Guía Legal sobre Conectores Sociales y ‘Social Login’

¿De qué estamos hablando?

Las redes sociales son una herramienta esencial para promocionar los contenidos de nuestras webs y también para obtener nuevos usuarios y registros. Gracias a los conectores sociales logramos que sean nuestros propios visitantes quienes difundan nuestros productos o servicios, y generen una mayor repercusión en sus círculos de influencia. Un ejemplo:

Además, también gracias a las redes sociales, logramos sistemas de registro de usuarios fácil y rápido que acerca al usuario a la inmediatez y comodidad en pasar a formar parte de nuestras bases de datos. Esto se logra con los sistemas de registro de las redes sociales o ‘social login’ como por ejemplo Facebook Login:

Ambos sistemas parten de un mismo punto de partida: son códigos informáticos titularidad de un tercero que introducimos en nuestras webs y ello implica una serie de cuestiones a tener en cuenta que trataremos en esta Guía.  Descarga la guía completa aquí.

¿Cómo se regula en España?

La normativa más directamente relacionada con los conectores sociales es la Ley 34/, de Servicios de la Sociedad de la información y comercio electrónico (LSSI), mientras que la de los ‘social login’ sería la Ley Orgánica 15/, de Protección de Datos de carácter personal (LOPD); completada por el Real Decreto 1720/, que desarrolla la ley anterior.

Además, también se deben tener muy en cuenta las condiciones que las redes sociales aplican al uso e integración de sus elementos en nuestras webs. En general este uso está sometido a licencias, por lo que debemos tener en cuenta lo que se permite y lo que se prohíbe. Hay que recordar que al aceptar unas condiciones de este tipo, estamos aceptando un contrato vinculante, por lo que también se ha de tener en cuenta las normas especiales que se hubieran definido.

Conectores Sociales

Una de las principales características de los conectores sociales es que son un software de un tercero sujeto a sus propias condiciones, como pueden ser el respeto por los logos, el código fuente…

►     Conviene revisar periódicamente estas condiciones de los desarrolladores, pues sufren cambios continuamente. Incluso se debe tener en cuenta que los titulares pueden decidir suprimir los conectores en cualquier momento sin explicación.

Además, cuando incluyamos en nuestro sitio web este tipo de sistemas, debemos dotarnos de unas condiciones de uso para nuestros visitantes y usuarios que incluyan referencias al uso de las herramientas sociales. En este sentido debemos prever normas y prohibiciones en su utilización con el fin de evitar responsabilidades, por ejemplo derivadas de los comentarios vertidos por los usuarios a través de las redes sociales.

►     Unos textos legales adecuados en nuestra web nos pueden salvar de muchas situaciones no deseadas, por ejemplo de temas de acoso, insultos, vejaciones, amenazas… La clave es orientar los términos y condiciones a que todo lo publicado por los usuarios sea responsabilidad de los usuarios.

Otra de las cuestiones que más directamente nos afecta al incluir el código en nuestra web es la introducción de cookies. Como ya sabemos gracias a las guías de IAB sobre cookies, para su instalación se requiere, por un lado, ofrecer información al usuario y, por otro, recabar su consentimiento.

En cuanto a la información, además del aviso mostrado al entrar por primera vez en un sitio web en que se informa al usuario del uso de cookies y de su tipología y finalidades, se ha de ofrecer una mayor información (segunda capa) sobre las particularidades como el origen de las cookies, guías para su gestión y desactivación…

Respecto del consentimiento, el usuario, previamente informado, deberá tomar una decisión sobre el uso de cookies a través del equipo con que navega. No obstante, no es necesario recabar el consentimiento para el uso de cookies técnicas o que se descarguen para prestar un servicio u ofrecer una funcionalidad solicitada por el usuario.

Cabe plantearse si las cookies que se descargan como consecuencia de la inclusión de conectores sociales podrían entrar dentro de esta última categoría. Al respecto, se ha pronunciado el Grupo de Trabajo del artículo 29 (GT29), que agrupa a las autoridades de protección de datos de la UE[1], y que marca también en cierto modo la línea interpretativa del regulador español de protección de datos, estableciendo dos escenarios distintos:

  • Cuando los usuarios de un sitio web ya se encuentren identificados en la plataforma social que descarga la cookie, no será necesario el consentimiento previo, ya que tienen una expectativa de poder compartir contenidos en la red social en cuestión y, por tanto, las cookies que le permiten hacerlo son consideradas como estrictamente necesarias a estos efectos. Eso sí, siempre y cuando aquellas sean de sesión.
  • Cuando los usuarios del sitio web no tengan una cuenta en la plataforma social en cuestión que descarga la cookie o a los usuarios que, teniéndola, no navegan permaneciendo identificados en la misma, sí es necesario solicitar el consentimiento para la descarga de ésta.

