Hay bromas que pueden salir caras, y, sino que se lo digan a la empresa titular de la conocida app de realización de bromas telefónicas JUASAPP.
Esta aplicación, que aún se puede descargar, se hizo muy popular en 2014, y permite a cualquier tercero escoger de entre un listado una broma, en formato de archivo de audio pregrabado vía telefónica, para que sea enviada al número de destino seleccionado por dicho usuario, pudiendo mantener el anonimato de la persona que gasta la broma.
Una vez realizada la broma, la aplicación ofrece la posibilidad de generar el fichero de grabación de la misma, de manera que el usuario pueda posteriormente reproducir, descargar y compartir el fichero de audio que contiene la grabación.
Algunas de estas bromas consistían, por citar algunos ejemplos, en alertar a una madre de un incidente en el comedor del colegio de su hijo, acusar a una persona de robar la luz, hacerse pasar por una asesoría jurídica en relación con una multa de tráfico, etc.
No todos los receptores de dichas bromas encontraron “la gracia” en estos hechos, sino que los denunciaron ante la Agencia Española de Protección de Datos (AEPD), manifestando que habían visto vulnerada su intimidad.
La AEPD, vistas las denuncias presentadas acordó iniciar varios procedimientos sancionadores, dictando finalmente resolución sobre los mismos (ver aquí), e imponía a la entidad una sanción de 7.500 euros por considerar infringidos ciertos preceptos de la ya derogada Ley Orgánica 15/1999 de Protección de datos de carácter personal (LOPD).
Dicha resolución fue recurrida por los denunciantes llegando tanto a la Audiencia Nacional, (AN) que confirmaba la sanción impuesta en su Sentencia de 29 de noviembre de 2018, como al Tribunal Supremo (TS), que igualmente ratificaba el pasado mes de junio la resolución dictada en su día por la AEPD en su Sentencia STS 1771/2020.
El TS se centra ahora en dar respuesta a las tres alegaciones planteadas por la entidad titular de la app en sus recursos:
- Que la actividad desarrollada mediante JUASAPP se limita a proporcionar un medio de ocio a los particulares en el ámbito personal o doméstico.
Según la entidad, el hecho de gastar una broma es una actividad personal, y ellos actúan como simples mediadores entre el «abromado» y la persona que quiere gastar la broma contratada a través de esa app, poniendo a su disposición los medios, pero no usando la información para ningún otro fin que prestar el servicio contratado por el cliente y si la grabación se difunde, es por decisión del usuario que ha gastado la broma.
En este sentido, el Reglamento General Europeo de Protección de Datos (RGPD), prevé como excepción de aplicación del mismo en su artículo 2.2 c) el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Esta misma excepción se preveía en la ya derogada Ley orgánica 15/1999 de protección de datos de carácter personal (LOPD 15/1999), que se aplicaba en el momento en que se produjeron los hechos.
Asimismo, sobre esta materia se ha pronunciado el Tribunal de Justicia de la Unión Europea (TJUE), en relación al conocido caso Linqvist Sentencia de 6 de noviembre de 2003 y más recientemente en la Sentencia de 11 de diciembre de 2014, asunto C- 212/2013 indicando que “sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades exclusivamente personales o domésticas”
El TS considera que, en este caso, la excepción prevista en la norma no resulta de aplicación ya que tal y como señala la AEPD, y así se comprobó en la inspección realizada, los números de teléfono y la voz de los usuarios, eran incorporados a un fichero titularidad de la entidad. Máxime cuando, además, al final de la locución de la broma se facilitaba al receptor de esta la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
Por otra parte, el TS afirma que quien efectúa el tratamiento de datos es la empresa sancionada, no quien gasta la broma, y, por tanto, no se trata de una persona física, razón de más para que no entre ya en juego la exclusión prevista.
- Por tanto, el tratamiento de datos objeto de sanción, ni está desarrollado por un particular, ni se ha realizado en el contexto de una actividad exclusivamente personal o doméstica, por lo que sí le es de aplicación la normativa actual y vigente en la materia.
- Que los datos requeridos y tratados por JUASAPP y en particular la voz, no permiten en ningún caso identificar a los interesados objeto de la broma, y por lo tanto no estamos ante un tratamiento de datos de carácter personal.
La empresa sostiene, por un lado, que no se tratan datos personales de los receptores de las bromas, pues un número de teléfono y la voz grabada durante unos segundos, no permiten identificar a una persona y por lo tanto no son datos personales; y por otro lado, que las grabaciones que se generan quedan únicamente a disposición del usuario que gasta la broma siempre que éste haya decidido generar la grabación, y sin perjuicio de la difusión que luego pueda llegar a tener. Por otra parte, pese a reconocer que el fichero de audio está guardado en la nube, igualmente defiende que no se podría identificar al destinatario.
