Las navidades están a la vuelta de la esquina, y con ellas llegan las tradicionales cenas de empresa, momentos ideales para compartir, reforzar vínculos y capturar recuerdos inolvidables.
Pero más allá del espíritu festivo, debemos recordar que las imágenes también son datos personales y que posar en una foto no implica automáticamente que estemos dando nuestro consentimiento para que estas imágenes sean posteriormente publicadas, y difundidas ya sea en la web, y/o redes sociales corporativas de la empresa.
Recientemente la AEPD de protección de datos ha sancionado con 5000 euros en el EXP202313226 por vulneración del artículo 6.1 RGPD a un conocido despacho de abogados por este motivo, al publicar en su web tras una sesión fotográfica el nombre, apellidos y fotografía de una trabajadora sin su consentimiento.
En este caso concreto el despacho argumentó a su favor el envío de un mensaje al correo electrónico corporativo de la ahora parte reclamante con el siguiente contenido: “Mañana sacaremos fotos a los nuevos que lo deseen” para posteriormente enviarles sendos mensajes al correo corporativo en los que se les informa de que pueden revisar las fotografías ya publicadas en la web. El despacho alego en su defensa, que tras él envió de estos correos la parte reclamante no mostró oposición ninguna. Además, se intentó justificar la publicación alegando que la trabajadora había compartido previamente la misma imagen en su propio perfil de LinkedIn.
En relación con lo expuesto, y de acuerdo con los hechos probados puestos de relieve en el presente procedimiento, la entidad en cuestión llevó a cabo un tratamiento de datos consistente en la toma de fotografía a la parte reclamante para su posterior difusión a través de la web de la empresa basándose en un consentimiento presunto al posar en la foto y aportar datos de su currículum para su inclusión en el perfil del despacho.
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que el despacho publica en su página web los siguientes datos personales de personas físicas: imagen, nombre, primer apellido y profesión de sus empleados, entre otros tratamientos.
La imagen de una persona física es un dato personal, por lo que, su inclusión en publicaciones que identifica o hace identificable a una persona, supone un tratamiento de datos personales. El despacho realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.
Con relación a la definición de consentimiento, el artículo 4.11 del RGPD supone un cambio de paradigma respecto al esquema vigente con anterioridad a la citada norma, por cuanto hace desaparecer de la realidad jurídica el denominado “consentimiento presunto”. Así, esta definición señala que se considera consentimiento del interesado aquella “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración, o una clara acción afirmativa, el tratamiento de los datos persones que le conciernen».
Por su parte el artículo 7 del RGPD enumera las condiciones que deben concurrir para el otorgamiento del consentimiento y en nuestro ordenamiento, la LOPDGDD señala en su artículo 6, que lleva como rúbrica “Tratamiento basado en el consentimiento del afectado” lo siguiente:
“1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, y asea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.”
Asimismo y de acuerdo con lo establecido en el artículo 6.1 del RGPD que regula las distintas bases de legitimación en relación con los Considerandos 32 y 42, cuando el tratamiento se base en el consentimiento del interesado, para considerar válido dicho consentimiento este deberá ser informado, es decir referirse de manera específica a finalidades concretas, prestarse de manera libre y ser inequívoco. Respecto a la necesidad de que el consentimiento sea informado, habrá que acudir al artículo 13 del RGPD, que determina que información concreta ha de facilitarse cuando los datos se obtengan del interesado.
En el supuesto que estamos analizado, el despacho argumentó que había informado por correo electrónico sobre la sesión fotográfica e invitado a los empleados a participar, pero sin detallar los usos específicos de las imágenes ni requerir un consentimiento explícito. Aunque la reclamante no se opuso activamente, esto no justifica el uso posterior de su imagen con fines corporativos.
Así, en aquellos supuestos en los que las fotografías captadas afectan a personas identificables, quienes no han prestado su voluntad de forma libre, específica, informada e inequívoca en el momento en que esas fotografías están siendo tomadas, no puede considerarse que el consentimiento recabado sea válido ya que:
1. No es posible acreditar que la parte reclamante ha sido debidamente informada. Pese a la documentación que se le requirió al despacho en el período de prueba, ningún documento se ha aportado respecto a la información facilitada a la parte reclamante de la utilización de su imagen una vez tomada la fotografía para todas y cada una de las finalidades (en este caso, la captación de la imagen y su posterior difusión a través de la web).
2.-No puede considerarse que la parte reclamante haya consentido indubitadamente la toma de una fotografía de su imagen física, ante un correo en el que lo único que se advierte es “sacaremos fotos a los nuevos que lo deseen”. Como se ha señalado anteriormente, el consentimiento presunto ha dejado de tener validez en el marco de la normativa de protección de datos surgida a partir de la aprobación del RGPD, debiendo ser expreso. Del mismo modo, el hecho de que la parte reclamante hubiera publicado en su perfil de la red social LinkedIn esta fotografía con su imagen no supone un consentimiento a expreso a que pueda ser publicada por la empresa.
3. Ahora bien, es importante señalar que, en estos casos, debe cumplirse todos los requisitos que se han mencionado anteriormente como necesarios para la prestación de un consentimiento válido, lo que implica, por tanto, la necesidad de que el consentimiento sea además informado y expreso, que sea libre, debiendo estar el responsable en condiciones de acreditar que estos extremos se han cumplido en todos los casos.
Teniendo en cuenta lo anterior, no pueden acogerse, por tanto, las alegaciones del despacho, ya que estas se asientan sobre la base del consentimiento presunto de la parte reclamante, ante el correo de comunicación de la toma de las fotografías (“a los nuevos que lo deseen”). El marco que configura el RGPD para los tratamientos de datos personales cuya base legitimadora sea el consentimiento de los interesados, exige una clara acción afirmativa en la prestación de dicho consentimiento, que deberá cumplir todas y cada una de las condiciones a que se ha hecho referencia más arriba, eliminando de esta forma el denominado consentimiento tácito o presunto.
Por ende, para cumplir con la normativa de protección de datos, cuando la base legitimadora del tratamiento la constituya el consentimiento del interesado, la puesta a disposición de la información relativa al tratamiento para todas y cada una de las finalidades (difusión en web y redes sociales) se configura como un presupuesto necesario para la válida prestación del consentimiento.
En conclusión, la reciente sanción impuesta por la AEPD al despacho de abogados por publicar imágenes y datos sin un consentimiento válido pone de relieve la importancia de cumplir con los principios del RGPD.
El consentimiento debe ser claro, libre, informado y específico, y no puede basarse en suposiciones o acciones tácitas. La comunicación previa acerca de la toma de fotografías no exime al responsable del tratamiento de obtener un consentimiento explícito y documentado, especialmente cuando se trata de usos posteriores como la difusión en redes sociales o páginas web corporativas.
Por ello, es esencial que las empresas adopten medidas preventivas, como informar de manera detallada los fines del tratamiento y recabar un consentimiento expreso antes de cualquier publicación. Solo así podrán garantizar el respeto a los derechos de los empleados/as y evitar sanciones que no solo afectan económicamente, sino también la reputación de la organización.
Para terminar, podéis consultar otros artículos de nuestro blog relacionados con las imágenes de trabajadores.
