Como punto de partida, es necesario definir de manera precisa qué es una red social desde un punto de vista estrictamente jurídico. La definición dada por el Grupo de Trabajo sobre Protección de Datos, creado por la Directiva 95/46/CE en su artículo 29¹ el pasado 12 de junio de 2009, en su Dictamen 5/2009 sobre redes sociales en línea, es una de las más completas que existen a día de hoy, teniendo en cuenta la dificultad que entraña definir las distintas redes sociales, configuradas de manera muy dispar en cada uno de los Estados miembros de la Unión Europea. A pesar de estas diferencias, todas ellas se someten al mismo marco jurídico general, recogido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, de protección de las personas frente al tratamiento de sus datos personales y de su libre circulación:
«Los SRS² pueden definirse generalmente como plataformas de comunicación en línea que permiten a los individuos crear redes de usuarios que comparten intereses comunes. En sentido jurídico, las redes sociales son servicios de la Sociedad de la Información, según se definen en el artículo 1, apartado 2, de la Directiva 98/34/CE, modificada por la Directiva 98/48/CE. Los SRS comparten determinadas características:
– Los usuarios deben proporcionar datos personales para generar su descripción o ‘perfil’.
– Los SRS proporcionan también herramientas que permiten a los usuarios poner su propio contenido en línea (contenido generado por el usuario, como fotografías, crónicas o comentarios, música, vídeos o enlaces hacia otros sitios).
– Las ‘redes sociales’ funcionan gracias a la utilización de herramientas que proporcionan una lista de contactos para cada usuario, con las que los usuarios pueden interactuar.

Los SRS generan la mayoría de sus ingresos con la publicidad que se difunde en las páginas web que los usuarios crean y a las que acceden. Los usuarios que publican en sus perfiles mucha información sobre sus intereses ofrecen un mercado depurado a los publicitarios que desean difundir publicidad específica y basada en esta información. Es por tanto importante que los SRS funcionen respetando los derechos y libertades de los usuarios, que tienen la expectativa legítima de que los datos personales que revelan sean tratados de acuerdo con la legislación europea y nacional relativa a la protección de datos y de la intimidad».

Plataformas de comunicación en auge

Los SRS son, por tanto, nuevos entornos de comunicación y de relación on line que, por sus especiales funcionalidades, han tenido un enorme éxito. Este éxito se inicia con la creación de la red Geocities³ por David Bohnett, que fue gestada en la década de 1980 y alcanzó gran éxito en la de 1990, siendo en 1998 el tercer sitio más visto en la web hasta su adquisición por Yahoo. A día de hoy, los SRS de mayor éxito en España son Messenger, YouTube, Facebook, Fotolog, MySpace, Metrolog, Tuenti y Hi5. Asimismo, en Europa se han desarrollado numerosos SRS regionales adaptados a las peculiaridades sociológicas de cada región y que, en cada uno de estos países gozan de enorme éxito. Varios de ellos son: Arto (Dinamarca), Bebo (Reino Unido), Dailymotion (Francia), Giovani (Italia), Hyves (Holanda), Nasza-klasa (Polonia), Netlog (Alemania), One (Italia), Rate (Estonia), Skyrock (Francia) y Tuenti (España)⁴.

En España, los SRS son un nuevo espacio de comunicación que está reemplazando a otros medios tradicionales de comunicación digital tales como la telefonía móvil o los SMS-MMS. De hecho, la encuesta de la Fundación Pfizer⁵ de septiembre de 2009 sobre Juventud y Redes Sociales⁶ pone de manifiesto que el 92 por ciento de los jóvenes entre 11 y 20 años en España usa redes sociales. El éxito de los SRS se debe a varios factores: su carácter gratuito así como la inmediatez y sencillez de sus servicios que permiten la interactuación entre usuarios mediante la comunicación de fotografías, comentarios y mensajes privados. La implantación de los servicios de acceso a Internet de Banda Ancha y la instalación de equipos en los hogares españoles ha fomentado el uso de estas plataformas de manera exponencial.

