popular en internet, Facebook. El estudio arrojó los siguientes resultados(4):

 

foro28pag60.JPG
foro28pag60.JPG
 

Un 90% de los usuarios carga una imagen de perfil, que en la gran mayoría de los casos es una fotografía. El resto de los datos, como el día de nacimiento, domicilio, nombre de la escuela secundaria, estado civil, ideas políticas y preferencias e intereses, aparecen en más de la mitad de los perfiles cargados por usuarios.

Esto demuestra claramente que los clientes de redes sociales voluntariamente cargan datos que los identifican. La simple carga de datos no es un riesgo en sí, pero se torna una preocupación cuando se analiza la visibilidad o disponibilidad de los perfiles. Esta depende de las restricciones que elija establecer el usuario. Cada sitio tiene restricciones predispuestas, que generalmente son muy laxas, debido a que las redes sociales tienden a fomentar el libre acceso a los perfiles para ampliar el número de contactos. Algunos sitios limitan la disponibilidad de los perfiles a los contactos o a miembros de grupos a los que elija unirse la persona. Lo cierto es que varios estudios han determinado que un muy bajo porcentaje de usuarios cambia las restricciones predispuestas por los sitios y que un mayor porcentaje decide cambiar las restricciones predispuestas para aumentar el acceso a sus perfiles(5).

Del estudio realizado por OfCom, se llegó a concluir que a los usuarios de las redes sociales no les preocupan los riesgos que podrían implicar la publicación de sus datos en las redes sociales. Tanto es así, que un 41% de los niños entre 8 y 17 años y un 44% de los adultos deja sus perfiles abiertos para ser vistos por todos en la red. Según el OfCom, esta actitud se debe a que los usuarios:

• No conocen los potenciales riesgos a su privacidad.

• Asumen que las restricciones predispuestas por el sitio son suficientes para proteger sus datos personales.

• No se creen capacitados para manipular las opciones de privacidad provistas por los sitios.

• No tienen fácilmente a su disposición la información sobre políticas de privacidad en el sitio.

• Tienen la percepción de que las redes sociales en internet poseen menos riesgos que otras operaciones online —tal como operaciones bancarias, compras, etc.—.

Por lo tanto, existe una falta de conocimiento generalizada entre los usuarios de redes sociales sobre los potenciales riesgos a su privacidad.

1.4. Los riesgos de las redes sociales

La publicación de datos personales para estar a disposición de una cantidad determinada o indeterminada de personas expone a los usuarios a variados focos de riesgo. Por esta razón, su estudio merece especial atención, para encontrar soluciones legales y tecnológicas que permitan proteger a los clientes en el uso de las redes sociales.

La Agencia Europea de Seguridad de las Redes y de la Información —Enisa— ha elaborado una lista de potenciales riesgos del uso de redes sociales. Esta institución fue creada en el año 2004 por los gobiernos nacionales de la Unión Europea para lograr obtener un punto de vista transparente e independiente sobre cuestiones de seguridad relacionadas con las redes y la información(6).

Las investigaciones de esta agencia se centran principalmente en los actuales desarrollos de la sociedad de la información. En este marco, Enisa ha emitido su primer documento sobre “Implicancias para la seguridad y recomendaciones para las redes sociales online(7). En este documento, se analizan las principales amenazas a la seguridad y privacidad de los usuarios de redes sociales y formulan algunas recomendaciones para contrarrestar los efectos negativos de estos sitios.

Las principales amenazas encontradas por la Enisa son las siguientes:

a) Creación de ‘dossiers’ digitales por terceros: los perfiles construidos en las redes sociales pueden ser descargados y archivados por terceros, para generar bases de datos o dossiers digitales de los usuarios. Esto permite la generación de ficheros de datos sin autorización de los usuarios que podrían utilizar para fines ilícitos —extorsión, calumnias, injurias, etc.—.

b) Recolección de datos secundarios: más allá de los datos personales voluntariamente cargados a los perfiles, los usuarios también proveen información personal al responsable del sitio por el solo uso de la red social: tiempo y duración de la visita al sitio, dirección IP, browser utilizado, preferencias de uso, aplicaciones contratadas, etc. Esto les permite a los sitios personalizar la publicidad, adaptar sus servicios a las pautas de consumo de los clientes y comercializar dicha información a terceros.

c) Reconocimiento de imágenes faciales: las fotografías cargadas se pueden relacionar directamente con los datos personales cargados en los perfiles. Existen actualmente programas de reconocimiento facial que permiten identificar a las personas y relacionarlas con datos personales existentes otros sitios de internet. Esto permite relacionar perfiles incompletos de una red social con perfiles completos de otras redes. Por lo tanto, si una persona decide no revelar su orientación sexual para sus contactos profesionales en LinkedIn, se podría igualmente acceder a dicha información utilizando los datos cargados en Facebook.

d) Identificación de contenidos basado en imágenes: a través de los paisajes, entornos y objetos presentes en las fotografías de los usuarios, se puede determinar su localización geográfica. Esto puede llevar a facilitar ilícitos, tales como extorsiones, persecuciones, stalking, etc.

e) Etiquetado de fotos y otros datos de usuarios: algunas redes sociales permiten señalar en las fotos los nombres, correos electrónicos y otros datos de las personas que aparecen en ellas. El etiquetado se realiza sin la autorización previa de las personas.

f) Dificultad de suprimir por completo los datos de la cuenta del usuario: si bien las redes sociales permiten dar de baja el perfil, los comentarios, fotografías y otras informaciones persisten en los perfiles de los demás usuarios de la red. Así mismo, las redes sociales conservan copias archivadas de los perfiles por tiempo indeterminado. Esto dificulta la efectiva disposición para los clientes de su propia información.

g) Spam: las redes sociales ya han sido víctimas del correo no solicitado. Los spammers buscan ubicar su publicidad no solicitada través de perfiles falsos, invitaciones de amigos falsos a través de perfiles muy atractivos, robo de contraseñas para enviar publicidades a todos los contactos, etc.

h) XSS: del inglés cross-site scripting, es un tipo de inseguridad informática que genera vulnerabilidades del sistema de validación de HTML. Puede generarles a los usuarios denegación de acceso a sus perfiles, contenidos no solicitados y phishing.

i) Agregado de redes sociales: existen aplicaciones que permiten unificar los datos e informaciones provistas en varias redes sociales, a través de un solo nombre de usuario y contraseña. Se potencian los riesgos al coincidir en un solo usuario y contraseña todas las amenazas de las redes sociales.

j) Phishing: es el robo de identidades a través de páginas de internet apócrifas. Si bien el phishing es una amenaza en toda la web, se ve acentuada en las redes sociales por el entorno de confianza que se crea al moverse dentro de círculos de amigos o contactos.

k) Infiltraciones a redes y goteo de información: a través de perfiles falsos, terceros pueden visualizar y utilizar los datos personales de los usuarios con fines distintos a generar contactos sociales, tales como spamming, acciones de marketing, phishing, etc.

l) Perfiles falsos y ataques a la reputación: se trata de la creación de perfiles con personas de renombre para deteriorar su reputación o la creación de perfiles de personas dentro de una determinada red para perjudicar su imagen.

m) Persecuciones o stalking: la realización de amenazas a través de medios electrónicos se ve facilitada por las redes sociales, al poner a disposición de los atacantes los datos personales, la localización y el estatus online de las víctimas.

n) Cyberbullying: se sirve del uso de información y tecnologías de la comunicación para desarrollar conductas hostiles reiteradas y deliberadas por parte de individuos o grupos, con la intención de dañar a otros(8). Las redes sociales proveen a los cyberbullies, en una sola plataforma, de todas las herramientas para dañar a los usuarios: instant messaging, perfiles falsos, comentarios a perfiles, fotos y otros contenidos, etc.

o) Espionaje corporativo: el espionaje corporativo es utilizado para captar información sensible de las empresas, a través de sus propios empleados. Los atacantes pueden proveerse de información sobre funciones, cargos y relaciones entre los empleados de los perfiles de las redes sociales.

