Viene siendo habitual desde hace algunos años que la mayor parte de la población utilicemos, al menos, una red social en la que subimos videos o fotografías las cuales exponemos al resto de las personas. Ya no solo como individuos a nivel particular, sino también las empresas a las que este tipo de plataformas les ha beneficiado enormemente a la hora de darse a conocer. Sin embargo, debemos ser cautelosos a la hora de subir y cómo subir en estas redes sociales determinadas fotografías que hagan identificable a un tercero.
Hace poco, la Agencia Española de Protección de Datos (en adelante AEPD) ha publicado una resolución, Expediente nº 202104917, por la que se sanciona a una empresa por el siguiente motivo: publicación de una fotografía a Instagram por parte de la empresa reclamada sin tener el consentimiento de la persona afectada. Además, la cuantía de la sanción no es baladí, ya que nuestra autoridad de control sanciona a la empresa con 10.000 euros por falta de consentimiento en el momento de subida de la fotografía. Para tratar de entender el origen de esta cuantiosa sanción, vamos a analizar la resolución a lo largo del presente artículo.
Empezamos detallando mas exhaustivamente el motivo de reclamación objeto de la resolución. La parte reclamante alega que la empresa reclamada ha publicado en Instagram una foto en la que figura vestida con su traje de boda, todo claro, sin su consentimiento. Por otro lado, la parte reclamada se defiende argumentando que, si bien es cierto que publican dicha fotografía, lo hacen “anonimizando” a sus integrantes tapándoles la cara con un circulo negro. Asimismo, la empresa reclamada expone que la fotografía solo se publicó con motivo del impago del vestido de novia por parte de la reclamante, por lo que fue una medida disuasoria para el abono del mismo y permaneció publicada durante el lapso de una hora, lo que la novia tardó en pagar.
Pero ¿en qué basa su defensa la parte reclamada para intentar probar que la publicación de dicha fotografía no lesiona ningún derecho de la otra parte?
En primer lugar, la empresa reclamada manifiesta en sus alegaciones que, como responsable de tratamiento, ha aplicado medidas técnicas y organizativas adecuadas con el objetivo de garantizar la protección de datos de la interesada ya que, aunque publica la foto en su perfil, la misma incluye dos círculos negros tapando la cara de las personas que aparecen en la fotografía, haciendo, en palabras de la empresa, imposible su identificación y amparándose por ello en el Considerando 26 del Reglamento Europeo de Protección de Datos (en adelante RGPD). Por tanto, opina la reclamada, que no se puede entender que de las fotografías en las que se cubre el rostro de los contrayentes, les haga identificables, ya que la vestimenta nupcial de ambos no les hace identificables en ningún caso.
En relación con la acción de anonimización de las imágenes o su pixelado, manifiestan además que es la propia AEPD quien ha recomendado en varias ocasiones el uso de este tipo de técnicas para la publicación de imágenes en los distintos medios de comunicación.
Por otro lado, la reclamada añade que la fotografía objeto de denuncia sólo estuvo publicada en su perfil de Instagram por espacio de una hora. Como hemos comentado, la finalidad de la publicación de la imagen en Instagram fue la falta de pago del vestido de novia por la parte reclamante por lo que la empresa, con dicha acción, pretendía el pronto pago de la confección del traje nupcial.
En consonancia con lo expuesto, la parte reclamada también argumenta que la denunciante posteo fotografías suyas en Instagram con el vestido de novia mencionando a la empresa con anterioridad al hecho controvertido. La entidad reclamada considera que el etiquetado por la reclamante a la entidad reclamada en Instagram resulta, según ellos, una acción clara en la que la propia denunciante tiene interés en hacer público que la empresa es la responsable de la confección de su vestido.
