¿Puede un particular ser sancionado por protección de datos?

Hoy en este post nos hacemos eco de la fuerte campaña de difusión que en estas últimas semanas ha puesto en marcha la Agencia Española de Protección de Datos (AEPD) de su nueva herramienta “canal prioritario”, para aquellos casos de violencia digital en Internet.

La proliferación de dispositivos móviles y el acceso generalizado a Internet, están propiciando la difusión, en muchas ocasiones de manera ilegítima e incontrolada, de nuestros datos personales a través de perfiles en redes sociales y otros sitios web.

En este contexto, toda persona, hombre o mujer, de cualquier edad, puede llegar a verse afectada por este tipo de situaciones.

Para evitar la difusión masiva de esta clase de contenidos, la AEPD pone a disposición de los ciudadanos un canal específico para la atención prioritaria de estos casos.

¿Pero en qué supuestos se puede acudir a este canal?

Este canal se ha habilitado para la atención de situaciones excepcionalmente delicadas, cuando los contenidos de las fotografías o vídeos tengan carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o de víctimas de violencia por razón de género.

En este sentido, debemos tener en cuenta que, con carácter general, la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos, siempre que se trate de actividades exclusivamente personales o domésticas.

Por ello, podrás acudir a este canal sólo en casos excepcionales en los que, por tratarse de datos especialmente sensibles, la privacidad de la persona afectada se esté poniendo en grave peligro.

¿Entonces, podremos acudir a este canal cuando la difusión se lleve a cabo a través de Whatsapp o Telegram, o por medio de correo electrónico?

Parece ser que la respuesta es NO.

Señala la AEPD en las FAQs de dicho canal, que en estos casos no podremos acudir a este, sino que será la AEPD la que podrá iniciar un procedimiento sancionador contra quien difunda o replique este contenido utilizando dichos medios.

Es en este contexto donde podemos ubicar el caso de una reciente resolución de la AEPD que culminó con la imposición de una multa de 10.000 euros a un particular, por infracción del artículo 6.1 del Reglamento Europeo de Protección de Datos (en adelante RGPD), al publicar en su estado de WhatsApp fotografías intimas y capturas de conversaciones de una mujer y de una tercera persona, sin su conocimiento ni consentimiento, tras haber sido sustraídas de un pendrive que le había desaparecido, adjuntando además a algunas de las fotografías, comentarios vejatorios y denigrantes.

No es la primera vez que la AEPD impone una sanción a una persona física (véase en este sentido la conocida sentencia del Tribunal de Justicia de la Unión Europea en el caso Lindqvisten el año 2003, (en la que una catequista, había hecho una página web con datos personales de los feligreses), a pesar de que el propio RGPD en su considerando 18 establece “que no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial”.

¿Pero podemos acogernos a la llamada excepción doméstica cuando compartimos toda clase de vídeos o fotografías a través de los grupos de WhatsApp?


El anterior GT29 (actual Comité Europeo de Protección de Protección de Datos) en su dictamen 5/2009 de 12 de junio de 2009 sobre redes sociales en línea (en adelante SRS), destaca que un gran número de usuarios funcionan en un ámbito puramente personal, poniéndose en contacto con personas que forman parte de su entorno familiar o doméstico. En estos casos, el dictamen considera que se aplica la «exención doméstica», y que, por tanto, no resulta de aplicación la normativa reguladora en materia de protección de datos, precisando también en qué circunstancias las actividades de un usuario de SRS no están cubiertas por dicha exención doméstica y puede entonces considerarse que el usuario deberá asumir algunas de las obligaciones de un responsable de tratamiento de datos.

La aplicación de la exención doméstica se ve también limitada por la necesidad de garantizar los derechos de los terceros, especialmente por lo que se refiere a los datos sensibles (datos que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia sindical y los datos relativos a la salud y a la vida sexual), los cuales sólo pueden publicarse con el consentimiento explícito de la persona interesada o si esta misma persona ha hecho públicos estos datos.

En estos casos es el propio usuario el que asume la plena responsabilidad de un responsable del tratamiento de datos que revela datos personales a otro responsable del tratamiento de datos (SRS), y a terceros (otros usuarios de SRS o incluso, potencialmente, a otros responsables del tra-tamiento de datos que tienen acceso a ellos).

Conviene recordar que el propio dictamen establece una serie de recomendaciones para los proveedores de SRS, entre las que destacamos:

1.- Advertir adecuadamente a los usuarios sobre los riesgos de ataque a su intimidad y a la de otros cuando ponen información en línea en los SRS.

2.-Recordar a sus usuarios que poner en línea información relativa a otras personas puede perjudicar su derecho a la intimidad y a la protección de datos.

3.-Aconsejar a sus usuarios que no pongan en línea fotografías o información relativa a otras personas sin el consentimiento de éstas.

¿En qué responsabilidad en materia de protección de datos puede incurrir quien difunda ilegítimamente contenidos sensibles de terceros?

La difusión de datos sensibles de una persona física (en contenidos tales como imágenes, audios o vídeos que permitan identificarla), publicados en diferentes servicios de internet sin consentimiento se considera una infracción de la normativa de protección de datos personales. La AEPD es competente para sancionar estas conductas con multas que, en los casos más graves, pueden alcanzar los 20.000.000 de euros o, tratándose de una empresa, una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.

En el supuesto que ahora nos ocupa a pesar de que la infracción que se atribuye al reclamado se encuentra tipificada en el artículo 83.5.a) del mismo Reglamento y calificada como infracción muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, a la hora de fijar el importe de la sanción en 10.000 euros a imponer por vulneración del artículo 6.1 a) RGPD, se estiman por parte de la AEPD concurrentes los siguientes factores:

• El alcance meramente local del tratamiento llevado a cabo por el reclamado.
• Solo se ha visto afectada una persona por la conducta infractora.
 La forma en que la autoridad de control tuvo conocimiento de la infracción, en la medida en que esta ha sido a través de la reclamación de la afectada.
• Aunque no se tiene constancia de que el reclamado haya obrado dolosamente, en su actuación se observa intencionalidad y una grave negligencia como lo acreditan los comentarios adjuntos que contienen algunas de las fotografías.
• La ausencia de vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
• El reclamado es una persona física.

Pues bien, teniendo en cuenta todos los criterios expuestos a lo largo de este post en cuanto a la excepción doméstica, llama especialmente la atención que la AEPD no haya entrado a valorar ni haya fundamentado en modo alguno la aplicación de la misma al caso concreto, en el que es una persona física la que hace difusión de dichos contenidos en una red social y que como muy bien reitera la AEPD a la hora de determinar en qué supuestos podemos acudir a su “canal prioritario” excluye con carácter general  la actividad de los ciudadanos en redes sociales siempre que se trate de actividades exclusivamente personales o domésticas.

En virtud de todo lo expuesto podemos concluir que la AEPD ha abierto la veda a aplicar el RGPD y sancionar a los particulares que difundan ilegalmente a través de su Estado de WhatsApp contenidos especialmente sensibles de terceros y que pueden ser constitutivos de un delito. Debemos de tomar conciencia del daño y las consecuencias a las que nos puede llevar un simple acto como es compartir un vídeo o una fotografía en un grupo de WhatsApp, u otro tipo de plataformas o Redes Sociales.