Sin embargo, si nos descargamos la aplicación, podemos observar que la información que se proporciona puede resultar totalmente contradictoria al indicar por una parte que “No recoge datos de los destinatarios de las bromas” y después afirmar que “Se presta un servicio de almacenamiento en la nube de los ficheros de audio del cliente”.
Tanto el artículo 3.a) de la anterior LOPD 15/1999 y su equivalente en la normativa vigente, que es el artículo 4 del RGPD, define dato personal como “la información sobre una persona física identificada o identificable”, y una persona física no se considerará identificable si la identificación requiere plazos o actividades desproporcionados.
Por su parte, en el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, se define “dato de carácter personal como «cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables».
Asimismo, el Considerando 26 del RGPD enuncia que, para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que razonablemente pueda utilizar el responsable del tratamiento o cualquier tercero para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.
Pues bien, para el caso que estamos analizando, además del número de teléfono de los denunciantes afectados, que, si bien por si sólo pudiera no ser considerado dato personal conforme la Sentencia del TS de 17 de septiembre de 2008 “un número de teléfono móvil, sin quedar asociado a otra información, no constituye un dato de carácter personal que justifique una sanción de la AEPD”, aquí al grabarse la broma, se registra también la voz, siendo esta además susceptible de ser difundida.
Cabe referirse también en lo relativo a la voz, a la Sentencia de la Audiencia Nacional de 19 de marzo de 2014 afirma en relación con el derecho de acceso a la copia de una grabación, que «la voz de una persona constituye dato de carácter personal”.
- El TS concluye apoyándose en los hechos recogidos en la resolución sancionadora de la AEPD que, la entidad trata y almacena datos personales de los embromados, que incluyen teléfono y voz, datos que conjuntamente sin duda hacen que la persona afectada sea perfectamente identificable.
Pero es que, además, el tratamiento de los datos no se proyecta únicamente frente al titular de la base de datos, sino también frente a terceros (los usuarios que gastan las bromas haciendo uso de la app y proporcionan los teléfonos) sin consentimiento de los afectados, ya que sólo al finalizar la grabación de la broma se pregunta al receptor de la llamada si autoriza el almacenamiento en un fichero de datos titularidad del responsable.
Pues bien, difícilmente puede considerarse válida esta fórmula de obtener el consentimiento en relación con el artículo 3 a) de la LOPD 15/1999 que definía el consentimiento como “toda manifestación de voluntad, libre, inequívoca, específica e informada”, y análogamente lo define el RGPD en su artículo 4.11, añadiendo además que se tiene que otorgar “mediante una declaración o una clara acción afirmativa”.
- Que, en tal caso, de considerarse que existen datos personales, el hecho de tratar datos en el contexto del servicio al usuario de un medio para gastar bromas, supone que la base jurídica del tratamiento queda justificada por el interés legítimo del responsable.
La entidad afirma que el tratamiento de datos deriva de una aplicación que facilita un medio de ocio en el ámbito personal o doméstico de las personas, que nunca podría basarse en el consentimiento por cuanto se desvirtuaría el mismo hecho de gastar la broma y por ello, constituye un interés legítimo para la entidad.
EL TS considera al respecto que, no se trata de comparar la mayor o menor relevancia de una actividad de ocio frente a la protección de los datos personales, sino que una actividad de ocio debe atenerse a la protección de datos en caso de que dicha actividad implique el tratamiento informatizado de tales datos personales.
A mayor abundamiento, sostiene que el interés de la empresa no es única ni principalmente proporcionar un medio de ocio, sino el beneficio comercial que obtiene con ello. Dicho interés comercial es sin duda alguna legítimo, pero no puede nunca prevalecer sobre la protección de los datos de las personas afectadas.
Por otra parte, la grabación de la voz del abromado se realiza sin que medie un consentimiento previo, y es sólo al finalizar la grabación de la broma cuando se pregunta al receptor de la llamada si autoriza el tratamiento de datos. Para el TS “el consentimiento pasivo otorgado de forma negativa, esto es, como no oposición a una pregunta solicitada telefónicamente al cabo de una grabación sorpresiva como lo es una broma en las circunstancias que concurren en el caso” no se puede considerar válido conforme a la normativa de protección de datos.
En definitiva, con esta resolución, como ya anunciábamos al inicio del artículo, se confirma el criterio mantenido por la AEPD hasta ahora, en cuanto a la consideración de la voz como dato de carácter personal en los términos aquí analizados y se mantiene la sanción impuesta a la entidad, concretamente por la infracción grave del artículo 6.1 de la antigua LOPD 15/1999.
Cabe señalar que de haberse producido esta misma infracción a día de hoy, igualmente se estaría incumpliendo con lo dispuesto en el artículo 6.1 de la vigente Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), pasando a considerarse una infracción muy grave conforme al artículo 72.1b) de dicha ley.