Nada más entrar en alguna de tus redes sociales, suele aparecer un mensaje o publicidad relacionada con alguna página web que has estado visitando, alguna búsqueda que has realizado o con el lugar en el que te encuentras. ¿Lo has notado? Además, si lo comparas con otra persona que este navegando en la misma red social que tú, probablemente recibe un mensaje completamente distinto.

¿Alguna vez te has planteado por qué te llega este mensaje? La respuesta está en que las redes sociales etiquetan a sus usuarios para que un tercero (denominado targeter o etiquetador) pueda enviar mensajes perfilados a los usuarios de acuerdo a sus gustos, preferencias, navegación en redes, etc.

Este tipo de etiquetas pueden tener ciertos riesgos desde el punto de vista de la privacidad de los usuarios, ya que, por ejemplo, podrían realizarse perfilados de usuarios sin su consentimiento. Los mensajes que se envían podrían manipular a los usuarios a través de mensajes deliberados o, estos mensajes podrían producir consecuencias negativas en el debate público o acceso a la información (a través de “more of the same” o “filter -bubbles”).

Por esta razón, es muy importante poder garantizar que, al etiquetar a los usuarios a través de las redes sociales, se proteja su privacidad. Y esto, ¿cómo podemos hacerlo? Hasta la fecha, no estaba del todo definido, pero el Comité Europeo de Protección de Datos (CEDP) ha sacado a consulta pública unas guías sobre el etiquetado de los usuarios en las redes sociales1 , donde nos da las pautas que hay que tener en cuenta para poder proteger a los usuarios en este tipo de tratamientos.

¿Cómo etiquetan a los usuarios en las redes sociales?

Las redes sociales tienen la oportunidad de recabar un gran volumen de datos de los usuarios (registrados o no), ya sea desde sus comportamientos hasta interacciones. Por ejemplo, obtener una visión de sus características sociodemográficas, intereses y preferencias, ver a qué tipo de contenidos le da “like” o qué tipo de videos le gusta. De esta manera, se puede inferir en los gustos de los usuarios.

Asimismo, obtienen información agregada de los usuarios a través de “off-platform” y combinando datos de múltiples fuentes.

Luego, entran en escena los “etiquetadores” (quienes definen las audiencias), que utilizan las redes sociales para para enviar mensajes a usuarios en base a determinados parámetros o criterios.

Posibles etiquetados a través de las redes sociales

a) En base a los datos proporcionados por el usuario

El usuario entrega a la red social o al targeter datos de carácter personal (email, móvil, etc.), que sirven para cruzar información que ya tenemos en la plataforma de la red social.

Al crear un perfil, el usuario revela datos como su nombre, fecha de nacimiento, lugar de residencia, idioma, etc. El etiquetador también recaba información que a posteriori puede utilizar en las redes sociales para alcanzar el público objetivo (por ejemplo, utiliza emails o teléfonos de los interesados para cruzarlos en las redes sociales). En este caso, la red social compara el dato proporcionado con los que se encuentran en la base de datos y los “agrega” o “excluye” dentro del público objetivo que el targeter quiere alcanzar.

¿Cómo se crea una audiencia en base a datos proporcionados por el usuario?

Una posible casuística es que los datos sean recabados por la red social, que segmenta a sus usuarios en base a información recabada para que el etiquetador los impacte por edad, residencia u otro tipo de parámetros.

Otra posible caustica es que los datos los recaba la empresa que quiere impactar al usuario y utiliza esta información a posteriori en las redes sociales para alcanzar a su público objetivo. En este caso, la red social compara el dato proporcionado con los que se encuentran en la base de datos y los “agrega” o “excluye” dentro del público objetivo que el targeter quiere alcanzar.

¿Necesito consentimiento de los usuarios para hacer este tratamiento de datos?

Dependerá del tipo de tratamiento, si los datos han sido recabados por la red social y el targeter los selecciona, se podría considerar interés legítimo en tanto que el targeter tiene intereses económicos en incrementar su publicidad a través de la red social y la red social tiene interés en generar ganancias mediante la venta de espacio publicitario. Ahora bien, no sería interés legítimo si este etiquetado supone un perfilado o rastreo que puede envolver seguimiento a través de diferentes websites, geolocalización, dispositivos o data brokering.

Ahora bien, si la empresa es la que recaba los datos, habrá que distinguir entre clientes de la empresa en el que se podría justificar interés legítimo siempre que:

  • Sea informado del tratamiento.
  • La publicidad esté relacionada con productos y servicios similares a los que ha contratado.
  • El interesado tenga la posibilidad de oponerse a este tratamiento en el momento que los datos han sido recabados.

