Publicación de datos personales de terceros en redes sociales sin consentimiento

Partimos del art.2 del RGPD que establece su ámbito de aplicación material e indica en su apartado c) que el Reglamento no se aplica cuando el tratamiento es ”efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”.

Esta excepción también se recoge en el considerando 18 del RGPD que establece, que el presente Reglamento, no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.

Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales.

Por lo tanto, si nos quedamos solo con lo dicho anteriormente, podemos deducir que la publicación en redes sociales de imágenes y vídeos por un particular, se encuentra fuera del ámbito de aplicación de la normativa de protección de datos, siempre y cuando dicha publicación no tuviese conexión con una actividad profesional o comercial.

Pero vamos a lo práctico,  ¿me puede sancionar la Agencia Española de Protección de Datos si publico en Facebook fotografías de mis amigos, enemigos, familiares o conocidos sin su previo consentimiento?. Para responder a esta cuestión voy a traer a colación una resolución de la AEPD a través de la cual impuso una multa de 10.000 euros a un hombre por haber difundido en su estado de WhatsApp fotografías íntimas y capturas de conversacionesde una mujer con uncompañero de trabajo, que fueron publicadas sin el conocimiento ni consentimiento de esta, “tras haberle sido sustraídas de un pendrive que le ha desaparecido”, según consta en el procedimiento sancionador hecho público por la AEPD

Esta resolución nos puede parecer bastante atípica, en la medida en que el sujeto infractor es una persona física, y la difusión no se ha producido en el contexto de una actividad profesional o comercial. Y es que, para este tipo de casos, existen otras vías ajenas a la vía administrativa propia de la AEPD, como pueden ser la vía penal o la vía civil.

Sin embargo, se observa un cambio de tendencia en este sentido, por el cual la AEPD parece demostrar una mayor predisposición en la persecución de este tipo de ilícitos, más aún cuando hablamos del tratamiento de contenidos especialmente sensibles como imágenes de contenido sexual o que muestran actos de agresión. Tanto es así que han creado un Canal prioritario para solicitar la retirada de contenidos sensibles, cuando la difusión de estos contenidos sin el consentimiento de la persona afectada esté poniendo en alto riesgo sus derechos y libertades.

Cabe destacar también una resolución de la Audiencia Nacional. Sala de lo Contencioso fechada el 11/05/2018

En este caso, se analiza la publicación, por parte del denunciado, en su perfil de Facebook de un vídeo correspondiente a una vista de juicio oral, siendo compartido por varios usuarios de la red social, en la que aparece la imagen de la reclamante. Junto al vídeo publicado figura un comentario de texto publicado por el propio usuario, en el que se alude a una supuesta denuncia falsa en un escenario de violencia de género incluyéndose detalles de la relación de pareja y propugnándose la derogación de las leyes de género. En este caso, la Audiencia Nacional considera que resulta plenamente aplicable la normativa de protección datos a la publicación de datos personales en Facebook, sin restricciones de acceso para el resto de los usuarios de la red social, por lo que dicho tratamiento excede del ámbito personal o doméstico.

A la hora de determinar en qué circunstancias el tratamiento de datos personales en redes sociales excede el ámbito personal y domestico es importante destacar los siguientes documentos:

1. Dictamen publicado por el Grupo de Trabajo del Artículo 29, que adoptó el 12 de junio de 2009, sobre las redes sociales ,estima que, con carácter general, en la mayor parte de las actividades realizadas por los usuarios de un servicio de redes sociales debe aplicarse lo que denomina «exención doméstica», en lugar de la normativa de protección de datos.

Se especifican tres supuestos en los que tales actividades no estarían cubiertas por la «exención doméstica».

• Cuando se utiliza el servicio de redes sociales como plataforma de colaboración para una asociación o una empresa.
• cuando el acceso a la información del perfil se amplía hasta más allá de los contactos seleccionados, como cuando se facilita el acceso al perfil a todos los miembros del servicio de redes sociales o cuando los datos son indexables por motores de búsqueda, el acceso se sale de la esfera personal o doméstica.
• Aquellos supuestos en los que es preciso garantizar los derechos de terceros, particularmente en relación con datos sensibles, como los que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, la pertenencia a un sindicato o datos relativos a la salud o a la vida sexual.