En listado de riesgos generados por el uso de redes sociales, se pueden detectar: (i) aquellos ligados con los riesgos inherentes al uso de internet y (ii) aquellos que surgen por las características propias de las redes sociales.

En el capítulo siguiente, se analizarán las herramientas legales que existen para prevenir y corregir los riesgos a la intimidad de las personas en las redes sociales y la efectiva disposición de sus datos personales. Con la evolución actual de la normativa sobre protección de datos, los usuarios ya se encuentran provistos de garantías en contra de injerencias en su autodeterminación informativa.

2. Soluciones legales para la protección de datos personales en las redes sociales

2.1. La autodeterminación informativa

La evolución constante de la tecnología ha aportado a la sociedad innumerables ventajas. Al mismo tiempo, el desarrollo sostenido de nuevas tecnologías requiere de adaptaciones continuas a nuevos paradigmas y posibilidades. Las personas, como participantes de esta evolución, crean espacios e interacciones que las hacen sujetos de nuevos derechos y obligaciones.

Debido a que la vida cotidiana en la sociedad de la información ha hecho partícipes a los usuarios de nuevos escenarios de participación y exposición, sus derechos fundamentales también han mutado en el proceso.

Las primeras declaraciones de derechos fundamentales se basaron en garantizar la protección de los derechos de los ciudadanos frente al Estado —derechos de libertad, dignidad e igualdad—(9). Luego de la segunda guerra mundial, se reconocieron los derechos fundamentales económicos, sociales y culturales —con antecedentes en la Constitución mexicana de 1917 y la Constitución alemana de Weimar de 1919, fortalecidos por el movimiento del constitucionalismo social de la década del cuarenta.

La tercera generación de derechos fundamentales, en atención al orden histórico en que aparecieron, se agrupan en un conjunto de derechos heterogéneos, tales como: la paz, la solidaridad, la cooperación, la preservación del medio ambiente, la autodeterminación, protección de datos personales, etc. Esta tercera generación de derechos es el producto de los nuevos paradigmas que presenta la actual sociedad.

El constante desarrollo de las nuevas tecnologías, y en especial de la informática, ha creado la necesidad de una adecuada protección legal del derecho a la intimidad. En un principio, el derecho a la intimidad fue reconocido como un derecho de primera generación, para limitar las intromisiones de terceros o del Estado en el espacio privativo o reducto inviolable de la libertad individual(10). En el ámbito internacional, existe una serie de tratados que expresamente contemplan la protección de la vida privada(11).

Cuando la sociedad fue evolucionando hasta llegar a ser “sociedad de la información”, y se empezaron a confeccionar ficheros de datos personales, perfiles de consumo, tráfico de datos ordinarios y sensibles, se dio inicio al desarrollo de una conciencia jurídica sobre la necesidad de que los sujetos controlen los datos e informaciones que otras personas tienen sobre ellos y que tratan de su identidad, su personalidad y su dignidad.

Estos nuevos fenómenos sociales dieron nacimiento a nuevo derecho fundamental, derivado del derecho a la intimidad: la autodeterminación informativa. Este derecho comprende las facultades y poderes de toda persona para ejercer control sobre su información personal sometida a operaciones de tratamiento, tanto por registros públicos como privados, y, en definitiva, para disponer, dentro del marco de las regulaciones legales, cuáles datos personales pueden ser conocidos y tratados por terceros y cuáles no(12).

El derecho a la autodeterminación informativa no solo se diferencia del derecho a la intimidad, sino que lo supera. Mientras que el derecho a la intimidad permite excluir del conocimiento de terceros y del Estado ciertos datos e informaciones sobre las personas, el derecho a la autodeterminación informativa le permite a su titular disponer sobre cualquier tipo de dato personal, sea íntimo o no(13).

Este derecho fundamental garantiza a la persona un poder de control y disposición sobre sus datos personales. Como lo ha explicado la jurisprudencia española, el derecho de autodeterminación informativa le confiere a su titular un haz de facultades esenciales: (i) el consentimiento a la recogida y el uso de sus datos personales; (ii) el derecho a conocer los mismos; (iii) el derecho a ser informado de quién posee sus datos personales y con qué finalidad y (iv) el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a su posesión y empleo(14).

En suma, este derecho fundamental engloba un conjunto de derechos que las personas pueden ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales.A través del reconocimiento a la autodeterminación informativa, se está garantizando a las personas un dominio sobre su propia información y, en consecuencia, el derecho absoluto y exclusivo a la creación de la propia identidad personal(15).

Si se analizan en profundidad los riesgos que implica el uso de redes sociales, estos se basan principalmente en las violaciones, restricciones y amenazas la autodeterminación informativa de los usuarios. Estos riesgos, entre otros, son: la recolección de datos personales publicados en perfiles sin el consentimiento de su titular, el robo de identidades o perfiles, el uso de datos personales con fines promocionales sin el consentimiento del titular, el archivo de perfiles por un tiempo indefinido, la imposibilidad de cancelar datos personales publicados en perfiles, la cesión sin consentimiento a operadores de aplicaciones web u otros terceros y la creación de dossiers digitales de usuarios.

La autodeterminación informativa se encuentra regulada y garantizada en las normas sobre protección de datos personales. En este capítulo, se analizarán las normas sobre protección de datos personales para encontrar un marco jurídico idóneo que provea de soluciones legales a los usuarios de redes sociales.

2.2. La legislación comunitaria

A continuación se hará una breve mención de las normas de la CE aplicables a la protección de datos personales en las redes sociales, y luego se mencionarán las normas del ordenamiento jurídico español que se relacionan con el ámbito que nos ocupa.

El primer antecedente de la CE en plasmar el respeto a la intimidad fue el artículo 8º del Convenio Europeo de Derechos Humanos, que consagró para todas las personas “el derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia”(16).

Luego, se emitió en 1981 el Convenio 108/81/CE del Consejo de Europa(17) para la protección respecto al tratamiento automatizado de datos de carácter personal, el cual estableció los mínimos de protección de dichos datos. Casi veinte años después, en la Carta Europea(18), se dispuso en el artículo 8.º un reconocimiento autónomo a este derecho fundamental:

“Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”.

La primera norma en reglamentar minuciosamente la protección de datos generales fue la Directiva 95/46/CE del Parlamento y del Consejo Europeo(19). Esta directiva pretende generar el marco jurídico base de la protección de datos personales, teniendo en consideración el principio de libre circulación de los datos por la CE.

La Directiva 95/46/CE creó un grupo de expertos en lo que respecta al tratamiento de datos personales denominado el Grupo de Trabajo del Artículo 29 —grupo de trabajo—. El grupo de trabajo ha dictaminado que la Directiva 95/46/CE regula todo tratamiento de datos de carácter personal, independientemente de los medios técnicos utilizados: “por consiguiente, el tratamiento de datos personales en Internet ha de considerarse a la luz de esta directiva”(20).

La Directiva 97/66 CE del Parlamento Europeo y del Consejo(21), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, adecuó los principios establecidos en la Directiva 95/46/CE a normas concretas para el sector de las telecomunicaciones. Por el desarrollo de las tecnologías y del mercado, y para asegurar un adecuado nivel de protección de los datos personales y de la intimidad, se derogó dicha directiva y fue reemplazada por la 2002/58/CE(22).

Sin embargo, debe hacerse una aclaración sobre la Disposición 2002/58/CE y las redes sociales. Tal disposición solo es aplicable al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad —Disposición 2002/58/CE, art. 3º—. La Directiva 2002/21/CE(23) define a los servicios de comunicaciones electrónicas como:

“El prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o ejerzan control editorial sobre ellos; quedan excluidos así mismo los servicios de la sociedad de la información definidos en el artículo 1.º de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas”.

En principio, las redes sociales, como tales, es decir, entendidas como un servicio alojado en internet, no quedan cubiertas por la definición anterior, debido a que no proveen un acceso u ofrecen conexiones a internet. Como lo explica el grupo de trabajo, un sitio web está alojado en un proveedor de servicios de internet —p. ej., el sitio web de Facebook—, lo que significa que su responsable contrata a un proveedor de servicios de internet cierta capacidad de almacenamiento para alojar su sitio web y ponerlo a disposición del público. Los usuarios proveerán de contenidos al sitio, y el proveedor recibirá las peticiones de los usuarios de la red social en nombre del titular del sitio. En este caso, solo el proveedor de servicios será responsable por el cumplimiento de la Directiva 2002/58/CE.

