EL CONSENTIMIENTO EN REDES SOCIALES Consentimiento datos personales y redes sociales: claves legales y prácticas
En este artículo analizamos el consentimiento datos personales redes sociales y su regulación por el RGPD y la LOPDGDD
Marco jurídico: RGPD, EDPB y LOPDGDD
¿Qué es el consentimiento datos personales redes sociales según el RGPD?
El RGPD define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona acepta, mediante una declaración o clara acción afirmativa, el tratamiento de sus datos personales. Esta definición se aplica de forma uniforme a todas las plataformas de redes sociales y a las empresas que utilizan estos canales para marketing, análisis o gestión de comunidades.
Las Directrices 05/2020 del Comité Europeo de Protección de Datos (EDPB) aclaran que el silencio, las casillas premarcadas o la inacción nunca constituyen un consentimiento válido. Por su parte, las Directrices 8/2020 sobre la segmentación de usuarios de redes sociales detallan cómo deben tratarse los datos cuando se realizan campañas de publicidad segmentada, audiencias similares o anuncios personalizados, y cuándo es imprescindible un consentimiento expreso adicional. En España, la LOPDGDD completa este marco adaptando el RGPD al ordenamiento interno y fijando, entre otros aspectos, la edad mínima para que los menores puedan consentir por sí mismos.https://www.aepd.es/
¿Qué datos se tratan en redes sociales y cuándo hace falta consentimiento?
“Datos personales tratados en redes sociales y necesidad de consentimiento”
En redes sociales, los datos personales incluyen perfiles, nombres de usuario, fotografías y vídeos, comentarios, datos de localización, identificadores en línea, así como información inferida utilizada para elaborar perfiles de comportamiento. Cuando estos datos se utilizan para fines como la publicación de imágenes de personas identificables, la realización de campañas publicitarias dirigidas, el análisis de interacciones o la cesión a terceros, el responsable debe justificar su base de legitimación y, en muchos casos, recabar un consentimiento válido.
No siempre es obligatorio basarse en el consentimiento: algunos tratamientos pueden apoyarse en la ejecución de un contrato (gestión de la cuenta) o en el interés legítimo (seguridad, prevención de abusos), siempre que se realice una ponderación adecuada y se respeten los derechos de las personas usuarias. Sin embargo, cuando se abandona el ámbito estrictamente funcional y se entra en acciones más intrusivas (publicidad personalizada, rastreo fuera de la propia plataforma, reutilización de contenidos de usuarios), el consentimiento pasa a ser la opción más segura y recomendada por las autoridades y consultorías especializadas.
Requisitos de un consentimiento válido en redes sociales
El consentimiento debe ser libre: la persona usuaria ha de poder rechazarlo sin sufrir consecuencias desproporcionadas, evitando presiones como “consentir o pagar” mal diseñados o la denegación injustificada de servicios básicos. El EDPB ha advertido que la posición dominante de ciertas plataformas y algunos modelos de “paga o consiente publicidad personalizada” pueden comprometer esta libertad si no hay una alternativa real y proporcionada.
Debe ser también informado, específico y granular.
Esto implica, entre otros puntos:
⦁ Explicar de forma clara quién trata los datos, con qué fines concretos, durante cuánto tiempo y con qué destinatarios.
⦁ Separar los distintos fines (por ejemplo, gestión del perfil, envío de comunicaciones comerciales, uso de imágenes en redes, cesión a terceros) y permitir aceptarlos o rechazarlos por separado.
⦁ Presentar las cláusulas en un lenguaje sencillo, fácilmente accesible, sin esconderlas en textos largos ni mezclarlas con la aceptación de términos y condiciones generales.
Además, el consentimiento debe ser inequívoco y demostrable: la organización tiene que conservar evidencias de la acción afirmativa (marcado de casillas, registros de formularios, registros de paneles de configuración) y asegurar que es tan fácil retirarlo como otorgarlo. Esto se traduce en paneles de privacidad claros, opciones visibles de “cancelar suscripción” o “retirar consentimiento” y procesos internos para aplicar con rapidez estos cambios (por ejemplo, dejar de usar una fotografía en redes cuando la persona lo solicita).
Menores y edad digital de consentimiento
El tratamiento de datos de menores en redes sociales es especialmente sensible. El artículo 8 del RGPD establece que, cuando el tratamiento se base en el consentimiento y el servicio de la sociedad de la información se ofrece directamente a menores, el consentimiento del menor solo será válido si tiene al menos 16 años, permitiendo a los Estados miembros fijar una edad inferior, siempre entre 13 y 16. En España, la LOPDGDD sitúa este umbral en 14 años.
Por debajo de la edad digital fijada en cada país, es necesario obtener el consentimiento verificable de la persona que ostenta la patria potestad o tutela. El responsable debe hacer “esfuerzos razonables” para comprobar que el consentimiento procede de quien dice ser el progenitor o tutor, teniendo en cuenta la tecnología disponible. Esto obliga a las redes sociales y a las empresas que lanzan campañas dirigidas a menores a diseñar formularios, flujos de alta e información adaptados, con mecanismos de verificación y textos realmente comprensibles para niños y adolescentes.https://www.aepd.es/preguntas-frecuentes/17-internet-y-redes-sociales/FAQ-1708-sobre-como-garantizar-el-libre-consentimiento-al-uso-de-cookies-por-gran-red-social
Responsabilidad compartida: plataformas y empresas
Uno de los aspectos clave que subrayan las Directrices 8/2020 es la corresponsabilidad entre redes sociales y anunciantes cuando se realiza segmentación o campañas dirigidas. La plataforma puede definir los parámetros técnicos, pero la empresa que lanza la campaña también decide sobre los criterios, las audiencias y las finalidades, por lo que ambos deben garantizar una base jurídica adecuada y cumplir con las obligaciones de información y atención de derechos.
Las consultoras de protección de datos en España y en otros Estados miembros recomiendan plasmar esta corresponsabilidad en acuerdos claros que definan quién informa a las personas usuarias, quién recoge el consentimiento y quién responde a las solicitudes de ejercicio de derechos. Para las empresas que gestionan perfiles corporativos, esto significa revisar tanto los contratos con proveedores de marketing digital como la propia política de privacidad y las condiciones de participación en concursos, sorteos o campañas.
Buenas prácticas
Recomendaciones de FORPRODAT CYL de buenas prácticas para el uso de datos en redes sociales:
⦁ Diseñar formularios y flujos de alta con botones de opciones claros, casillas desmarcadas por defecto y botones específicos para cada finalidad (por ejemplo, “acepto recibir comunicaciones comerciales por redes sociales”).
⦁ Documentar la prueba del consentimiento, manteniendo registros trazables de cuándo, cómo y para qué se obtuvo, y revisarlos periódicamente.
⦁ Aplicar el principio de minimización y privacidad por diseño, recogiendo solo los datos estrictamente necesarios para cada finalidad y evitando reutilizarlos para objetivos incompatibles sin un nuevo consentimiento o una base jurídica sólida.
⦁ Ofrecer canales sencillos para ejercer derechos (correo dedicado, formularios web, mensajes directos) y procedimientos internos para retirar contenidos, cancelar suscripciones y ajustar perfiles con agilidad.
⦁ Formar a los equipos de marketing y community management en RGPD y en las guías de la AEPD, de forma que integren la privacidad y el respeto al consentimiento en su trabajo diario (gestión de comentarios, uso de “contenido generado por el usuario”, campañas con influencers, etc.).