MULTA DE LA AEPD: PUBLICAR UNA FOTO SIN CONSENTIMIENTO TIENE SUS CONSECUENCIAS Y ES COSTOSO.

El autor fue estudiante de la XIV Edición del Máster en Propiedad Intelectual, Industrial y NN.TT. de la UAM.

El último 12 de septiembre, por medio del procedimiento sancionador Nro. PS-00066-2022, la Agencia Española de Protección de Datos (en adelante, AEPD) impuso una multa de 10.000 euros a la empresa SOPHIE ET VOILA, S.L. (en adelante, SETV). La AEPD fundó su decisión en que SETV había cometido una infracción al artículo 6 del Reglamento 2016/679, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD).

Cabe señalar que en el citado artículo del RGDP se establecen las condiciones para que el tratamiento de los datos personales se considere lícito. La infracción en cuestión se encuentra tipificada en el artículo 83.5 del RGPD y es calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

El procedimiento sancionador a SETV fue originado por una particular que interpuso una reclamación porque la empresa mencionada había publicado en su cuenta de Instagram una foto en la que ella y su pareja figuraban vestidos con sus trajes de boda. Según expuso la AEPD, la reclamada había publicado la foto para lograr que se procediese al abono del vestido de novia. Corresponde mencionar que la reclamada fue quien había confeccionado dicho vestido y que la reclamante ya había publicado previamente la imagen etiquetando en la misma a SETV. 

Al contestar a la reclamación, SETV alegó que las fotografías publicadas en su cuenta de Instagram solo mostraban las figuras de dos personas, hombre y mujer, con la cara totalmente tapada por un círculo negro que no hacía identificable a las mismas. Por lo tanto, entendió que esta imagen no podía considerarse un tratamiento ilícito de los datos, sino que se trataba de una prueba de las medidas de seguridad adoptadas. En este caso, las medidas tendían a la anonimización de los datos de modo que se garantizaba la confidencialidad de los mismos.

Sumado a ello, la reclamante apoyó sus manifestaciones haciendo referencia a la definición de dato personal y de persona identificable que se expone en el artículo 4 del citado RGPD: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Por otro lado, SETV señaló que las imágenes se habían publicado durante menos de una hora y que se retiraron una vez que la reclamante pagó por su vestido, por lo que, en el caso de que se evaluase la existencia de un tratamiento de datos personales contrario al RGPD, la infracción carecería de entidad suficiente.

Argumentó que el etiquetado por la reclamante, sin duda resultó una acción clara, libre y afirmativa con la que la propia denunciante dejó de manifiesto que tenía interés en hacer público que SETV era la responsable de la confección de su vestido. Finalmente, SETV expuso que desde el año 2014 publica sus diseños en Instagram y que la base que legitima el tratamiento de los datos personales es el interés legítimo. Sobre este argumento, corresponde destacar que SETV no identificó el tipo de interés legítimo alegado.

En lo que respecta a la decisión de la AEPD, la autoridad entendió que las imágenes publicadas por la parte reclamada sí eran identificables y que las mismas fueron publicadas en Instagram por SETV con la finalidad de cobrar por la realización de los trajes de boda.

Sumado a ello, la AEPD concibió que la falta de pago no legitima a la parte reclamada a utilizar las imágenes de la reclamante y su pareja si no cuenta con el consentimiento expreso para ello. En este sentido, aclaró que no pueden ser objeto de tratamiento los datos personales obtenidos de una red social o de internet, sin que concurra alguna de las bases de legitimación previstas en el artículo 6 del RGPD.

Además, a efectos de fijar el importe de la sanción de multa a imponer a SETV y de conformidad con el artículo 83.2 b del RGPD, la AEPD estimó concurrente, en calidad de agravante, el factor de que hubo intencionalidad, ya que, como la propia reclamada indicó, quitaron las imágenes al abonar el traje de novia.

Por todo lo anterior, la AEPD consideró que se dio un tratamiento ilícito de los datos personales, ya que SETV ni siquiera intentó obtener el consentimiento de los reclamantes para el uso de su imagen. Fue así que los datos personales fueron tratados sin contar con ningún tipo de legitimación y en infracción al RGPD.