Sin embargo, puede suceder que algunas redes sociales ofrezcan aplicaciones dentro de su página que conlleven a la transmisión o al encaminamiento de señales en las redes de telecomunicación. En este caso, a las funciones o aplicaciones que encuadren dentro de la definición de la Directiva 2002/21/CE les serán aplicables sus disposiciones junto con las de la Directiva 2006/24/CE sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas(24).

Así mismo, según el grupo de trabajo, existen ciertas disposiciones de la Directiva 2002/58/CE que, como los artículos 5.3 —cookies y spyware— y 13 —spam—, son de aplicación general, de modo que los sujetos obligados a cumplirlas no solo son los proveedores de servicios de comunicaciones electrónicas(25).

También serán de especial interés para la presente investigación varios dictámenes, opiniones y documentos de trabajo del Grupo de Trabajo del Artículo 29. Esta entidad ha emitido importantes documentos que han ayudado a interpretar el alcance de las directivas referidas a la protección de datos personales y ha formulado recomendaciones y dictámenes muy importantes en lo que respecta al tratamiento de datos personales en internet.

Es destacable que la Constitución española —después de la Constitución portuguesa de 1976— fue el segundo texto constitucional en velar expresamente por la protección de los derechos en la era informática(26). La Constitución española, en su artículo 18.4, establece la limitación del uso de la informática para garantizar el honor, la intimidad y la propia imagen: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Las leyes españolas de aplicación en la materia son la Ley Orgánica 15 de 1999(27) —Ley Orgánica— y la Ley General de Telecomunicaciones(28), con sus respectivos decretos reglamentarios. Esta última ley ha incluido los postulados comunitarios de las directivas sobre la protección de datos personales en el sector de las comunicaciones electrónicas.

2.3. Alcance territorial de la legislación comunitaria

Los servicios prestados a través de internet tienen elementos extraterritoriales que deben ser analizados. La cuestión a dilucidar es si las redes sociales alojadas en servidores extranjeros deben o no cumplir con la normativa comunitaria.

El artículo 4º de la Directiva 95/46/CE establece que:

“Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente directiva a todo tratamiento de datos personales cuando:

a) El tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b) El responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) El responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

[...] En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

En el primer apartado se vislumbra que el punto de conexión para definir la ley aplicable es el establecimiento del sitio web. En el caso de que esté situado en varios Estados miembros, el sitio web deberá cumplir con la normativa de cada uno de los derechos nacionales.

Si el sitio web no está situado dentro de la CE, se aplicará la normativa comunitaria si se han utilizado medios situados en un Estado miembro. Esta disposición se funda en la necesidad de proteger a las personas cuyos datos se tratan en su país por sitios web situados en el extranjero. No importa la nacionalidad del sujeto protegido, sino la ubicación de los medios utilizados.

El grupo de trabajo ha interpretado que las PC, los terminales y los servidores pueden considerarse “medios” en los términos de la directiva. Entonces, los sitios extranjeros que recojan datos a través de cookies deberán cumplir con el Derecho nacional del Estado miembro en donde se encuentre la PC del usuario: “el responsable del tratamiento emplea medios del usuario y no lo hace solamente con fines de tránsito en el territorio de la Comunidad”.

A la misma conclusión ha llegado el grupo de trabajo respecto al uso de JavaScripts, banners y otras aplicaciones web similares(29). Los JavaScripts permiten mostrar información en una página web y también pueden introducir virus en el ordenador o recoger y tratar información personal almacenada en él.

Los banners son publicidades alojadas en sitios de internet: una empresa de publicidad da la orden a un navegador del interesado de conectarse no solo con el sitio que desea consultar, sino también con el servidor de la empresa de publicidad. Entonces, la empresa de publicidad no solo envía banners a la pantalla del interesado, sino que también puede registrar los datos de tráfico de la persona que visita determinado sitio. Además, para dirigir publicidad más personalizada, las empresas colocan cookies, para generar perfiles de preferencias de usuarios(30).

Por lo tanto, las redes sociales que tengan su establecimiento dentro de más de un Estado miembro deberán cumplir con la normativa de aplicación de datos personales de cada uno de los países en cuestión. Si sus establecimientos se encuentran en el extranjero, siempre que utilicen medios ubicados dentro de la CE, deberán cumplir con el Derecho nacional en donde se encuentre el medio empleado. Las redes sociales utilizan cookies y en su mayoría contienen banners. Por lo tanto, según las interpretaciones realizadas por el grupo de trabajo, quedarían forzadas al cumplimiento de la legislación comunitaria.

2.4. Datos personales protegidos

Las disposiciones de la Directiva 95/46/CE se aplican al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero —art. 3.1—. Se encuentran excluidos del ámbito de aplicación de la directiva ciertos tratamientos relacionados con el orden público comunitario y los efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas —arts. 3.2 y 3.3—.

Los datos personales están definidos como toda información sobre una persona física identificada o identificable. Se considera identificable aquel cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su condición física, fisiológica, psíquica, económica, cultural o social —art. 2.a—. La definición es conceptualmente abarcadora de innumerables supuestos, ya que refleja el deseo del Parlamento Europeo de que la definición de “datos personales” pueda incluir toda información referente a una persona identificable.

Los datos personales deben estar contenidos o destinados a ser incluidos en un fichero y el tratamiento puede consistir en la recogida, el registro, la organización, la conservación, la elaboración, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma que facilite el acceso a ellos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción —art. 2.b—.

A la luz de las definiciones anteriores, se podría concluir que las redes sociales alojan innumerables ficheros de datos personales. Por ejemplo, el perfil construido por cada uno de los usuarios es un fichero en sí mismo, que contiene información sobre una persona física identificada o identificable. Así mismo, los amigos que tenga una persona dentro de su lista de contactos de la red es otro fichero en los términos de la directiva, ya que entre sus datos se cuentan el nombre y apellido, la foto y sus respectivos contactos.

Luego se identifican los ficheros que arma el responsable del sitio con la totalidad de los perfiles de los usuarios. Estos últimos ficheros no solo contienen datos personales provistos por los usuarios sino también aquellos que el responsable del sitio recolecta en forma invisible y automática: cantidad y duración de las visitas realizadas al sitio, browser y sistema operativo utilizado, páginas remitentes y palabras clave introducidas, información registrada en las cookies enviadas al disco duro del usuario, elaboración de perfiles de preferencias, dirección IP y demás datos que surgen del control de tráfico.

De acuerdo a la evolución en Europa de la jurisprudencia y la doctrina, es indudable que estos últimos también deben ser considerados dentro de la definición de datos personales de la Directiva 95/46/CE. Los datos de tráfico permiten clasificar a la persona detrás de una determinada computadora por sus preferencias, nivel socioeconómico, ubicación geográfica, entre otros criterios.

El grupo de trabajo ha determinado que la posibilidad de identificar a una persona en internet a través de herramientas de control de tráfico, que no equivale necesariamente a llegar a conocer su nombre y apellido, igualmente es un tratamiento de datos personales(31). El Tribunal de Justicia de las Comunidades Europeas también ha concluido en idéntico sentido que identificar a los usuarios de internet por su nombre o por otros medios, como su número de teléfono o la información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos personales en el sentido del artículo 3.1 de la Directiva 95/46/CE(32).

Ha surgido un arduo debate entre el grupo de trabajo y los buscadores sobre la consideración de la dirección de IP como un dato personal. Según el grupo de trabajo, las direcciones IP, ya sean fijas o variables, deben considerarse como datos personales, ya que “linkean” a un determinado usuario con sus preferencias, ubicación geográfica, la fecha, hora y duración de la conexión a internet(33). Para Google, en cambio, en algunos casos los responsables de buscadores no pueden identificar a una persona exclusivamente a través de la dirección IP: para los proveedores de acceso a internet que relacionan un número de IP con un domicilio de facturación, nombre y apellido del usuario es posible denominar al IP como dato personal; para los administradores de un sitio web que solo reciben los números de IP de sus usuarios y no se pueden relacionar con una persona identificable, no se trataría de un dato personal(34).