No obstante, se hace constar que, aun cuando se aplique la «exención doméstica», un usuario podría ser responsable de acuerdo con las disposiciones generales de la legislación civil o penal nacional en cuestión.

2. Sentencia del Tribunal de Justicia de la Unión Europea de 11 de diciembre de 2014 (Caso RYNES), ha establecido que la excepción debe ser interpretada en sentido estricto. “Tal interpretación estricta se fundamenta también en el propio texto de la disposición que acaba de citarse, según el cual la Directiva 95/46 no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades «exclusivamente» personales o domésticas”. Asimismo, recoge la conclusión del Abogado General de que “la excepción (…) únicamente se aplica al tratamiento de datos personales cuando éste se efectúa en la esfera exclusivamente personal o doméstica de quien procede al tratamiento de datos”.
3. El Consejo de Europa publicó en 2018 el Handbook on European Data Protection elaborado junto con la Agencia de los Derechos Fundamentales de la UE (FRA), el Supervisor Europeo de Protección de Datos y el Tribunal Europeo de Derechos Humanos. Se afirma que “El acceso de los ciudadanos a internet y la posibilidad de utilizar plataformas de comercio electrónico, redes sociales y blogs para compartir información personal acerca de sí mismos y de otras personas hace que sea cada vez más difícil distinguir el tratamiento de datos para actividades personales del tratamiento de datos para actividades no personales. La consideración de las actividades como puramente personales o domésticas depende de las circunstancias”. “(…) es crucial que los usuarios sean conscientes de que subir información de otras personas sin obtener su consentimiento puede violar los derechos a la privacidad y la protección de datos de esas personas”.
4. También son citadas dichas sentencias del TJUE por nuestro Tribunal Supremoen Sentencia Núm 815/2020 de 18/06/2020, que tiene en cuenta la interpretación estricta de la excepción. El TS afirma que “son dos los requisitos legales para que entre en juego la cláusula de exclusión, que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica”.
5. Siguiendo el criterio fijado en la Sentencia Lindqvist, la Guía de Videovigilancia de la AEPDen relación a las cámaras on board, establece que las grabaciones para una finalidad “doméstica” estarían exceptuadas de la aplicación de la normativa de protección de datos. Por ejemplo, el uso de estas cámaras en los cascos de un ciclista o motorista, que fuesen tomando imágenes paisajísticas. “No obstante, su uso posterior, como, por ejemplo, la publicación de las grabaciones en internet quedaría sometido a la normativa de protección de datos”. También afirma la AEPD que “sobre la aplicación de esta excepción doméstica, no podrán entenderse exceptuados aquellos supuestos en los que la información tratada sea puesta en conocimiento de un número indeterminado o indefinido de personas”. Asimismo, “tampoco se aplica la excepción en aquellos casos en los que el tratamiento de estos datos pueda lesionar los derechos e intereses de las personas. A tal efecto, debe tenerse en cuenta que la utilización de las tecnologías de la información y las comunicaciones puede dar lugar a que un tratamiento de los datos inicialmente vinculado con la vida privada de quien lo realiza pueda implicar un acceso a información de un tercero que éste no desea que sea del dominio público”.

¿Quiere decir todo lo anterior que los datos obtenidos con motivo de actividades personales o domésticas, al quedar fuera del ámbito objetivo de aplicación de la norma, ya no pueden quedar protegidos por la misma?

La Audiencia Nacional en Sentencia (Núm de Recurso 481/2012) de fecha 26/09/2013 da respuesta a esta cuestión afirmando que sí son objeto de protección por parte de la normativa de protección de datos, pero de forma diferente, pues en relación a los datos personales (lista de contactos) que puede contener un teléfono móvil, el hecho de quedar incluidos dentro de la excepción doméstica no significa que los datos queden exentos de protección en el sentido de que el acceso al terminal sea libre por no quedar sujeto al régimen protector de la Ley.

