Analyser son audience pour mieux communiquer… quelles sont les règles ?

Analizar tu audiencia para comunicarte mejor... ¿cuáles son las reglas?

Vigilancia Legal No. 49 – Julio de 2022

Analizar tu audiencia para comunicarte mejor... ¿cuáles son las reglas? Hoy en día, los medios de comunicación y las redes sociales permiten a las empresas analizar su audiencia para poder segmentarla mejor, mejorar su imagen y adaptar su estrategia de marketing.

Por lo tanto, es posible, y cada vez más común, recurrir a una empresa de "social media monitoring" que rastree la web, siga las conversaciones más relevantes en las redes sociales y proporcione a sus clientes informes y análisis adaptados a sus necesidades.

Aunque los datos analizados sean públicos, a menudo son datos personales que permanecen protegidos por el RGPD, ya se trate de influencers, periodistas u otras personas activas en las redes sociales.

¿Quiénes deben cumplir estas obligaciones?

Al contratar a un socio externo para evaluar cómo se percibe en las redes sociales, la empresa cliente se considera el responsable del tratamiento de datos del servicio contratado y la empresa de monitorización de medios es el subcontratista.

Las implicaciones son significativas, ya que implica responsabilidad por cómo se recopilan, procesan y almacenan los datos de las redes sociales.

Por lo tanto, es recomendable verificar varios elementos al concluir dicho contrato, con el fin de garantizar que las prácticas de la empresa que realiza el “media monitoring” cumplen con el RGPD:

  • ¿Donde está ubicada la empresa?

Si la empresa está establecida fuera de la UE, es importante comprobar la legislación aplicable, especialmente si la empresa no está ubicada en un país que ofrezca un nivel de protección adecuado.

En este caso, será necesario utilizar garantías específicas para asegurar la protección de datos, normalmente cláusulas contractuales tipo.

  • ¿La empresa proporciona el nombre y los datos de contacto de su DPO?
  • ¿Publica su política de privacidad de protección de datos en su sitio web o puede ponerse a disposición si se solicita?

Tenga en cuenta que aquí debe hacerse una distinción entre la política de protección de datos para el sitio web y la política de procesamiento de datos para los servicios de monitoreo de medios.

  • ¿Los siguientes detalles están incluidos en este documento y/o en el contrato?
  • Roles respectivos como subcontratista o responsable del tratamiento de datos, alcance de las responsabilidades de cada persona;
  • Condiciones de recogida de datos personales, fuente de datos, tipos de datos recogidos y lugar de almacenamiento, forma en que estos datos se agregan o seudonimizan cuando corresponda;
  • Base legal;
  • Periodo de conservación de datos;
  • Medidas de seguridad y confidencialidad;
  • Transferencia de datos fuera de la UE;
  • Información a los interesados y modalidades de ejercicio de sus derechos.

Es mejor confiar en las empresas que proporcionan el mayor nivel de detalle sobre estos diversos elementos.

Esto no exime a la empresa cliente de adoptar por sí misma medidas adicionales como responsable del tratamiento de datos.

En lo que se refiere en particular a la información a las personas interesadas, puede considerarse que la información directa implica esfuerzos desproporcionados.

No obstante, a la política de protección de datos del sitio web se podrá añadir un aviso informativo que informe al público en general sobre los análisis de audiencia realizados, especifique las distintas responsabilidades y derechos y haga referencia al sitio web del socio externo para obtener más detalles.

Y también

Francia:

La CNIL publicó su posición sobre las cámaras aumentadas el 19 de julio y exige una reflexión global sobre el uso adecuado de estas herramientas en los espacios públicos.

La Comisión señala el riesgo de una vigilancia y un análisis generalizados que podrían, en respuesta, modificar el comportamiento de las personas que caminan por la calle o van a las tiendas.

Recuerda que la legislación francesa no autoriza a las autoridades públicas a utilizar cámaras aumentadas para detectar y perseguir delitos y considera que es necesario fijar límites para no utilizar nunca estas cámaras con fines de "calificación" de personas.

El 26 de julio, la CNIL publicó recomendaciones sobre el control de edad en los sitios web: Se aboga por el desarrollo de soluciones más eficaces y respetuosas con la privacidad, con referencia al uso de tarjetas bancarias y reconocimiento facial.

También apoya el desarrollo del rol de terceros de confianza.

La CNIL también impuso una multa de 175.000 euros a la empresa Ubeeqo International el 21 de julio. empresa de alquiler de coches, en particular por haber provocado una invasión desproporcionada de la privacidad de sus clientes al geolocalizarlos casi permanentemente.

Europa:

Los dos reglamentos europeos sobre mercados y servicios digitales (DMA y DSA) fueron adoptados por el Parlamento Europeo el 5 de julio por una gran mayoría.

La DMA también fue aprobada finalmente por el Consejo en julio, mientras que se espera que la DSA sea aprobada en noviembre.

La Comisión ya está considerando la creación de una división especializada para garantizar el cumplimiento de la DMA por parte de los gigantes digitales.

El Comité Europeo de Protección de Datos (CEPD) respondió a la recopilación de datos personales por parte de TikTok en una carta del 28 de julio a varias ONG.

Se destaca la rápida actuación de las autoridades de control irlandesas, italianas y españolas tras el anuncio de TikTok de que ya no solicitaría el consentimiento de los usuarios para enviar anuncios personalizados (la base legal se convierte en el interés legítimo de TikTok y sus socios).