Todo ello hace que la información publicada en línea por los usuarios de SRS configure un escenario donde se da cabida a la implicación de bienes jurídicos susceptibles de protección, como los datos personales, el derecho a la propia imagen, los derechos a la intimidad personal y familiar o el derecho al honor, todos ellos encuadrados dentro un derecho superior o más generalista denominado derecho a la ‘privacidad’, constituido como un principio aglutinador de aquellos que emanan de los artículos 18.1 y 18.4 del Tratado de la CE. Dichos preceptos constitucionales se desarrollan en la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

La protección del honor, la intimidad y la propia imagen

La Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen es la normativa española de mayor aplicación en los SRS. Los usuarios publican al día una enorme cantidad de fotografías, propias y de otros usuarios. La posibilidad de publicar fotos de terceros, incluso cuando los usuarios son amigos, es una funcionalidad que genera no pocos debates jurídicos sobre el derecho a la propia imagen y a la intimidad. La idea de un SRS consiste en tener grupos reducidos de ‘amigos’, activar el grado máximo de privacidad y compartir entre ese círculo las fotografías en las que todos participan, sin exceder un ‘círculo de confianza’.

En las condiciones de uso de la mayor parte de SRS se informa de que los usuarios no están autorizados a subir fotografías sin haber obtenido el oportuno consentimiento de las personas que en ellas pudieran aparecer. Adicionalmente, en SRS como Tuenti, los usuarios disponen de mecanismos técnicos para quitar una ‘etiqueta’ (marca en una fotografía que vincula a un usuario con la misma), el borrado de una foto o incluso su denuncia. Sin embargo, la eliminación de una ‘etiqueta’ no garantiza la eliminación de una fotografía, que permanecerá en el ‘perfil’ del usuario que la subió, independientemente de que tenga o no los legítimos derechos para ello. Por este motivo, las fotografías siguen siendo una fuente de consultas inagotable, ya que las personas que en su día posaron de forma expresa quieren ejercitar la revocación de ese consentimiento.

En ocasiones es difícil ejecutar dicho ejercicio, ya que en las fotografías colectivas no sólo es el demandando quien tiene protección de sus derechos, sino también el resto las de personas que participan de ese retrato. Para procurar soluciones, es necesario recurrir a la norma anteriormente referida en combinación con la legislación sobre protección de datos, entendiendo que una fotografía es un dato personal. Una combinación de la normativa y el contexto en que se producen las incidencias nos permite aplicar un criterio favorable a los afectados, con la interpretación más garantista de la normativa.

El éxito en la protección de la privacidad (en las vertientes del derecho al honor, la propia imagen y la intimidad) dentro de una red social se centra en gran medida en la responsabilidad del usuario, que debe usar las herramientas que la plataforma pone a su disposición para preservar este bien jurídico y conocer las implicaciones de la exposición de su intimidad y la de terceros. Esto no es suficiente y se requiere que la red social cuente con unas condiciones de uso y política de privacidad ajustadas a la normativa española, así como un equipo de soporte a los usuarios que atienda de inmediato sus necesidades. Dicho equipo debe estar respaldado por un jurista que analice cada cuestión conflictiva para poder dar, en cada caso, la respuesta más ajustada posible a Derecho y a la evolución digital a la que asistimos.

Los menores en las redes sociales

El porcentaje de menores de 14 años en las redes sociales sigue siendo muy elevado. Las implicaciones jurídicas de la actuación de los menores, al igual que en otros aspectos de la vida analógica son especialmente relevantes, en la medida que son un colectivo protegido por su especial sensibilidad e indemnidad y por este motivo sus padres o tutores ejercen su representación⁷ (menores de 18 años, a no ser que se trate de menores emancipados, conforme al artículo 314, CC).

A esos efectos, y para proteger la privacidad de este colectivo, es fundamental discernir cuál debe ser la edad de acceso de un menor de 18 años a un SRS. Si bien no podemos determinar una edad en la que pueda considerarse al menor suficientemente maduro por sus aptitudes psicológicas para registrarse en estas plataformas, sí que podemos buscar en nuestra legislación un límite que nos ayude a determinarlo. Acudimos al límite que determina el artículo 13 del Reglamento de desarrollo de la LOPD.

El Reglamento de desarrollo de la LOPD fue aprobado por el Real Decreto 1720/2007 de 21 de diciembre, dotando a nuestro marco legislativo de mayor seguridad jurídica, con un articulado extenso y excepcionalmente detallista.