Es un hecho que el desarrollo de la sociedad y la forma en que las personas interactuamos con las tecnologías han multiplicado de forma exponencial las situaciones que pueden suponer precisamente rebasar ese ámbito personal o doméstico, razón por la cual hemos podido conocer resoluciones sancionadoras de la AEPD en las que considera responsable del tratamiento a una persona física por exceder el tratamiento de datos realizado de una actividad personal o doméstica. No obstante, sancionar a particulares no es una novedad, pues en el ámbito de videovigilancia ya habíamos conocido sanciones a particulares por captar imágenes de la vía pública y por tanto, trascender ese ámbito personal o doméstico, tal y como se estableció en el Caso RYNES por el TJUE (R/02869/2013 sanción de 2.000 eur, PS/00055/2012 diversas sanciones 2000 €, 900 € y 1000€).

El RGPD no ha introducido novedades en la materia, a pesar de las propuestas de modificación discutidas en durante su tramitación, sino únicamente puntualizaciones y actualizaciones a través del Considerando 18 que refuerzan lo establecido en su articulado y son coherentes con la interpretación que los Tribunales y el GT29 han venido realizando hasta la fecha, si bien es cierto tampoco incluyó los criterios sugeridos por el GT29 para clarificar su aplicación por parte de las autoridades de control y Tribunales.

En ocasiones, no resulta sencillo discernir cuándo estamos ante actividades privadas que sean exclusivamente personales o constituyan una actividad meramente doméstica, pero debemos tener en cuenta que ese ámbito personal o doméstico, puede ser rebasado. Es por ello que el ámbito objetivo de la excepción doméstica debe analizarse caso por caso en función de las concretas circunstancias, teniendo en cuenta que no será suficiente que el tratamiento de datos lo realice un particular, sino que, además, deberá circunscribirse en el marco de una actividad exclusivamente particular o doméstica y todo ello interpretado en sentido estricto tal y como ha establecido la Jurisprudencia del TJUE.

Al hilo de todo lo anterior, la AEPD ha abierto un “Canal Prioritario” para que cualquier tercero que tenga conocimiento de la existencia de fotografías, vídeos o audios de contenido sexual o violento que circulan por Internet sin el consentimiento de las personas afectadas, solicite su retirada a la AEPD a través de este canal. Es importante destacar que este canal se ha habilitado para la atención de situaciones excepcionalmente delicadas, cuando los contenidos (fotografías o vídeos) tengan carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o de víctimas de violencia por razón de género.

Por lo tanto, no estaría previsto su uso para denunciar cualquier otra publicación que, si bien se ha hecho sin consentimiento, no tiene este contenido de carácter sexual o de actos de agresión. Es más, la propia AEPD indica que “En este sentido, debes tener en cuenta que, con carácter general, la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos, siempre que se trate de actividades exclusivamente personales o domésticas.

¿Y si yo publico una fotografía de un tercero sin su consentimiento en redes sociales sin contenido sensible pero accesible a todo el mundo? ¿no estaríamos también fuera del ámbito personal y doméstico y la AEPD debería tener potestad para sancionar?

Está claro que afecta más a la privacidad de una persona las publicaciones realizadas en redes sociales con un contenido sexual y violento. No obstante, conforme al criterio manifestado por el GT29 en el Dictamen analizado, las publicaciones que sean accesibles a todo el mundo también excederían del ámbito personal y doméstico y, por lo tanto, les resultaría de aplicación la normativa de protección de datos, teniendo la AEPD potestad para sancionarlas, aunque entiendo que, de ser así, la AEPD no daría abasto a dar respuesta a estas reclamaciones y podría afectar al uso cotidiano que los ciudadanos hacen de las redes sociales.

En cualquier caso, por ahora, parece que el elemento fundamental que tiene en cuenta la AEPD para valorar que la publicación en redes sociales excede el ámbito personal y doméstico, y que la conducta, por tanto, resulta sancionable por protección de datos, es el carácter sensible de la publicación.