Social Media Listening vs RGPD
El «social media listening» es una modalidad del «data scraping».
Hace dos semanas comprobamos que el hecho de que todos esos datos personales estén a tu alcance, no significa que puedas trincarlos y reutilizarlos a tu antojo (“data scraping”): es necesario contar con una base de legitimación y cumplir el resto de la normativa de protección de datos personales.
Indice
Social Media Listening ¿Qué es?
Tradicionalmente para conocer la opinión social sobre un tema concreto se recurre a la estadística. Como si de un análisis de sangre se tratara, averiguas la opinión de una muestra relevante de la población, para inferir aproximadamente la de totalidad.
Pero hoy puedes analizar TODA la conversación social, sin aproximaciones, en tiempo real: al menos toda la que se expresa a través de una plataforma de social media.
Puedes conocer fácilmente el número e importancia de las comunidades de opinión, sus interacciones, el engagement de los cabecillas que abanderan tendencias, etc… A esto se le llama “Active Media Listening” o “Social Media Listening”.
Cientos de empresas ofrecen este servicio para ayudarte a conocer el engagement de tu marca, de tu último producto, medir a tu competencia, o tratar de anticiparte a la próxima crisis reputacional…
El Social Media Listening puede servir para retratar o plasmar la opinión pública sobre un determinado tema (si el resultado se publica), o para modelarla (cuando se mantiene reservado como información estratégica).
¿Qué dicen las autoridades sobre esto?
Hablemos de Social Media Listening: hablemos de una resolución a la que nadie hizo caso en febrero de 2022: no en vano se publicó cuando todos estábamos hablando de lo de Schrems II y Google Analytics.
Los chavalotes de la Autoridad Belga de protección de datos son los cachondos del continente: sus resoluciones son aplastantes y rumbosas al mismo tiempo.
Me explico: primero te arrean hasta en el carnet de identidad. Y ya luego, a la hora de la sanción, te imponen dos duros de la risa que les da tu ensangrentado pellejo.
Y si no, que se lo cuenten a IAB Europe.
Sanción: 180.000 euros.
Que te declaren ilegal el ecosistema de publicidad online europeo: No tiene precio.
Disinfolab, Alexandre Benalla y los rusos
En julio de 2018 Alexandre Benalla, uno de los agentes de seguridad del presidente francés Macron. Benalla hizo el canalla (perdón, perdón) y sacó la mano a pasear provocando un incidente violento en el contexto de una manifestación.
El asunto fue muy polémico y lo petó en redes sociales. Si buscais su nombre, encontrareis un montón de noticias que no tienen que ver con la manifestación, que son falsas y que se viralizaron para desacreditarle a él, e indirectamente a su jefe, Macron.
La ONG “Disinfolab” (entidad dedicada al factchecking, parecida a las españolas “Maldita” o “Newtral”) encargó a un tercero un estudio de la conversación en twitter que concluyó denunciando la manipulación y polarización del tema desde cuentas afines a medios rusos: Sputnik y Russia Today.
Es posible que estos medios te suenen de películas como “Ucranianos nazis, Rusos buenos” o “El SIDA salió de laboratorios de la CIA”, “los demócratas yankees abusan de niños en el sótano de una pizzería”.
Forman parte de la plataforma de desinformación soviética (y luego rusa a secas), que ha azuzado e incendiado en Occidente cualquier fractura social o política desde hace décadas. Con estupendos resultados.
Los errores se pagan…
Cuando DisinfoLab publicó su informe, un montón de trolls cuestionaron la transparencia y metodología del estudio, a lo que Disinfolab tuvo la pésima idea de responder publicando archivos con todos los datos en bruto de los tweets que fueron objeto de estudio.
Se denunció (con razón) a Disinfolab y al experto externo que realizó el estudio por el tratamiento de datos y por la redifusión pública de datos personales sin base legal, pese a provenir de una “fuente de acceso público”.
… pero a veces, no tanto
La resolución de la autoridad belga, en colaboración (ojo) con la CNIL francesa, impuso una sanción simbólica, (2.700 y 1.200 euros, respectivamente), por tratarse de una ONG con buenas intenciones, pero sin infraestructura (ni soporte jurídico alguno, obviamente), por producirse los hechos justo después de la fecha de aplicación del RGPD, y valorando la mitigación pronta y proactiva de los incumplimientos.
El mismo caso protagonizado por una empresa con más facturación y medios materiales hubiera terminado con una sanción muy diferente. Cero dudas sobre eso. Véase los casos comentados hace un par de semanas aquí.
Incumplimientos sancionados
La resolución declara: “el hecho de que los datos personales hayan sido hechos públicos por los interesados no implica que puedan ser tratados libremente sobre la base del interés legítimo”.
En lo que se refiere estrictamente a la escucha en redes sociales (no a la publicación posterior, que fue la típica ideaca de “bombero torero”), la autoridad Belga aprecia incumplimientos de las siguientes obligaciones:
- No se contaba con un análisis documentado del interés legítimo de la organización para legitimar el tratamiento.
- No se informa a los interesados objeto de escucha.
- Se debió realizar una previa Evaluación de Impacto (se califica el tratamiento como a gran escala y que implica perfilado automatizado por la clusterización de usuarios en la red).
- No se estudiaron, determinaron ni implementaron medidas técnicas y organizativas de protección de derechos de los “interesados”, adecuadas a cada caso.
- No se formalizó adecuadamente la relación contractual con el proveedor tecnológico de los medios empleados para el análisis de los datos obtenidos de fuentes públicas.
- No se incluye el tratamiento de social media listening en el RAT, el Registro de Actividades de tratamiento de la entidad.
- No se contaba con DPD.
Inasequibles al desaliento
Mientras que la defensa en España de estas cosas no suelen pasar del tridente defensivo cuñao (“no es dato/ es dato público/ no es tratamiento”), los chicos de Disinfolab tiraron de todos los argumentos a mano para tratar de justificar (a posterior, obvio) sus tratamientos.
Lo hicimos por interés legítimo.
Lo hicimos por interés público.
Eran datos públicos.
Lo hicimos con fines científicos.
Lo hicimos con fines periodísticos.
No tuvimos contacto con los datos.
La resolución es entretenida, pero desesperanzadora: desmonta metódicamente todos, repito TODOS esos argumentos defensivos.
Muchos problemas, pocas soluciones
La película El Club de los Poetas Muertos nos dejó dos enseñanzas imborrables: la primera es «remata tu historia en todo lo alto».
Daniel Kahneman está de acuerdo con esto.
La segunda es que, en palabras de un joven Ethan Hawke, «la verdad suele ser una manta pequeña que no te deja taparte la cabeza y los pies a la vez».
Esa mantita es la que determinará toda tu estrategia, guiándote a la hora de delimitar aquello a lo que tendrás que renunciar.
Nos ha tocado desmadejar un proyecto de «social media listening» que nos ha llevado meses. Las dificultades son muchas: algunas soluciones abrían nuevos problemas y otras mataban varios pájaros de un tiro.
Lo más importante (y fructífero) es conseguir alinearte con el cliente para aprender, sudar tinta china y finalmente, que fluya la magia y conseguirlo juntos. No puedo desvelar nuestras ideas por confidencialidad, pero sí enumerar muchos de los nudos que hemos desenredado.
- Cambiando de género cinematográfico: Hannibal Lecter decía que la clave está en los primeros principios: pensar y repensar la finalidad y el interés legítimo que persigues, y la relación entre los dos, porque marcarán nítidamente lo que podrás o no podrás hacer después.
A ti, al interesado y, llegado el caso, a la autoridad competente.
- Sabemos que la AEPD no es nada amiga de que tu único interés legítimo sea el de ganar dinero. Necesitas otros adicionales, y es importante que no sólo tengas en cuenta las legítimas expectativas de los interesados, sino que alinees sus intereses con los tuyos de modo que tu tratamiento les favorezca.
- Habitualmente, el SML requiere la combinación de datos provenientes de distintas fuentes de datos, lo que complica la evaluación de interés legítimo.
- El interés legítimo parte de la base de que el tratamiento sea legítimo y no lo será sin estudiar y asegurarse de cumplir los términos y condiciones de cada plataforma de la que se extraigan datos. Y cada plataforma, cada texto es de su padre y de su madre.
- Además, y esta no es pequeña: el responsable tiene la obligación de notificar al interesado el hecho del tratamiento, más todas las circunstancias del art 14, profiling incluido, en un mes. Las excepciones (ser esto imposible o requerir esfuerzos desproporcionados) se interpretan muy restrictivamente en las directrices sobre transparencia del GT29.
- Por si eso fuera poco, añade cuarto y mitad de obligación de conceder a los interesados su derecho de oposición.
- Al tratar millones de datos personales a cascoporro es imposible que no arrastres datos de categoría especial. Sabemos que la excepción 9.2.e) RGPD habilita su tratamiento “haberse hecho manifiestamente públicos dichos datos por el interesado”. Pero ojo cuidao: los requisitos para aplicar esa disposición ha sido interpretada (¿lo adivinan?: restrictivamente) por el EDPB en 2020.
¿Ha dicho usté “transferencia internacional”?
Termino con una única buena noticia: transferencias internacionales de datos. El caso del Social Media Listening se burla olímpicamente de la interpretación absolutista y derecho centrista sostenida en esto por el EDPB.
Recordemos: según el EDPB no caben cosas como el risk based approach, porque sólo con que exista la posibilidad –aun meramente teórica- de acceso por parte de las autoridades extracomunitarias de acceso a los datos de nuestros residentes, no se garantiza el mismo nivel de protección del RGPD y la transferencia deviene inaceptable, ilícita.
Pues bien: ¿¿Alguien puede imaginar que a la NSA o al FBI se les ocurriría pedir acceso al data set de social media listening recopilado por una empresa europea, alojada por ejemplo en los servidores USA de, no sé, Google…. cuando ese data set está disponible ya en Twitter, Facebook, Instagram o whatever??
Yo tampoco.
Muuuuuy buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de Datos