Tratamiento de datos
Recientemente, la Agencia Española de Protección de Datos a través del Procedimiento Sancionador con número de expediente EXP202204530 impuso una sanción de 10.000 € a una persona física por publicar en redes sociales, concretamente en Facebook, un vídeo con duración de un minuto y treinta y cinco segundos, donde salía una persona en estado de embriaguez que conllevó a múltiples comentarios y comparticiones del mismo. A raíz de este procedimiento sancionador y de otros publicados por parte de la Autoridad de Control se debate sobre si este hecho es constitutivo o no de aplicar el Reglamento General de Protección de Datos 2016/679 en base a lo establecido en el artículo 2.2-C del mismo.
El Reglamento General de Protección de Datos 2016/679 establece en su artículo 2.2-C lo siguiente; “El presente Reglamento no se aplica al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”.
¿Compartir contenido en redes sociales entra dentro de la actividad doméstica y/o personales?
Sí, pero con matices. Por regla general cuando utilizamos las redes sociales (Instagram, Facebook, Twitter…), no solicitamos el consentimiento de nuestros amigos o familias para subir contenido a las mismas, ya sea imágenes o fotografía, porque sería prácticamente imposible controlar todas esas autorizaciones, y por eso, la propia normativa europea introdujo dicha excepción en el artículo 2.2-C del RGPD 2016/679.
Es importante saber que no todo el contenido que compartimos en las redes sociales está bajo el paraguas del artículo 2.2-C del Reglamento General de Protección de Datos 2016/679 y que por ende, compartir determinado contenido sí puede llevar a que se aplique la normativa europea y en consecuencia, que actúe la Agencia Española de Protección de Datos como Autoridad de Control.
El Reglamento General de Protección de Datos (RGPD) es de aplicación al tratamiento de toda la información relativa a una persona física identificada o identificable, entendiendo que alguien es identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Por lo que, en la medida en que las imágenes y vídeos que compartamos en redes sociales permitan identificar a las personas afectadas y no se apliquen sobre las mismas parámetros digitales que impidan su identificación (por ejemplo: pixelados o máscaras), estas quedarán dentro del ámbito de la normativa de protección de datos, lo que supondrá que el particular que capta y difunde las imágenes sea considerado responsable del tratamiento y precise de una de las bases de licitud o legitimación de las previstas en el artículo 6 RGPD, entre las que cabría aplicar, en estos supuestos, la del consentimiento.
¿Cuándo no se aplica la excepción doméstica y/o personal?
Para ello, tenemos que acudir a jurisprudencia y resoluciones y dictámenes de las Autoridades de Control.
- Tribunal de Justicia de la Unión Europea (TJUE), en su Sentencia sobre el asunto C– 25/17, del 10 de julio de 2018.
El TJUE, señala, de una parte, que la expresión «personales o domésticas» se refiere a la actividad de la persona que trata los datos personales, no a la persona cuyos datos son tratados. De otro lado, entiende que la excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.
A este respecto, no considera que una actividad es exclusivamente personal o doméstica cuando tenga por objeto permitir a un número indeterminado de personas el acceso a datos personales o cuando la actividad se extienda, aunque sea en parte, al espacio público y esté, por tanto, dirigida hacia el exterior de la esfera privada de la persona que procede al tratamiento de los datos.
- Comité Europeo de Protección de Datos (CEPD), en su Guía 2/2019 para el tratamiento de datos personales a través de dispositivos de video.
El CEPD determina que la llamada excepción doméstica, en el contexto de la captación de imágenes, debe interpretarse de manera restrictiva, incluyéndose la misma únicamente las actividades que se llevan a cabo en el curso de la vida privada o familiar de los particulares, lo que claramente no es el caso del tratamiento de datos personales que conlleva la publicación en Internet de manera que los datos sean accesibles a un número indefinido de personas.
- Informe Jurídico 0615/2008 de la Agencia Española de Protección de Datos.
La Agencia viene señalando que para que nos hallemos ante la exclusión doméstica, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.
En definitiva, cabría pensar en base a lo interpretado por las mismas que, en supuestos como los analizados en el presente artículo, en los que las imágenes captadas por particulares acaban en manos de un número indeterminado de personas, no sería de aplicación la excepción doméstica, por lo que, ante la ausencia de consentimiento de las personas afectadas para su captación y difusión, se estaría vulnerando la normativa en materia de protección de datos.
A lo largo de los últimos años hemos tenido diversos ejemplos que han sido objeto de sanción por parte de las autoridades de control, y que no han estado exentos de polémica. Para muestra, varios botones:
- Sanción Autoridad de Protección de Datos de Austria de 11.000 € a un entrenador por grabar a jugadoras en la ducha durante años.
- Sanción de la AEPD a un particular con multa de 2.000 € por grabar con su móvil, desde su casa, a un policía que estaba realizando una actuación en la calle, y difundirla a través de WhastApp sin consentimiento.
- Sanción de la AEPD de 10.000 € a un particular por publicar, en el «estado» de WhatsApp, fotos íntimas y conversaciones de un tercero sin su consentimiento.
No te pierdas toda la actualidad en Protección de Datos & Cumplimiento Normativo de la mano de los mejores profesionales del sector en nuestro Máster Profesional en Dirección de Compliance & Protección de Datos.