En mi opinión, la decisión de la AEPD puede ser cuestionable en cierto punto, ya que algunos de sus argumentos no fueron completamente fundados y expuestos. En primer lugar, concibo que debería haber explicado con mayor detenimiento por qué, a su entender, las fotografías de los reclamantes los hacían identificables. Esto se debe a que no estoy completamente de acuerdo con el razonamiento de que una imagen —con la vestimenta nupcial y los rostros tapados de dos individuos— permitan determinar la identidad de los mismos.

Considero que para que resulten identificables sería necesario contar con mayores elementos que permitan reconocer a la persona. Además, entiendo que en el caso bajo análisis el elemento más característico y propio de la identidad física de los individuos (el rostro) se encontraba tapado, por lo que no quedaba en evidencia de qué personas se trataba.

Concretamente, en relación con la acción de anonimización de las imágenes o su pixelado, acertadamente la reclamada expone en sus argumentos que, en repetidas ocasiones, la propia AEPD ha recomendado este tipo de técnicas para la publicación de las imágenes en los medios. Sobre este punto resulta relevante hacer mención de los casos en los que, por ejemplo, en revistas o programas televisivos se difunde la imagen de menores de edad con el rostro pixelado justamente para proteger a la persona retratada.

En dichas circunstancias no se entiende que se haya configurado un tratamiento ilícito de datos personales, ya que, como creo sucede en el presente caso, no resulta posible determinar la identidad de la persona física en cuestión. Por lo tanto, cabe preguntarse por qué, en las circunstancias bajo análisis, la AEPD entendió que las personas que salen en las imágenes con los rostros tapados sí eran identificables.

Por todo lo expuesto, creo que la AEPD debería haber fundado con más precisión este punto y aclarado en qué circunstancias se considera que una persona física es identificable. A mayor abundamiento, entiendo que el hecho de que las fotografías hayan estado publicadas únicamente por una hora debería haberse tenido en consideración para graduar la multa. En este sentido, una multa de 10.000 euros por las circunstancias dadas en este caso parecería ser un poco excesiva.

Finalmente, señalo que, al momento de determinar el monto de una multa, resulta importante que la AEPD tenga en consideración las previsiones contenidas en el RGPD respecto a las condiciones generales para la imposición de multas administrativas. En particular, el artículo 83 del citado cuerpo legal establece que cada autoridad de control garantizará que, en cada caso, las multas administrativas impuestas serán efectivas, proporcionadas y disuasorias.

En igual sentido, el Considerando 152 del RGPD añade que En los casos en que el presente Reglamento no armoniza las sanciones administrativas, o en otros casos en que se requiera, por ejemplo en casos de infracciones graves del presente Reglamento, los Estados miembros deben aplicar un sistema que establezca sanciones efectivas, proporcionadas y disuasorias.

De esta forma, queda en evidencia que la AEPD tiene la obligación de buscar un equilibrio entre un monto que fomente el efectivo cumplimiento de la normativa y que las mismas no sean desproporcionadas e ilógicas. Lo contrario podría llevar a una indeseada falta de credibilidad y razonabilidad en las propias decisiones de la AEPD.

 

MILLONARIA MULTA DE LA AEPD A VODAFONE POR NO CUMPLIR CON PRINCIPIOS DEL RGPD.

(El autor fue estudiante de la XIV Edición del Máster en Propiedad Intelectual, Industrial y NN. TT. de la UAM)

El pasado 1 de febrero de 2022, mediante el procedimiento sancionador Nro. PS/00001/2021, la Agencia Española de Protección de Datos (AEPD) impuso una multa de 3.940.000 euros a Vodafone España, S.A.U. (Vodafone). Tal sanción se basó en que la AEPD consideró el obrar de Vodafone como una infracción de los artículos 5.1.f) y 5.2 del Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), que recogen el principio de integridad y confidencialidad y el principio de responsabilidad proactiva, respectivamente. Dicha infracción se encuentra tipificada en el artículo 83.5.a) del RGPD, y es calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).