Segmentación de “públicos personalizados” en Facebook y LOPD

Facebook ha lanzado “públicos personalizados“, una nueva herramienta de segmentación que permite a los anunciantes dirigir su publicidad a los usuarios de Facebook que tienen un perfil parecido al de los consumidores habituales de sus productos.

Hasta ahora, los anunciantes podían facilitar a Facebook datos identificativos de sus clientes, por ejemplo la dirección de correo electrónico, el teléfono o el identificador de usuario (UID), y Facebook mostraba los anuncios a los usuarios de Facebook que eran clientes del anunciante.

Esta función se extiende ahora a atributos demográficos y a intereses manifestados a través del botón “me gusta”, por ejemplo, de manera que los destinatarios de la publicidad serán también los usuarios de Facebook que tengan atributos iguales o similares a las personas que actualmente están comprando los productos del anunciante o que han manifestado su interés en hacerlo.

El funcionamiento de este sistema es el siguiente:

  1. Cuando un usuario se da de alta, Facebook cifra su dirección de correo electrónico y su teléfono y genera el hash de estos datos.
  2. Cuando el anunciante inicia el uso de la herramienta “públicos personalizados”, debe introducir la lista de direcciones de correo electrónico o de teléfonos de sus clientes en el editor múltiple de Facebook.
  3. Según el manual, la lista se cifra antes de enviarla a Facebook.
  4. Facebook compara el hash del correo electrónico de cada cliente del anunciante con el de los usuarios activos de Facebook y crea un público personalizado en la cuenta del anunciante con todos aquellos usuarios cuyo hash coincide con el de la lista del anunciante.
  5. Al crear una campaña, el anunciante puede decidir si dirige sus anuncios solamente a los usuarios activos de Facebook que son sus clientes o también a los usuarios que tienen un perfil de intereses similar.

Riesgos jurídicos de este sistema

El potencial de esta herramienta es innegagle y por ello, el análisis jurídico de su funcionamiento se ha hecho desde una óptica posibilista. Nos obstante, se han detectado una serie de riesgos que merecen una especial atención.

  1. Facebook explica que los “publicos personalizados” pueden ser creados utilizando datos de clientes actuales, clientes potenciales, miembros del club de fidelización, usuarios actuales o antiguos y de cualquier persona a la que el anunciante desee hacer llegar mensajes de segmentación precisa. Es posible, por lo tanto, que las direcciones de correo electrónico introducidas en el editor múltiple de Facebook no correspondan a clientes del anunciante ni a personas que hayan dado su consentimiento para recibir publicidad del anunciante.
  2. Facebook asegura que cifra los datos personales facilitados por el anunciante y que la comparación con los datos de los usuarios activos sólo se realiza a nivel de hash. Dado que la introducción de datos en el editor múltiple se realiza en el servidor de Facebook, la Agencia Española de Protección de Datos (AEPD) podría considerar que se ha producido una cesión de los datos y una posterior disociación. El acceso previo, y el control del proceso de disociación por parte de Facebook podría hacer pensar a la AEPD que esta disociación no es irreversible, a pesar de que Facebook declare que lo es.
  3. También podría entenderse aplicable a este proceso el artículo 47 del Reglamento de la LOPD, que establece que cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos.

Con el fin de evitar estos riesgos, Facebook exige al anunciante que, al realizar la introducción de los datos, acepte unas condiciones especiales para la creación y administración de “públicos personalizados”, entre las que destacan las siguientes:

  1. El anunciante ha informado y ha obtenido el consentimiento necesario de las personas a las que los datos corresponden.
  2. En el caso de que los datos no provengan directamente de ellos, el anunciante debe declarar que tiene los derechos y autorizaciones necesarias para utilizar los datos.
  3. Los datos no pertenecen a personas que han manifestado el deseo de no recibir publicidad.
  4. La información generada para identificar correspondencias con usuarios activos de Facebook no será compartida por ésta con otros anunciantes y será destruida inmediatamente después de realizar el análisis comparativo.
  5. Facebook aplicará medidas de seguridad y confiencialidad sobre los “públicos personalizados” creados por el anunciante.
  6. Si una agencia crea y administra “públicos personalizados” por cuenta de un anunciante, la agencia deberá estar habilitada para utilizar los datos (contrato de encargado del tratamiento) y para vincular al anunciante en la aceptación de las condiciones aceptadas en su nombre.

Más allá de la interpretación estricta de la figura de la depuración de datos contenida en el artículo 47 del Reglamento de la LOPD, pueden identificarse en este proceso elementos característicos de un encargo de tratamiento. Si analizado el caso ello fuese así, y Facebook pudiese ser considerado como un encargado del tratamiento del anunciante, cuya función consiste en mostrar anuncios a los usuarios que cumplan determinados criterios de segmentación establecidos por el anunciante, este proceso no exigiría consentimiento del usuario. La cesión inicial podría quedar amparada con el contrato de encargado de tratamiento, salvo en el caso de que efectivamente se apreciase la existencia de un proceso de depuración de datos. La exhibición del anuncio estaría cubierta por el consentimiento dado por el usuario en el momento de aceptar los términos y condiciones de uso de Facebook, en la que se advierte que la publicidad es la contrapartida a la gratuidad del servicio.

Recomendaciones

Dada la acumulación de leyes estatales, normas generales de la red social y normas específicas de cada modalidad de campaña, la principal recomendación es contar con asesoramiento jurídico especializado en marketing en redes sociales. Este asesoramiento deberá dirigirse a comprobar, en cada caso específico:

  1. Si es aplicable la figura del encargo de tratamiento.
  2. Si es aplicable la figura de la depuración de datos.
  3. Si se produce realmente una disociación irreversible.
  4. Si el anunciante necesita un consentimiento específico para ceder datos antes de iniciar una campaña basada en segmentación de “públicos personalizados”.

 

3 pensamientos en “Segmentación de “públicos personalizados” en Facebook y LOPD

  1. Muy interesante, Xabier, y muy útil. La verdad es que se agradece algo de claridad en estos temas, pues en el mundo de Internet, de las redes sociales y la hiperconectividad, es muy fácil perderse y no ser consciente de que se esté cayendo en un incumplimiento Legal.

  2. Pingback: UNIVERSO LOPD: Boletín-Noticias nº4 – 15 a 21 de marzo. | Universo LOPD: tu blog de protección de datos

  3. Pingback: UNIVERSO LOPD: Boletín-Noticias nº10. 26 abril-2 mayo | Universo LOPD: tu blog de protección de datos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s