Para no clientes o potenciales clientes, es importante que la persona esté interesada en el producto para que este usuario se pueda incluir en una estrategia de “re-targeting”.

b) En base a los datos observados

En este caso la red social observa el comportamiento de los usuarios, ya sea a través de la misma red u obteniendo información por “plug-in” o pixeles en web o fuentes externas.

¿Cómo se crea una audiencia en base a datos observados?

Existen diferentes formas de crear audiencias. Por ejemplo, podría ser través de cookies de la red social en la web, que le permite asociar al usuario y, consecuentemente, el etiquetador decide impactar a quienes haya navegado en ella, mediante geo-targeting por su WiFi, IP o por el consentimiento del propio usuario.

¿Necesito consentimiento de los usuarios para hacer este tratamiento de datos?

En los ejemplos anteriores, será necesario recabar consentimiento de los usuarios antes de que se realice el tratamiento.

c) En base a los datos inferidos

Monitorizar el comportamiento de los usuarios a lo largo de un periodo de tiempo (páginas visitadas, tiempo en el que está en ella, conexiones con otras páginas, palabras que busca o likes que ha dado) puede permitir obtener ciertas características e información de los interesados.

¿Cómo se crea una audiencia en base a datos inferidos?

En este aspecto, los datos inferidos estan relacionados con los gustos de los interesados o la monitorización de los usuarios a través de diferentes páginas web, dispositivos o aplicaciones. Por ejemplo, se puede inferir que un usuario tiene interes en el arte si le da “like” a contenido relacionado con este. Y por tanto, si un etiquetador quiere seleccionar para su audiencia interesada en estos aspectos, podrá hacerlos.

¿Necesito consentimiento de los usuarios para hacer este tratamiento de datos?

Elegir una audiencia en base a datos inferidos implica hacer un perfilado, que consecuentemente es un tratamientos de datos de carácter personal que toma decisiones automatizadas sobre los individuos evaluando diferentes caracteristicas y, en particular, analizando o haciendo predicciones sobre el usuario.

Para hacer un seguimiento de los interesados hay que pedirles permiso previamente.

¿Quién es el responsable de tratar estos datos a través de las redes sociales y quién crea la audiencia o la red social?

Los creadores de las audiencias en la mayoría de las situaciones no tienen acceso a los datos de carácter personal, sin embargo sí participan en su creación y la definición por lo que la responsabilidad para realizar este tipo de tratamientos suele ser compartida, es decir, existe corresponsabilidad.

Por ejemplo, la red social suele determinar qué datos personales encuadran dentro de los criterios que utiliza el etiquetador a la hora de segmentar (intereses, gustos, geolocalización, inferir comportamientos o gustos de usuarios, etc.), o de usar los datos que ha adquirido para cruzarlos y realizar audiencias mientras que el etiquetador suele ser el responsable de determinar los criterios de segmentación o de recabar, procesar y/o transmitir la información de los usuarios a las redes sociales (por ejemplo, sus mails, teléfonos o cookies).

De esta forma, tanto el creador de la audiencia como la red social, deberán acordar entre sí todo lo referente en materia de protección de datos, desde quien es el responsable de recabar consentimientos, cómo se informa a los usuarios o qué deben hacer los usuarios para ejercer sus derechos.

Ahora que ya sabes cómo se hace publicidad en las redes sociales, ¿quieres saber si te están etiquetando y cómo lo hacen?

Si la respuesta es sí, debes estar atengo a las políticas de privacidad de las redes sociales en las que eres usuario y de las empresas que puedan recabar tus datos, que serán las encargadas de informarte sobre tipos de datos personales recopilados para construir dichos perfiles y la definición de las diferentes audiencias.

Ten en cuenta que como ambos son corresponsables, por lo que tienen la obligación de acordar quién va a proveer la información inicial al usuario, especialmente cuando uno de los responsables no interactue con el usuario previo al tratamiento de los datos. Si alguno de los corresponsables no tuviera acceso a toda la información, el otro deberá proveersela de acuerdo a la normativa de GDPR.

Y recuerda, siempre podrás dirigirte a la oficina de privacidad de la red social o de la empresa que te este etiquetando.

¿Tienes alguna duda sobre privacidad? ¿Quieres que hablemos de algún tema en nuestra próxima publicación? Escríbenos a privacy@openbank.es. ¡Estaremos encantados de escucharte y resolver cualquier duda que tengas!


Publicado el 15 de diciembre de 2020

1 Guidelines 08/2020 on the targeting of social media users