En el caso de las redes sociales, el número de la dirección de IP es siempre un dato personal, debido a que la navegación en ellas requiere de una registración previa a través de un número de usuario y contraseña. Por lo tanto, el número IP se relaciona necesariamente con un usuario determinado convirtiéndose en un elemento más de identificación de la persona.

En resumen, tanto los datos suministrados por los usuarios para construir sus perfiles, como los datos recabados por los responsables del sitio en forma invisible y automática, deben considerarse incluidos dentro de la definición de datos personales de la Directiva 95/46/CE y, por lo tanto, objeto de aplicación de sus disposiciones.

2.5. Responsables del tratamiento de datos personales

Es indudable que el titular de los datos personales es la persona destinataria de los derechos previstos en la Directiva 95/46/CE. Resulta interesante dilucidar qué actores serán responsables por el tratamiento de datos personales en las redes sociales de acuerdo con la normativa.

Se considera responsable del tratamiento de datos personales a aquel que determina sus fines y los medios de su tratamiento —art. 2.d—. Otro sujeto solidariamente obligado frente al titular de los datos es el encargado de ellos.

Los responsables de las redes sociales que administran en sitio web y todo el contenido propios, los provistos por los usuarios y terceros, son responsables por el tratamiento de los datos personales incluidos en la red.

Una cuestión a dilucidar es si los usuarios de las redes sociales son sujetos obligados por la Directiva 95/46/CE. Esta pregunta es de mucha relevancia para aclarar qué tipo de obligaciones tienen los usuarios de internet en la era de la web 2.0.

Como se explicó en el capítulo primero del presente trabajo, la nueva era de internet, llamada web 2.0, se caracteriza por la posibilidad de que los propios usuarios generen contenidos en los distintos sitios. En las redes sociales, los usuarios crean sus propios perfiles, generan listas de amigos o contactos, recomiendan o introducen a sus amigos a otros contactos, cargan fotos propias y de terceros, con la posibilidad de etiquetar sus nombres y apellidos. Al mismo tiempo, crean grupos dentro de la red para agruparse según intereses, preferencias, ubicación geográfica, antecedentes educacionales, etc.

Aunque a través del uso de las redes sociales los usuarios puedan recolectar, utilizar, ceder y generar datos personales propios o de terceros, la normativa de protección de datos personales no les es aplicable. Ello debido a que, en primer lugar, su tratamiento de datos se realiza en el ejercicio de actividades exclusivamente personales o domésticas —Directiva 95/46/CE, art. 3.3—. A su vez, los usuarios no definen los medios de tratamiento, en los términos del artículo 2.d., y tampoco lo hacen por parte del responsable del sitio, en los términos del artículo 2.e.

Las nuevas posibilidades de la web 2.0 advierten la existencia de nuevos paradigmas que requerirían normas especiales para definir las responsabilidades de todos los actores en internet, lo cual incluye a los usuarios como generadores de contenidos. Por lo pronto, es indudable que los usuarios no están exentos de respetar los derechos de uso de imagen, derechos de intimidad y privacidad de los demás participantes de la red. Por lo tanto, los usuarios deben abstenerse de realizar conductas que violen dichos derechos fundamentales; deben atenerse al cumplimiento de los términos y condiciones o códigos de conducta de las redes sociales.

2.6. Tratamiento lícito de datos personales en las redes sociales

Habiéndose determinado qué tipo de datos se encuentran protegidos, los sujetos responsables de su tratamiento y el alcance territorial de la Directiva 95/46/CE, a continuación se explicarán las disposiciones más relevantes de la normativa.

En líneas generales, para que el tratamiento de datos personales en las redes sociales sea lícito, deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines. Así mismo, los datos personales sujetos a tratamientos deberán ser exactos y actualizados, adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente. Los responsables por el tratamiento deberán conservarlos en una forma que permita la identificación de los interesados por un periodo no superior al necesario para los fines que fueron recogidos —Disposición 95/46/CE, art. 6.º—.

Se ha elegido desarrollar a continuación aquellas disposiciones que proveen de soluciones legales a las mayores preocupaciones de los usuarios de redes sociales: (i) que los usuarios puedan consentir y ser previamente informados sobre qué tipo de datos personales serán recolectados, archivados, cedidos, tratados y con qué fin; (ii) que se les asegure un tratamiento confidencial y seguro de sus datos personales; (iii) que existan medios eficaces de acceso, corrección, supresión y eliminación de datos personales; (iv) que su participación en redes sociales no los convierta en víctimas de spam.

2.6.1. Consentimiento informado 

El tratamiento de datos personales solo puede realizarse con el previo consentimiento de su titular —Disposición 95/46/CE, art. 7.º—. El titular deberá estar informado de: (i) la identidad del responsable del tratamiento; (ii) los fines del tratamiento; (iii) en caso de cesión, los destinatarios o categoría de destinatarios de los datos; (iv) el carácter obligatorio o no de la respuesta y las consecuencias de la negativa a responder y (v) la existencia de derechos de acceso y rectificación de los datos —Disposición 95/46/CE, art. 10—.

El grupo de trabajo ha emitido una recomendación sobre los requisitos mínimos para la recogida en línea de datos personales(35). La recomendación se dirige a los usuarios, a los organismos que deseen conceder etiquetas y a las autoridades europeas de protección de datos para facilitar un marco de referencia común para su tarea de verificar el cumplimiento de las disposiciones nacionales adoptadas por los Estados miembros, de conformidad con las directivas. En esta recomendación, se alista la información mínima que debe estar a disposición del titular de los datos personales de forma previa a prestar su consentimiento:

a) Declarar la identidad y las direcciones postal y electrónica del responsable del tratamiento. El responsable de la red social deberá poner los datos mencionados a disposición de sus usuarios, en un lugar visible y fácilmente accesible. Esto asegura la existencia de un responsable a quien pueden dirigir sus acciones de acceso, rectificación y supresión.

b) Indicar para qué fines de tratamiento recoge los datos el responsable a través de un sitio. El responsable de la red social deberá informar a sus usuarios con qué fines se recolectan, archivan, ceden y, en general, se tratan los datos personales. Estos deben ser recolectados con un fin determinado y no pueden ser posteriormente tratados con fines incompatibles con el informado a su titular al momento de la recolección. Por lo tanto, el responsable de la red social deberá informar, al momento de la suscripción, si los datos cargados en los perfiles serán utilizados para fines distintos a la mera participación en la red —p. ej., si los datos suministrados serán utilizados para fines publicitarios o de marketing—.

Así mismo, en el caso de datos personales recolectados a través de medios automatizados, los usuarios deberán en principio ser informados de su recolección y el fin por el cual el responsable del sitio desea recabarlos.

c) Informar claramente sobre si la información solicitada es obligatoria u opcional. El grupo de trabajo explica que la información obligatoria es aquella necesaria para prestar el servicio solicitado. La naturaleza obligatoria u opcional se podría indicar, por ejemplo, mediante un asterisco junto a los datos obligatorios, o bien añadiendo la palabra “opcional” junto a la información no obligatoria.

Esta recomendación es de fundamental importancia para las redes sociales al momento de requerir de sus usuarios la información destinada a la construcción del perfil. Como se explicó en el capítulo primero, las redes sociales incentivan la incorporación de la mayor cantidad de datos personales de sus usuarios. Sin embargo, deben indicarse aquellos datos que sean estrictamente necesarios para contratar el servicio de red social y aquellos que son opcionales.

d) Mencionar la existencia de los derechos de consentimiento u oposición, según el caso, respecto al tratamiento de datos personales, y de las condiciones para ejercer tales derechos así como los derechos de acceso, rectificación y eliminación de datos. Las redes sociales más destacadas del mercado tienen procedimientos de denuncia, que sirven al fin de oponerse a tratamientos de datos personales sin su consentimiento por parte de otros usuarios(36).