En lo concerniente a redes sociales, el artículo que mayor impacto ha generado ha sido el 13. En dicho artículo se establecen las garantías específicas del tratamiento de datos de menores de edad que a partir de los 14 años pueden prestar su consentimiento por sí mismos. Aun existiendo la posibilidad de haber extendido o ampliado la edad de acceso a la plataforma a los 12 años con el consentimiento de padres o tutores, la barrera de los 14 años genera una mayor garantía de indemnidad para los menores en SRS. Volviendo a este artículo 13, se prohíbe el recabo de datos a menores sobre su grupo familiar, a excepción de que se recaben para este mismo fin. Asimismo, exige que la información que el responsable del tratamiento le dirija con motivo de un recabo de datos esté redactada de una manera comprensible para dicho colectivo⁸.

Para finalizar, el apartado 4 de este artículo impone a los responsables de los ficheros la articulación de medios que garanticen que se compruebe la edad y la veracidad del consentimiento prestado por el menor. Una exigencia que plantea el legislador sin tener en cuenta que, a día de hoy, no existe un mecanismo tecnológico que permita, en el momento del recabo del datos, hacer una comprobación válida de estos dos elementos.
«Artículo 13. Consentimiento para el tratamiento de datos de menores de edad.
1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado, en su caso, por los padres, tutores o representantes legales».

En este punto, cualquier SRS que actúe con sede en España debe plantearse la necesidad de adecuación a la norma, con las dificultades que conlleva implantar un sistema de verificación de edad cuando técnicamente no existe más allá del DNI electrónico, de escasa implantación en este país.

En este sentido, es reseñable el caso de la SRS española Tuenti, que implementó un protocolo de borrado de menores de 14 años manual que evolucionó a mediados del año 2010 hasta convertirse en un protocolo semiautomático.

El protocolo se llevó a cabo mediante el análisis de perfiles de usuarios entre 14 y 18 años, tanto en el momento del registro en Tuenti como a posteriori, mediante el sistema de reporte de otros usuarios. El equipo de soporte analizó durante los primeros meses de funcionamiento del protocolo una media de 1.000 perfiles semanales. Cuando detectaba estos perfiles, les remitía una comunicación vía correo electrónico donde instaba al usuario a remitir un DNI, NIE o pasaporte mediante escáner o fax en un plazo no inferior a 96 horas. Si transcurrido ese plazo no recibían la identificación, el perfil era borrado de Tuenti.

Estadísticamente, de esos 1.000 perfiles, el 98 por ciento no ofreció su identificación y se procedió a su borrado. Este protocolo de borrado de menores, desarrollado en Tuenti gracias al impulso de la Agencia Española de Protección de Datos, pone de manifiesto la necesidad de implementar en todas las redes sociales protocolos similares. Dichos protocolos deben garantizar que se cumpla la edad mínima de acceso que exigen en sus políticas de privacidad. En su caso, otra solución sería que la normativa ofreciera vías efectivas para verificar el consentimiento, así como la edad de los usuarios en el momento del registro.

Notas

1 Este Grupo de Trabajo, creado por el artículo 29 de la Directiva 95/46/CE, es un organismo de la UE, con carácter consultivo e independiente, para la protección de datos y el derecho a la intimidad. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. Véase http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

2 Servicios de Redes Sociales.

3 Véase http://es.wikipedia.org/wiki/Geocities

4 Todas ellas adheridas a los EU Principles for Safer Internet Social Networks, los principios suscritos por los diferentes SRS de Europa con la Comisión Europea para promover un uso seguro y responsable de sus plataformas en cuanto a privacidad y menores. Véase http://ec.europa.eu/information_society/activities/social_networking/eu_action/implementation_princip/index_en.htm

5 Véase http://www.fundacionpfizer.org/

6 Véase http://www.fundacionpfizer.org/pdf/INFORME_FINAL_Encuesta_Juventud_y_Redes_Sociales.pdf

7 Artículo 154. Los hijos no emancipados están bajo la potestad de los padres.
La patria potestad se ejercerá siempre en beneficio de los hijos, de acuerdo con su personalidad, y con respeto a su integridad física y psicológica.
Esta potestad comprende los siguientes deberes y facultades: 1. Velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral. 2. Representarlos y administrar sus bienes.
Si los hijos tuvieren suficiente juicio deberán ser oídos siempre antes de adoptar decisiones que les afecten.
Los padres podrán, en el ejercicio de su potestad, recabar el auxilio de la autoridad.