Así las cosas, la empresa reclamada continúa manifestando que ellos repostean en su perfil la publicación de la denunciante en agosto de 2020, sin que haya mostrado ningún tipo de molestia, y que, además, un mes después, la reclamante nuevamente publica otra fotografía y también etiqueta a la entidad, por lo que la empresa reclamada entiende que ese hecho demuestra la conformidad con el trabajo de la entidad y con el reposteo de las imágenes. Dicen que es una acción afirmativa libre y en positivo por la parte reclamante al etiquetarles y que debe ser considerado como un consentimiento en la publicación de las imágenes.
Sin embargo, si bien es cierto que la parte reclamada en sus alegaciones manifiesta que de la actitud y de las acciones de la reclamante (aceptación al reposteo de las fotos por la empresa de confección) se debe entender que presta su consentimiento a la publicación de la imagen objeto de sanción, del mismo modo manifiesta que publica dicha fotografía en base al interés legítimo, haciendo alusión a que publica sus diseños en esta red social desde 2014 lo cual, según la entidad, hace que se legitime el tratamiento de las imágenes en base a dicho interés.
De todo lo expuesto, la AEPD hace un análisis y declara lo siguiente:
- Considera que las imágenes publicadas por la parte reclamada, aun con las caras de las personas que salían en ellas tapadas, sí eran identificables y por esa razón fueron publicadas en Instagram por la reclamada con la finalidad de cobrar por las ventas efectuadas. En este sentido, señalan que la falta de pago no legitima a la parte reclamada a utilizar las imágenes de la parte reclamantes, si no cuenta con su consentimiento expreso, por lo tanto, se ha incurrido en un tratamiento ilícito de datos personales.
- No pueden ser objeto de tratamiento los datos personales obtenidos de una red social o de internet, sin que concurra alguna de las bases de legitimación previstas en el art. 6 del RGPD. Este hecho, supone la infracción de dicho artículo ya que la imagen ha sido tratada sin contar con ningún tipo de legitimación. Sobre RRSS y protección de datos ya hemos tenido ocasión de hablar en otras entradas a nuestro Blog aquí y aquí.
Por lo tanto, la AEPD señala que estamos ante un tratamiento ilícito de datos personales, ya que en este caso la parte reclamada ni siquiera intentó obtener el consentimiento de los reclamantes para el uso de su imagen, dado que consideraron que tenían interés legítimo para su tratamiento.
A fin de determinar la cuantía de multa administrativa a imponer toman como referencia el artículo 83.5.a) RGPD contando con el agravante de la intencionalidad, según el artículo 83.2.b) de la misma ley. Así, nuestra autoridad de control estima adecuada imponer a la entidad reclamada una sanción de 10.000 euros.
¿A que conclusión podemos llegar de conformidad con la argumentación que da la AEPD?
1.- En primer lugar, debemos distinguir entre reposteo de una imagen y una publicación al uso. En el primer supuesto la persona que sube la fotografía tiene el control sobre la misma y aunque otro perfil haga un repost de la imagen, si la cuenta principal la borra la misma se elimina de todas las cuentas. No ocurre lo mismo cuando publicamos una imagen de un tercero directamente desde nuestro perfil ya que esa persona no tiene control para modificar o borrar la foto. Este ultimo caso es el que ha sucedido en la resolución que acabamos de analizar.
A mayor abundamiento, no debemos olvidar las posibles responsabilidades penales en los casos en los que los usuarios Tuitean o Retuitean imágenes, vídeos o noticias de otros usuarios cuya legitimidad no siempre está clara y podemos presumir su ilegitima procedencia, en estos casos, mediante el Tuit o Retuit a la difusión de esa noticia, video o imagen nos podemos llegar a convertir en parte en responsables, de los daños que se causan a terceros.
2.- La Agencia nos deja claro que, en este supuesto, no rige el interés legitimo de la empresa reclamada, ni el consentimiento de la afectada, por lo que la entidad sancionada no contaba con ninguna base de legitimación valida para el tratamiento de la imagen y, por ese motivo, han sido sancionados.