Lo que parece ser una deficiencia común en las redes sociales es el proceso de eliminación de datos. Se expondrán estas dificultados más adelante, en el acápite sobre conservación y cancelación de datos personales.

e) Deberá facilitarse información, en primer lugar, sobre la persona o el servicio al que acudir para ejercer estos derechos y, en segundo lugar, sobre la posibilidad de ejercerlos tanto en línea como en la dirección postal del responsable del tratamiento.

f) Enumerar los destinatarios o las categorías de destinatarios para la información recopilada. Los responsables de las redes sociales deben informar si realizarán cesiones de los datos personales de los usuarios y, en especial, qué tipo de datos serán cedidos y con qué fin. El grupo de trabajo sostiene la opinión de que no mencionar los destinatarios equivale a que el responsable de los datos se compromete a no comunicar ni transmitir la información recogida a terceras partes cuya denominación y dirección no haya facilitado.

Las redes sociales actualmente alojan en sus sitios aplicaciones web de terceros para personalizar las experiencias de sus usuarios, banners y otras aplicaciones. Se debe informar claramente a los clientes de las redes qué tipo de datos personales se transfieren a terceros y con qué fines.

A su vez, se debe informar si se prevé que el responsable de los datos transfiera dichos datos a países no miembros de la Unión Europea, indicando si estos países ofrecen una adecuada protección de los interesados en cuanto al tratamiento de sus datos personales.

g) Proporcionar el nombre y la dirección —postal y electrónica— del servicio o de la persona responsable de responder a las preguntas relacionadas con la protección de los datos.

h) Mencionar con claridad la existencia de procedimientos automáticos de recogida de datos, antes de usar tales procedimientos. Este requisito surge claramente de la Disposición 2002/58/CE, que en su artículo 5.3 dispone que el tratamiento de los datos personales almacenados en el equipo terminal del usuario solo podrá realizarse con el previo consentimiento informado de este, y siempre que el responsable del tratamiento le ofrezca el derecho a negarse a él. Como se explicó anteriormente, este artículo de la Disposición 2002/58/CE es de aplicación general y no se restringe solo a los proveedores de servicios de comunicaciones electrónicas.

Por lo tanto, si en la administración de la red social se prevé el uso de cookies, javascripts, banners y otras aplicaciones automáticas de recogida de datos, se debe informar de ello a los usuarios, antes de que se dispare su funcionamiento.

En el caso de que se utilicen, se debe informar el nombre de dominio del servidor de sitios que transmite los procedimientos automáticos de recogida, la finalidad de dichos procedimientos, su plazo de validez, si es necesaria o no la aceptación de dichos procedimientos para visitar el sitio y la opción de que dispone todo usuario de internet de oponerse a su uso, además de las consecuencias de desactivar dichos procedimientos.

i) Destacar las medidas de seguridad que garantizan la autenticidad del sitio, la integridad y la confidencialidad de la información transmitida a través de la red, y que se hayan tomado en aplicación de la legislación nacional en vigor. Las medidas de seguridad que deben respetar las redes sociales tendrán ajustarse a las reglamentaciones nacionales.

j) Los responsables del tratamiento deberán verificar la coherencia de la información proporcionada en los diversos “documentos”. Aquí el grupo de trabajo hace referencia a los términos y condiciones de uso, las políticas de privacidad y, en general, a los avisos legales de los sitios de internet. Estos documentos no deberán entrar en contradicción y deben ser coherentes.

Si bien el grupo de trabajo ha dispuesto el contenido mínimo del consentimiento informado, no ha definido las formas en que puede requerirse el consentimiento de los usuarios de internet. En España, la agencia ha emitido varios informes jurídicos que esclarecen la forma en que debe ser prestado el consentimiento en línea para el tratamiento de datos. La agencia ha dictaminado que el consentimiento prestado a través de una página web puede darse en forma expresa o tácita: “es decir, tanto como consecuencia de una afirmación específica del afectado (...), como mediante la falta de una manifestación contraria al tratamiento”(37).

El consentimiento expreso se da cuando los usuarios se suscriben y aceptan los llamados “términos y condiciones” o “avisos legales” de los sitios web. Para asegurar el consentimiento informado, la agencia dispuso que los datos personales habrán de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido el aviso legal(38).

El consentimiento tácito se dará cuando el usuario, habiendo sido informado del tratamiento, no haya manifestado su oposición en un tiempo prudencial. La ley española acepta el consentimiento tácito para tratamiento de todos los datos, menos los sensibles —Ley Orgánica, art. 7.º—. Para la legislación española, el tiempo prudencial ha sido establecido en treinta días y el responsable del tratamiento deberá proveer al usuario medios sencillos y gratuitos de manifestar su oposición(39).

La agencia ha dispuesto que sea necesario que conste de alguna forma en el fichero la existencia de la autorización, conservando, en un soporte que permita asegurar su autenticidad, la conformidad del usuario con el tratamiento de sus datos(40). Para ello, la agencia estableció que servirá de prueba del consentimiento informado la acreditación de que el programa impide introducir datos sin antes haber aceptado el aviso legal(41).

2.6.2. Confidencialidad y seguridad de los datos personales 

En el capítulo primero del presente trabajo se mencionó cómo los usuarios de redes sociales no están suficientemente informados de los riesgos que surgen de la publicación de sus datos personales en la red. Las estadísticas muestran que entre los usuarios de redes sociales existe la presunción de que el responsable del sitio ha tomado los recaudos necesarios para garantizar la confidencialidad y seguridad de los datos, y por esta razón no cambian las configuraciones predispuestas de seguridad ofrecidas.

Por lo tanto, es de suma importancia fijar configuraciones de privacidad predispuestas que aseguren un mínimo de seguridad y confidencialidad, y que a su vez cumplan con las disposiciones de la legislación comunitaria sobre protección de datos personales.

El artículo 16 y 17 de la Directiva 95/46/CE establece los lineamientos generales sobre la confidencialidad y seguridad, que luego deben ser adaptados y reglamentados por los derechos nacionales de los Estados miembros. La disposición establece que deben tomarse medidas que aseguren un nivel de seguridad en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

La naturaleza de los datos personales existentes en las redes sociales es heterogénea, ya que en los perfiles pueden encontrarse tanto preferencias de lectura como la orientación sexual de los usuarios. En las fotos publicadas se puede revelar el origen étnico de la personas, tanto como su localización geográfica. El potencial discriminatorio de los datos publicados en los perfiles de los usuarios lleva a concluir que los más altos niveles de seguridad deben respetarse en el tratamiento de los mismos.

En España, el decreto reglamentario(42) de la ley orgánica ha dispuesto tres niveles de seguridad para el tratamiento de datos personales: básico, medio y alto. En principio, todos los ficheros o tratamientos de datos deben adoptar como mínimo las medidas de seguridad básicas.

Resulta relevante para el estudio de las medidas de seguridad de las redes sociales el hecho de que el decreto dispone que deben adoptar medidas de seguridad de nivel medio todos los ficheros que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de su personalidad o de su comportamiento —art. 81.2.f—. Así mismo, deberán adoptar medidas de seguridad de nivel alto los responsables de ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual —art. 81.3.a—.

Tomando en consideración la calidad de datos introducidos en los perfiles de los usuarios, es manifiesto que el responsable de una red social debe velar por el cumplimiento de los más altos niveles de seguridad. Un repaso de todas las medidas de seguridad que exige el decreto reglamentario excede el objeto de estudio del presente trabajo. Pero es destacable que el decreto ha establecido, como una medida de seguridad de alto nivel en el ámbito de las telecomunicaciones, la necesidad de transmitir los datos en forma encriptada para evitar la captación e intercepción de los datos sensibles por terceros —art. 104—.