Tras estas acciones, TikTok anunció que suspendía este cambio de base legal.

El Comité también adoptó una posición con el Supervisor Europeo de Protección de Datos (SEPD) sobre el reglamento propuesto para prevenir y combatir el abuso sexual infantil.

La propuesta tiene como objetivo imponer obligaciones a diversos servicios web relacionados con la detección, denuncia, eliminación y bloqueo de material de abuso sexual infantil (MASI) y solicitación infantil en línea.

Si bien recuerdan que consideran que estos delitos son particularmente graves y atroces, las autoridades de control señalan que el carácter intrusivo de la propuesta, en su forma actual, puede presentar más riesgos para las personas y, por extensión, para la sociedad en su conjunto, que para los delincuentes perseguidos por el CSAM.

El CEPD y el SEPD han emitido su dictamen sobre la propuesta de la Comisión Europea para el Espacio Europeo de Datos Sanitarios (EHDS).

La propuesta pretende crear una "Unión Europea de la Salud" "aprovechando plenamente el potencial que ofrece el intercambio, el uso y la reutilización seguros de los datos sanitarios".

El dictamen destaca en particular los riesgos asociados al uso secundario de datos sanitarios electrónicos, que puede generar beneficios para el bien público, pero no está exento de riesgos para los derechos y libertades de las personas.

El CEPD publicó su posición sobre las transferencias a Rusia el 12 de julio.

El Comité no hace comentarios sobre la evolución del nivel de protección de datos en este país desde el comienzo de la guerra, pero señala que las transferencias deben ser objeto de un análisis de impacto caso por caso.

El Tribunal de Justicia de la Unión Europea publicó el 1 de agosto una importante sentencia relativa al alcance de la protección de datos sensibles.

El concepto de “categorías especiales” de datos personales debe interpretarse de manera amplia, en particular para garantizar que se logre el objetivo del art. 9(1) del RGPD.

La ley lituana en cuestión, relativa a la prevención de conflictos de intereses y la corrupción, exigía la publicación del nombre de la pareja del funcionario público.

El Tribunal consideró que esta información podría revelar información sobre la vida o la orientación sexual del oficial y su pareja.

En Noruega, la autoridad de protección de datos ha iniciado una colaboración con los sindicatos para supervisar la vigilancia mediante cámaras en los lugares de trabajo.

El Comité de Apelaciones de la Autoridad acordó además que una empresa adquirente asume la responsabilidad del controlador de datos previos a la adquisición. y confirmó la decisión de multarla con aproximadamente 12.000 € por calificación crediticia ilegal en violación del Artículo 6(1) del RGPD (a través de GDPRhub)

La Autoridad de Protección de Datos de Baja Sajonia ha multado a Volkswagen con un millón de euros por violaciones de la protección de datos en el uso de un vehículo de prueba con cámaras. destinado a mejorar los sistemas de asistencia al conductor y de prevención de accidentes.

El vehículo de prueba se condujo sin ninguna información visible en el campo de vigilancia de las cámaras.

La agencia danesa de protección al consumidor (DPA) ha reprendido a la Autoridad de Datos Sanitarios por no comprobar su base de datos de medicamentos. para detectar errores en la arquitectura del servicio, lo que provocó una violación de datos que afectó a 267 personas (a través de GDPRhub).

La DPA también reprendió al municipio de Helsingør por utilizar Google Chromebooks y "Google Workspace for Education" en las escuelas primarias.

Ha prohibido este procesamiento hasta que se ponga en conformidad con el RGPD y ha suspendido cualquier transferencia de datos relacionada a los Estados Unidos (a través de GDPRhub).

En una nota relacionada, en los Países Bajos, los estudiantes y el personal ahora son dirigidos a DuckDuckGo para sus búsquedas en Internet en lugar de Google Search.

La Autoridad de Protección de Datos de Eslovenia ha reclasificado un acuerdo entre un proveedor de servicios en la nube y sus clientes: ha descubierto que no existía una relación de responsable/procesador, sino más bien responsabilidades compartidas., ya que ambas partes tomaron decisiones sobre los fines y medios del procesamiento (a través de GDPRhub)

La Cámara de Contrataciones Públicas de Baden-Württemberg señala que la transferencia de datos personales a un tercer país (fuera de la UE) es inadmisible según el RGPD., incluso si el servidor correspondiente es operado por una empresa con sede en la UE, siempre que forme parte de un grupo estadounidense.

Internacional :

La ONG Data Rights y sus organizaciones asociadas kenianas, la Comisión de Derechos Humanos de Kenia y el Foro de Derechos de Nubia, están demandando a IDEMIA, una importante empresa francesa de tecnología biométrica, ante el tribunal de París..

Estas organizaciones acusan a IDEMIA de no haber tenido en cuenta los derechos humanos en su plan de vigilancia sobre la captura de datos biométricos de la población para el desarrollo de un sistema nacional de identificación digital en Kenia.

El Daily Mail del 13 de julio analiza el uso de inteligencia artificial por parte de China para "mejorar" el funcionamiento de sus tribunales: Las computadoras corregirían los errores humanos percibidos en un veredicto, requiriendo que los jueces envíen una explicación escrita a la máquina si no están de acuerdo con las correcciones de la IA.

Gran Bretaña y Estados Unidos comenzarán a compartir datos relacionados con las investigaciones policiales en octubre, como parte de un acuerdo CLOUD entre los dos países.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES