Cada vez es una práctica más común que las empresas realicen publicaciones de fotografías de sus empleados en sus plataformas digitales, ya sea en la página web corporativa o vía o redes sociales, pudiendo afectar a la privacidad de los trabajadores. En este sentido es importante que las entidades tengan en cuenta tanto la normativa en materia de protección de datos, como las resoluciones al respecto.
El derecho a la imagen se encuentra reconocido en los siguientes preceptos:
De los numerosos pronunciamientos de la Agencia Española de Protección de Datos (AEPD) sobre el tema, en el presente artículo nos centraremos en analizar en concreto el Procedimiento Sancionador PS/00310/2020:
Como breve sinopsis, se trata de una peluqueríaque para la comercialización de sus productos y servicios distribuye un folleto utilizando la fotografía de una de sus trabajadoras, sin mediar el consentimiento previo de la titular de los datos. La AEPD sanciona con apercibimiento a la entidad por entenderse vulnerado el artículo 6.1 del RGPD, toda vez que realizó el tratamiento de la imagen de la reclamante sin contar con una legitimación válida para ello.
Pero ¿por qué entiende la AEPD que se ha de sancionar a la entidad?
El Reglamento Europeo de Protección de Datos (RGPD) art 4.1 establece que un dato de carácter personal es “Toda información sobre una persona física identificada o identificable”
En el RGPD, por tanto, la identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de:
- elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, a los cuales añade el elemento genético; o
- por identificadores como por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea.
Se aclara por tanto en nuestra normativa que un dato personal puede ser un identificador, siempre y cuando sean capaces de identificar a la persona, como ocurre en el caso concreto de las fotografías.
En segundo lugar, toda vez que se realiza un tratamiento de datos de carácter personal, para que este sea lícito (cumpla con el principio de licitud) hemos de contar con una base legitimadora de las recogidas en el artículo 6.1. del RGPD;
“1. El tratamiento sólo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos la responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
En el caso concreto que nos ocupa, la única legitimación válida de las descritas en el párrafo anterior sería el consentimiento del interesado (Art.6.1.a RGPD). Además, dicho consentimiento ha de cumplir con las directrices del Comité Europeo de Protección de Datos (CEPD), siendo este granulado, es decir que los consentimientos se encuentren separados por finalidades, de tal manera que el interesado tenga claro para que está prestando su consentimiento en todo momento: «cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos».
Por lo indicado en los anteriores párrafos se entiende por la AEPD una infracción a lo dispuesto en el artículo 6.1 a) del RGPD, ausencia de consentimiento.
Atendiendo al artículo 58.2.b) RGPD, la infracción que ha realizado la entidad conlleva una sanción de apercibimiento. Asimismo, se ordena al responsable del tratamiento (peluquería), la adopción de las medidas necesarias para que se retiren dichos folletos publicitarios donde aparece la imagen de la reclamante, de conformidad con lo establecido en el artículo 6.1 a) RGPD, para lo cual se le da el plazo de un mes.
Asimismo, la AEPD detalla en la resolución que aplica el apercibimiento en aplicación a lo dispuesto en el artículo 83.5.b) del RGPD pues entiende que podría constituir una carga desproporcionada para la peluquería, cuya actividad principal no está directamente vinculada al tratamiento de datos personales, y no consta la comisión de ninguna infracción anterior en materia de protección de datos.
Con independencia de lo anterior, hemos de aclarar que no todos los casos en los que ocurra algo similar a lo explicado a lo largo del artículo se resuelva por la AEPD de la misma manera, por lo cual la sanción puede ser mayor que un apercibimiento.
No queremos poner fin a este artículo sin mencionar que la realidad actual es que la mayoría de las empresas articulan la solicitud del consentimiento de los empleados para el uso sus datos personales, incluida la imagen, bien en los propios contratos de trabajo o a través de consentimientos de confidencialidad, pero ¿sería valido este consentimiento para el uso de la imagen con fines publicitarios o comerciales o solamente podría utilizarlo la empresa con fines laborales?
Para resolver la cuestión contamos con una serie de precedentes jurisprudenciales:
- Audiencia Nacional SAN Nº 87/2017, Sala de lo Social, Sección 1, Rec 137/2017 de 15 de junio de 2017: declara nula la práctica empresarial que consistía en incorporar a los contratos de trabajo de telemarketing una cláusula por la que las personas trabajadoras cedían expresamente la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, con el fin de desarrollar la actividad propia de telemarketing. Posteriormente la Sala de lo Social del Tribunal Supremo revoca la sentencia de la AN y declara la validez de la estipulación contractual analizada.
- Tribunal Supremo STS 884/2021 – ECLI:ES:TS: 2021:884: se pone fin a un procedimiento en el que una modelo demanda a una conocida marca de bebidas por seguir explotando su imagen con fines publicitaria una vez finalizado el contrato y consentimiento prestado al efecto. El TS señala que “la utilización de la imagen con fines publicitarios y comerciales está sometida a las exigencias de la LO 1/1982, de modo que es preciso el consentimiento de la persona, que puede ser revocado indemnizando los daños causados. Por ello, cuando la explotación comercial se haya producido sin consentimiento de la persona, bien porque no se haya prestado, bien porque se haya revocado, puede apreciarse intromisión ilegítima, pues la decisión sobre la explotación de la imagen corresponde a la propia persona”.
En conclusión, siempre y cuando queramos utilizar las imágenes de nuestros empleados, bien sea para su difusión en las plataformas de la entidad o bien para realizar acciones publicitarias, hemos de contar con el previo consentimiento para cada uno de ellos. Eso sí, reiterando que, si la empresa solicita el consentimiento para el uso de datos de carácter personal del empleado en el marco de una relación laboral, su imagen solo podrá ser utilizada con los fines indicados en el mismo, mientras que si la entidad quiere utilizar la imagen de un trabajador con fines comerciales o publicitarios ha de contar con un consentimiento específico al efecto para la cesión de la explotación de sus derechos de imagen en los términos previstos en la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.