2.6.3. Derechos de acceso, rectificación, supresión y oposición 

Los titulares de datos personales tienen el derecho a acceder libremente a los datos que les conciernen y deben ser informados del objeto del tratamiento —Directiva 95/46/CE, art. 12—. A su vez, se les debe asegurar la posibilidad de rectificar, suprimir o bloquear los datos cuyo tratamiento no se ajuste a una forma lícita, en los términos de la Directiva 95/46/CE. Los titulares también están facultados a oponerse al tratamiento de sus datos.

Merece especial mención la cancelación de los datos personales de los usuarios de redes sociales, debido a la gran dificultad técnica de estas para cumplir con los requerimientos de supresión de sus usuarios. En el informe de Enisa desarrollado en el capítulo primero del presente trabajo, se explica que si bien las redes sociales permiten dar de baja el perfil, los comentarios, fotografías y otras informaciones, persisten en los perfiles de los demás usuarios de la red. Así mismo, las redes sociales conservan copias archivadas de los perfiles por tiempo indeterminado. Esto dificulta la efectiva disposición para los clientes de su propia información.

Como se explicó anteriormente, al momento de prestar el consentimiento informado, los responsables de redes sociales deben notificar a los usuarios sobre sus derechos de acceso, rectificación y supresión de sus datos personales y los mecanismos para ejercitar la facultad de oponerse a su tratamiento.

En España, la Ley Orgánica establece el ejercicio del derecho de acceso en forma gratuita en intervalos no inferiores a doce meses, salvo que se acredite un interés legítimo al efecto —Ley Orgánica, art. 15—. En el Derecho español, los titulares de datos personales podrán obtener información sobre si sus propios datos están siendo objeto de tratamiento, la finalidad del tratamiento, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos(43).

Si un usuario decide rectificar o cancelar datos que le conciernen, la ley orgánica le impone al responsable de una red social la obligación de hacer efectivo el derecho en el plazo de diez días —Ley Orgánica, art. 16—. En una red social, si el usuario detecta el tratamiento de sus datos personales sin su previo consentimiento o decide retirar el consentimiento prestado con anterioridad, deberá notificar al responsable de la red social su requerimiento.

Debido a la gran cantidad de enlaces, etiquetado de fotos, los comentarios y mensajes cruzados en los perfiles de los usuarios de redes sociales, la supresión o bloqueo total de datos personales es difícil de implementar. Los responsables de las redes sociales deberán encontrar soluciones tecnológicas para asegurar que la cancelación o el bloqueo de los datos personales sea efectiva.

2.6.4. Conservación de los datos personales 

De acuerdo con el estudio de Enisa, los usuarios de las redes sociales afrontan el riesgo del llamado efecto “Hotel California” —you may enter, but you may never leave—. Esto quiere decir que una vez que los usuarios se suscriben a una red social, la cancelación de su suscripción y la consecuente baja de su perfil es difícil o casi imposible. Esto se debe a que, con el motivo de conservar intacta la red de enlaces que generan los propios usuarios, los responsables conservan copias archivadas de los perfiles.

La normativa sobre protección de datos personales también contempla la necesidad de restringir la conservación de los datos en manos de los responsables del tratamiento. Esto se relaciona con el deber de tratar datos personales que sean adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente —Directiva 95/46/CE, art. 6.c—. Por lo tanto, los responsables de las redes sociales no están facultados para conservar dichas copias archivadas por un tiempo indeterminado, y deben asegurar que los datos sean destruidos o pasados al anonimato.

Los plazos de conservación de datos personales en línea también han sido objeto de estudio por parte del grupo de trabajo. En sus esfuerzos por encuadrar los buscadores dentro de la normativa europea sobre protección de datos personales —directivas 95/46/CE y 2002/58/CE—, el grupo arribó a la conclusión de que la retención de datos personales por parte de los buscadores no debía superar los seis meses, y luego de transcurrido dicho plazo los datos debían pasar al anonimato(44). Los datos tratados por los buscadores son principalmente las direcciones IP, el historial de búsquedas, el browser utilizado y los datos de tráfico en general. Google tomó en consideración las recomendaciones del grupo de trabajo y el 8 de septiembre publicó en su blog oficial la decisión de reducir a nueve meses el plazo de retención y utilización de la dirección IP de los usuarios de su buscador.

En definitiva, el tiempo de conservación de los datos deberá ser regulado por los derechos nacionales de cada uno de los Estados miembros de la comunidad. Por lo tanto, las redes sociales deben ajustar la conservación de las copias archivadas de los perfiles a lo dispuesto por los derechos nacionales. La conservación de las copias archivadas por un tiempo indeterminado es claramente inadmisible a la luz de la Directiva 95/46/CE.

2.6.5. Acciones contra el ‘spam’ 

En las redes sociales se contempla un servicio de notificación a la casilla de correo electrónico de los usuarios de todas las novedades que sucedan en el perfil del mismo o en los de sus contactos. Estas novedades pueden consistir en notificar que (i) se ha agregado su perfil a la lista de contactos de otro usuario, (ii) se lo invita a participar de un grupo, (iii) se le ofrece agregar a su perfil aplicaciones web personalizadas y que (iv) un usuario ha sido etiquetado en una foto, etc.

Las diferentes redes sociales tienen distintas políticas de envío de notificaciones. Lo cierto es que cuantas más notificaciones recibe el usuario de la red social, mayor va a ser la probabilidad de que este se redireccione al sitio que aloja la red social. Por lo tanto, las configuraciones predispuestas de las redes sociales fomentan la aceptación de la mayor cantidad de notificaciones a la casilla de correo electrónico.

Para que dichas acciones sean legítimas y no se conviertan en spam, los responsables de las redes sociales podrían basar sus políticas de notificaciones en las disposiciones de la Directiva 2002/58/CE. Dicha directiva establece que debe requerirse, en primer lugar, el consentimiento previo del usuario y que se le debe posibilitar oponerse a la recepción de las comunicaciones no solicitadas —art. 13—.

La Directiva 2002/58/CE dispone que el usuario puede oponerse a recibir spam al momento de requerírsele su dirección de correo electrónico. El grupo de trabajo, en su interpretación de la directiva, ha establecido que: “Todos los mensajes electrónicos deben mencionar una dirección de respuesta válida donde el abonado pueda pedir que no se le envíen más mensajes”.

En España el envío de mensajes comerciales sin el consentimiento previo está prohibido, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Información(45) como por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos.

La agencia no solo considera el spam como correo electrónico no solicitado, sino que también incluye dentro de esta categoría a las ventanas emergentes: “se trata de enviar un mensaje no solicitado que emerge cuando nos conectamos a internet. Aparece en forma de una ventana de diálogo y advertencia del sistema Windows titulado ‘servicio de visualización de los mensajes’. Su contenido es variable, pero generalmente se trata de un mensaje de carácter publicitario”(46).

En consideración de todo lo expuesto, sería recomendable que las redes sociales presenten en sus formularios de inscripción opt-ins que permitan al usuario elegir qué tipo de notificaciones desea recibir en su casilla de correo electrónico. Así mismo, en cada una de estas comunicaciones, se debería informar la dirección de correo electrónico a la que los usuarios puedan solicitar que no se envíen más mensajes.

Por otro lado, debe analizarse la acción común de la gran mayoría de redes sociales de invitar a sumarse a la red a las personas que el usuario tiene en su lista de contactos. Al momento de la suscripción, los clientes son inducidos a enviar un correo electrónico de invitación a todos o a algunos de los contactos que tengan en sus agendas de direcciones electrónicas de determinados proveedores de correo —agendas de Hotmail, Gmail u otras—. Esta forma de sumar personas a la red se basa en técnicas de marketing viral, que están en auge actualmente dentro de las nuevas formas de publicidad.

Este tipo de comunicaciones podría categorizarse dentro de la definición de spam o comunicaciones no solicitadas, pero tiene un elemento diferenciador: son los propios usuarios quienes eligen a los destinatarios y proveen la dirección de correo electrónico de sus amigos. Nuevamente, vemos como las nuevas tendencias en internet llaman a un nuevo análisis sobre los alcances de la normativa sobre protección de datos personales.