►     Dado que el esfuerzo de diferenciar a unos usuarios de otros es mayor que dar cumplimiento a las obligaciones derivadas del uso de las cookies, resulta más conveniente pedir de forma general el consentimiento a todos los usuarios.

Los ‘social login’ recogida de datos

La recogida de información personal de los usuarios (nombre, email, ‘likes’, edad, ciudad…) a través de nuestros propios formularios, o a través de social login es nuestra responsabilidad. Dicho de otra forma, seremos los responsables de esos ficheros, por lo que deberemos tener correctamente registrado el fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos.

Además, el hecho de ser responsables del fichero, implica que debemos cumplir con el resto de obligaciones que nos serían aplicables, como no solicitar datos excesivos para la finalidad del registro que buscamos, informar correctamente sobre la política de privacidad aplicables y solicitar el consentimiento del usuario en aquellos casos en los que sea necesario.

La idea principal es que se deben aplicar al sistema de conexión con la red social el mismo tipo de cuestiones que habríamos de incorporar a un registro clásico en nuestro formulario web.

►           Resulta primordial especificar qué datos queremos obtener de la red social, y esto se debe hacer siguiendo el principio de calidad de los datos: solicitando exclusivamente aquellos que son necesarios para las finalidades con que se pretenden usar.

Ya sabemos que (salvo excepciones) es necesario contar con el consentimiento de la persona para recabar sus datos y tratarlos, y que en Internet se suele llevar a cabo mediante checkbox y links a las políticas de privacidad, pues el consentimiento tiene que ser previamente informado en muchos casos, como cuando empleamos la información para el envío de comunicaciones comerciales.

Gracias a la simplicidad que aportan los ‘social login’, es fácil registrarse usando el nombre de usuario y contraseña sin necesidad de aportar todos los datos pulsando el botón de “aceptar”. El momento oportuno para ofrecer la información de privacidad al usuario es el momento antes de que éste pulse en aceptar o continuar, pues ello implicaría la aceptación de nuestras condiciones legales.

►        Es fundamental introducir en el ‘social login’ nuestra propia política de protección de datos mediante un link. Así, si el usuario continua con el registro, se entenderá que acepta la misma y se podrán tratar los datos conforme a lo indicado en dicho texto.

Siempre que exista esta posibilidad deberá recurrirse a ella. No obstante, si la plataforma no ofreciera estas opciones en sus APIs, sería necesario, antes de que el usuario pueda proceder identificarse, insertar un paso previo en el que, ya sea marcando una casilla de verificación del consentimiento, ya haciendo clic en un botón “Aceptar” o similar, declare estar conforme con que un determinado responsable recabe sus datos y los utilice para determinadas finalidades.

Revisiones por parte de las redes sociales

Revisiones por parte de las redes sociales    La información que una plataforma social facilita a un responsable que permita la identificación de usuarios en su sitio web, app o similar mediante un ‘social login’ dependerá de las condiciones que la propia plataforma haya impuesto. Al respecto, hemos de tener en cuenta que pueden cambiarlas en cualquier momento y sin previo aviso..

►        Es habitual ahora que redes sociales como Facebook requieran revisar las políticas de privacidad e incluso las webs o apps que han solicitado el sistema de conexión y login para cerciorarse que los datos que se solicitan son adecuados y que se cumplen con las reglas legales básicas.

►        Por ello, antes de solicitar la API correspondiente, es recomendable tener ya bien definida la política de privacidad acorde a la LOPD y la web o app debidamente adaptada a la misma.

Obtención de más datos del usuario una vez registrado. Una vez que el interesado se haya identificado mediante un sistema de este estilo, es perfectamente posible obtener más información posteriormente. Para ello, bastará con que la política de privacidad prevea esta posibilidad. Eso sí, siempre respetando el principio de calidad antes referido.


[1] Dictamen 4/ sobre la exención del requisito de consentimiento de cookies