Si bien ya habíamos definido que los usuarios no podrían considerarse como responsables del tratamiento de datos personales en los términos de la Directiva 95/46/CE, sus conductas podrían colaborar con la violación del derecho a la autodeterminación, la intimidad y la privacidad de otros usuarios.

3. Conclusiones

El nuevo fenómeno de las redes sociales en internet es una clara manifestación de la evolución constante de la sociedad de la información. A medida que crezca la conectividad de los individuos a internet, se generalice su uso y crezca la exposición diaria a esta herramienta informática, seguirán creciendo los sitios web que permitan desarrollar relaciones sociales en línea.

Las redes sociales, con sus especiales características, han revolucionado la forma de relacionarse en el mundo posmoderno. Se comparten preferencias, fotos, experiencias y todo tipo de información a través de la red. Sin embargo, debe encontrarse un equilibrio razonable entre la necesidad de comunicación de los individuos y el respeto a su intimidad o a su autodeterminación informativa.

El equilibrio puede encontrarse en el cumplimiento de la normativa sobre protección de datos personales. En el presente trabajo de investigación se ha demostrado que la legislación comunitaria y su consecuente adaptación al Derecho nacional de los Estados miembros proveen de soluciones legales para la protección de la autodeterminación informativa en línea.

Asegurando un consentimiento informado, la confidencialidad y la seguridad de los datos personales, así como los derechos de acceso, rectificación, supresión y oposición y los límites a la conservación de los datos, se está garantizando a los usuarios la disposición sobre su información y la facultad de determinar su identidad en línea.

En el presente trabajo se quiere dejar abierto, para un estudio posterior, el análisis de la participación activa de los usuarios en internet. La evolución de la web 2.0 genera nuevos desafíos al momento de definir responsabilidades por el contenido generado por los usuarios en la red. Lo que ha quedado clarificado es que los usuarios no pueden ser considerados responsables por el tratamiento de datos personales en los términos de la legislación comunitaria. Sin embargo, esto no los libera de respetar el derecho a la imagen, a la intimidad y a la autodeterminación informativa de otros sujetos. En el futuro, se deberán desarrollar con mayor profundidad las responsabilidades, las obligaciones y las limitaciones legales a la participación de los usuarios en internet.

Las redes sociales seguirán promoviendo que sus usuarios tejan datos personales en la web y las nuevas tecnologías posibilitarán distintas formas de relacionarse entre los sujetos. El derecho deberá acompañar esta evolución a un ritmo acelerado, para asistir a la sociedad en la construcción de lazos seguros de comunicación.

4. Glosario de términos técnicos

Aplicaciones web 

Cualquier aplicación que es accedida vía web por una red como internet o una intranet. Las aplicaciones web son utilizadas para implementar webmail, ventas online, subastas online, wikis, foros de discusión, weblogs, etc.

• Características de las aplicaciones web:

— El cliente puede acceder fácilmente a estas aplicaciones empleando un navegador web o similar.

— Si es por internet, el cliente puede entrar desde cualquier lugar del mundo.

— Pueden existir miles de clientes pero una única aplicación instalada en un servidor, por lo tanto, se puede actualizar y mantener una única aplicación y todos sus clientes verán los resultados inmeditamente.

— Emplean tecnologías como Java, JavaScript, DHTML, Flash, Ajax, etc., que dan gran potencia a la interfaz de usuario(47).

Banner 

O web banner, es una forma de publicidad en la world wide web —WWW—; generalmente tiene forma rectangular, y que puede ser una imagen —GIF, JPEG, PNG, etc.—, un programa JavaScript o un objeto multimedia creado con Flash, Shockwave, Java o similar. Puede utilizar animación y sonido. Un webmaster ubica los web banners en diferentes posiciones de sus páginas, y estas reciben las ganancias generadas por clic, por número de impresiones, etc.

Browser —explorador, navegador web— 

Aplicación que sirve para acceder a la WWW —todas las páginas web— y “navegar” por ella a través de los enlaces.

Generalmente, estos programas no solo traen la utilidad de navegar por la WWW, sino que pueden también administrar correo, grupos de noticias, ingresar al servicio de FTP, etc. Actualmente, los navegadores más populares son Internet Explorer, Netscape, Opera y Firefox. Cada navegador provee su propio user-agent(48).

Cookies 

Son pequeños archivos de texto que son descargados automáticamente —si está permitido por las reglas de seguridad— al navegar en una página web específica.

En una cookie se almacena cierta información sobre el visitante que la página considera importante recordar. Se usa, por ejemplo, para que cada vez que accedamos a una página, esta se adapte a nuestro gusto —en un idioma determinado, con ciertos colores, etc.—. También sirve para la persistencia de sesiones(49).

Chat 

Recurso en internet que permite comunicarse en forma de texto con otros usuarios(50).

Cyberbullying 

El uso de información y tecnologías de la comunicación para desarrollar conductas hostiles reiteradas y deliberadas por parte de individuos o grupos, con la intención de dañar a otros(51).

Dirección IP 

Serie de números asociada a un dispositivo —generalmente una computadora— con la cual es posible identificarlo dentro de una red configurada específicamente para utilizar este tipo de direcciones —una red configurada con el protocolo IP, ‘Internet Protocol’—. Internet es un ejemplo de una red basada en protocolo IP versión 4.

Dado que internet es una red basada en el protocolo IP, toda computadora o dispositivo conectado a ella debe ser asociado a una dirección IP. Esta dirección identifica a ese dispositivo unívocamente y puede permanecer invariable en el tiempo o cambiar cada vez que se reconecte a la red. Una dirección IP es estática cuando no varía, y es dinámica cuando cambia en cada reconexión.

Las direcciones IP, en su versión 4, tienen la forma xxx.xxx.xxx.xxx, donde ‘x’ es un número de cero a nueve —p. ej., 200.045.128.001—. Los ‘xxx’ pueden tomar desde el número 000 hasta el 255. ICANN es la organización encargada de distribuir las direcciones IP(52).

JavaScripts 

Lenguaje de programación interpretado, es decir que no requiere compilación. Es utilizado especialmente en páginas web, embebido en el código HTML o similares. La mayoría de los navegadores pueden interpretar los códigos JavaScript incluidos en las páginas web.

JavaScript es un lenguaje basado en prototipos, pues las nuevas clases se generan clonando las clases base —prototipos— y extendiendo sus funcionalidades.

Malware 

Cualquier programa creado con intenciones de molestar, dañar o sacar provecho de las computadoras infectadas.

En general, es fácil determinar si un programa es —o contiene— un malware: sus actividades son ocultas y no son anunciadas al usuario. Pero existen casos en que la distinción no es clara, provocando hasta demandas por parte de los desarrolladores de estos programas a los antivirus y antiespías que los detectan como malignos.

Phishing 

El phishing es un tipo de engaño creado por hackers malintencionados, con el objetivo de obtener información importante, como números de tarjetas de crédito, claves, datos de cuentas bancarias, etc. El objetivo más común suele ser la obtención de dinero del usuario que cae en la trampa. Por lo general, el engaño se basa en la ignorancia del usuario al ingresar a un sitio que presume legal o auténtico(53).

Spam 

Todo correo electrónico que contiene publicidad que no ha sido solicitado por el propietario de la casilla. La actividad de los spammers es considerada poco ética e incluso ilegal en muchos países. Es un tipo de correo electrónico no deseado(54).

Spyware 

Cualquier aplicación informática que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de malware que, por lo general, se introduce y opera en el equipo sin que el usuario lo advierta.

También hay espías que entran en las computadoras cuando el usuario, al instalar un programa, acepta las condiciones de uso, cuyo texto por lo general es obviado.

Además de verse vulnerada la privacidad de los usuarios, los spywares pueden producir pérdidas económicas, pues llegan a recolectar números de tarjetas de crédito y claves de acceso. También pueden producir gran deterioro en el funcionamiento de la computadora, como bajo rendimiento, errores constantes e inestabilidad general.

XSS —cross-site scripting— 

Problema de seguridad en las páginas web, generalmente por vulnerabilidades en el sistema de validación de datos entrantes. Un ataque XSS consiste en enviar un script malicioso a la página, ocultándolo entre solicitudes legítimas(55).

Para funcionar necesitan un punto de entrada, que suelen ser los formularios. A través de un ataque XSS, se puede secuestrar cuentas, cambiar configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar el contenido del sitio, etc.(56).

Web 2.0 

Término utilizado para describir la segunda generación de la WWW, que está enfocada en la habilidad de la gente para colaborar y compartir información online. La web 2.0 básicamente se refiere a la transición del HTML estático a webs más dinámicas, más organizadas y basadas en aplicaciones de servicio a los usuarios. Otra mejora en la funcionalidad de la web 2.0 es la comunicación abierta con énfasis en las comunidades de usuarios. Los blogs, wikis y otros servicios son todos vistos como componentes del web 2.0(57).

(*) Artículo premiado con el 2.º puesto en el Concurso internacional de trabajos inéditos sobre protección de datos personales, año 2009, organizado por la Agencia Española de Protección de Datos Personales.

(1) Boyd, D. y Ellison, N. Social Networks Sites, Definition, History and Scholarship. En: Journal of Computer Mediated Communication, Oct. 2007 —la traducción es de la autora del presente trabajo—.

(2) Nash, K. S. A Peek Inside Facebook. Disponible en: www.pcworld.com. Recuperado el 31 de agosto de 2008.

(3) Office of Communications. Social Networking. A quantitative and qualitative research report into attitudes, behaviours and use. En: Research Document, 2 de abril del 2008.

(4) Gross, R. y Acquisti, A. Information Revelation and Privacy in Online Social Networks (The Facebook Case). En: Proceedings of WPES’05, Alexandria, VA, ACM, pp. 71-80.

(5) Joinson, A. N. Looking at, Looking up or Keeping up with People? Motives and Uses of Facebook. En: Proceedings of ACM CHI 2008 Conference on Human Factors in Computing Systems, April 5-10, 2008, pp. 1027-1036.

(6) www.enisa.europa.eu.

(7) Enisa Position Paper n.º 1: Security Issues and Recommendations for Online Social Networks, October 2007. Disponible en: www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf.

(8) Definición extraída de www.cyberbullying.org.

(9) Carta Magna de 1215, la Petition of Rights de 1677, la Habeas Corpus Act de 1679, el Bill of Rights de 1689 y las primeras constituciones de las colonias que integrarían los Estados Unidos de América.

(10) Ekmekdjian, M. A. Manual de la Constitución Argentina. Edición Depalma, 3ª ed., Buenos Aires: 1997.

(11) La Declaración Universal de Derechos Humanos, en su artículo 12, señala que nadie será objeto de injerencias arbitrarias en su vida privada, lo que es recogido por el Pacto Internacional de Derechos Civiles y Políticos de Naciones Unidas —art. 17, inc. 1.º—.

(12) Peyrano, G. F. El derecho a la intimidad informática. Garantía de la privacidad personal en los entornos virtuales de las comunicaciones electrónicas. JA 2007-IV-1313.

(13) Wilma A. T. La protección de datos de carácter personal en el sector de las telecomunicaciones. En: Proyecto de Información y Cyberlaw, diciembre de 2002. Disponible en: www.ucm.es.

(14) STC 290/2000.

(15) Adinolfi, G. Autodeterminación informativa, consideraciones acerca de un principio general y un derecho fundamental. En: Cuestiones Constitucionales, n.º 17, julio-diciembre, 2007, Biblioteca Jurídica Virtual del Instituto de Investigaciones Jurídicas de la UNAM. Disponible en: www.juridicas.unam.mx.

(16) Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950, ratificado por España con fecha 26 de septiembre de 1979, y publicado en el Boletín Oficial del Estado de 10 de octubre de 1979. Revisado en conformidad con el Protocolo n.º 11 —fecha de entrada en vigor 1º de noviembre 1998—.

(17) Convenio 108/81/CE del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

(18) Carta de los derechos fundamentales de la Unión Europea, DO C 364, 18.12.2000, p. 1.

(19) Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31.

(20) Grupo de Trabajo sobre Protección de Datos del Artículo 29, “Documento de trabajo: Privacidad en internet: enfoque comunitario integrado de la protección de datos en línea. Adoptado el 21 de noviembre de 2000”. 5063/00/ES/FINAL WP 37.

(21) Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones DO L 24 de 30.1.1998, p. 1.

(22) Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, DO L201 31.7.2002, p. 37.

(23) Directiva 2002/21/CE del Parlamento Europeo y del Consejo de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva Marco). DO L 108 24.4.2002, p. 33.

(24) Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. BO L 105 13.4.2006, p. 54.

(25) Grupo de Trabajo del Artículo 29: “Opinion 1/2008 on data protection issues related to search engines”, de 4 de abril de 2008, 00737/EN WP148.

(26) Ortega Giménez, A. El derecho fundamental a la protección de datos de carácter personal en España”. En: Revista de Derecho Informático, n.º 121, agosto 2008.

(27) Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal. Decreto reglamentario: Real Decreto 1720/2007 del 21 de diciembre por el que se aprueba el reglamento de desarrollo (deroga los reales decretos 195/2000, 994/1999).

(28) Ley 32 de 2003, de 3 de noviembre, General de Telecomunicaciones (BOE núm. 264, de 4-11-2003, pp. 38890-38924; corrección de errores BOE núm. 68, de 19-03-2004, p. 12202).

(29) Grupo de trabajo, “Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecido fuera de la UE”, 30 de mayo de 2002, 5035/01/ES/WP 56.

(30) Esta interpretación del grupo de trabajo no ha sido acogida por los responsables de sitios web. Por ejemplo, para Google, la interpretación que hace el grupo de trabajo según la cual el empleo de cookies se puede considerar como “recurrir a un medio” ubicado en la CE es incorrecta.

(31) Grupo de trabajo, “Dictamen 4/2007 sobre el concepto de datos personales”, adoptado el 20 de junio de 2007, 01248/07/ES WP 136, p. 15.

(32) Tribunal de Justicia de las Comunidades Europeas C-101/2001 (fallo Lindqvist) de 6/11/2003, apartado 27, Rec. 2003, pp. I-12971.

(33) Grupo de trabajo, “Dictamen 4/2007 sobre el concepto de datos personales”, adoptado el 20 de junio de 2007, 01248/07/ES WP 136, p. 15; y Grupo de Trabajo del Artículo 29: “Opinion 1/2008 on data protection issues related to search engines”, 4 de abril de 2008, 00737/EN WP148.

(34) Responses to the article 29, Working Party Opinion on Data Protection Issues Related to Search Engines.

(35) Grupo de trabajo: “Recomendación sobre determinados requisitos mínimos para la recogida en línea de datos personales en la Unión Europea”, 17 de mayo de 2001, 5020/01/ES WP 43.

(36) Por ejemplo, www.facebook.com y www.linkedin.com (consultar términos y condiciones de uso y políticas de privacidad).

(37) Agencia, “Tratamiento de datos a través de páginas web”, informe 49/2007.

(38) Ídem, nota 38.

(39) Agencia, “Formas de obtener el consentimiento mediante web: Consentimientos tácitos”, informe 93/2008.

(40) Agencia, “Cumplimiento del deber de información”, informe 20/2007.

(41) Ídem, nota 38.

(42) Real Decreto 1720/2007 de 21 de diciembre de 2007.

(43) Decreto Reglamentario artículo 27.1.

(44) Grupo de Trabajo del Artículo 29: “Opinion 1/2008 on data protection issues related to search engines”, 4 de abril de 2008, 00737/EN WP148.

(45) La Ley de Servicios de la Sociedad de la Información, en su artículo 21.1, prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

(46) Agencia: “Guía para la lucha contra el spam”.

(47) Diccionario de Términos Informáticos. Disponible en: www.alegsa.com.ar.

(48) Ídem.

(49) Ídem.

(50) Ídem.

(51) www.cyberbullying.org.

(52) Diccionario de Términos Informáticos. Disponible en: www.alegsa.com.ar.

(53) Ídem.

(54) Ídem.

(55) Ídem.

(56) Ídem.

(57) Ídem.