AD+
Como los juristas bien saben, casi cualquier acción que realizamos en nuestro día a día despliega efectos jurídicos, y algo tan cotidiano como compartir contenido en redes sociales no es una excepción, especialmente cuando en el mismo aparecen terceras personas físicas. Así, de una tacada, se puede producir la vulneración de nada más y nada menos que los derechos al honor, intimidad personal y familiar, propia imagen y protección de datos personales de las mismas, con las consecuencias que conlleva. Si no, que se lo cuenten al hombre que fue sancionado hace unos días por la Agencia Española de Protección de Datos (AEPD) (Procedimiento Nº: PS/00334/2019) por compartir fotografías y capturas de pantalla de conversaciones privadas de una mujer en su estado de WhatsApp sin su consentimiento. La “broma” le ha costado la friolera de 10.000€. Y no, no ha sido sancionado porque con la publicación se buscara dañar a la interesada (si bien se ha aplicado como agravante), sino que el motivo señalado por la Agencia es que ha realizado un tratamiento ilícito de sus datos personales.
Puede que ahora mismo estés pensando que tú mismo has subido en innumerables ocasiones imágenes de terceros a redes sociales sin que te hayan dado su consentimiento que, recordemos, de acuerdo con el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), no vale con que sea tácito. También puede que te estés planteando si puedes dormir tranquilo por las noches sin miedo a que venga la AEPD y te sancione por ello. No quiero ser alarmista pero, por lo que acabamos de comprobar, aparentemente está dispuesta a hacerlo.
Puede que también pienses que a qué viene esto si es algo que hace todo el mundo y que nunca pasa nada. Completamente de acuerdo. Pero como estudiosa de la privacidad siento decirte que, en el fondo, se veía venir que esta situación se fuera a producir, ya que en esta materia, el legislador europeo regaló a las autoridades el as en la manga de la indeterminación. Y sí, la indeterminación asusta a abogados y consultores porque, aunque las aguas estén calmadas, cuando menos te lo esperas puede llegar una sorpresa, como en esta ocasión.
Pero, ¿esto de la protección de datos no aplicaba sólo a las empresas? No, la normativa se aplica al tratamiento de datos personales, ya sean realizados por personas físicas o jurídicas. Lo que sucede es que, normalmente, no aplica a las personas físicas porque, ya en la Directiva 95/46, se señaló que quedarían fuera del ámbito de aplicación de la norma aquellos tratamientos efectuados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, esto es, a priori, la mayoría que se realicen con fines no profesionales.
Si esto lo trasladamos al terreno de las redes sociales, el Grupo de Trabajo del Artículo 29 (GT29), ya en 2009, en su Dictamen 5/2009, sobre redes sociales en línea, adoptado el 12 de junio, mostró su preocupación ante la complejidad de asignar responsabilidades en este contexto por la cantidad de personas físicas implicadas, y trató de definir los límites domésticos para estos supuestos, proponiendo una fórmula que no acabó de convencer.
Por un lado, sí fue muy claro en lo evidente, esto es, que si una red social es utilizada por parte de una asociación, empresa o por una persona física en el ejercicio de actividades comerciales, el tratamiento de los datos sí entra dentro del ámbito de aplicación de la normativa.
Pero cuando llega a los usuarios que utilizan la plataforma de forma no empresarial, con propósitos de ocio, la cosa se tuerce. En principio, aplica la excepción doméstica, pero añade excepciones a la excepción. Estas excepciones son, en síntesis, que si el usuario tiene el perfil de la red social en modo público, o que si tiene un gran número de contactos, con ello se desvirtúa el componente doméstico (número que tampoco define) y debe considerársele asimismo responsable del tratamiento y aplicarle las correspondientes obligaciones.
Todos podemos percibir que este marco no ha sido efectivo, ni siquiera en los casos obvios en los que una empresa está detrás de una red social. A modo de reflexión, piensa por un momento si alguien te ha pedido el consentimiento expreso y acreditable para subir fotos en las que aparezcas a redes en alguna ocasión, por ejemplo, cuando se hacen fotografías por parte del personal de bares y discotecas. Probablemente la respuesta sea que ninguna, y mucho menos por parte de un usuario corriente con un perfil público.
Ojo, y estas obligaciones no son nuevas, que llevan sobre la mesa más de 10 años, y se han ignorado por la puerta grande. Evidentemente, lograr una fórmula no es sencillo. Subir fotografías a plataformas forma parte de nuestro día a día, es un uso social. Pero en mi opinión, se trata de una cuestión de suficiente relevancia como para haberla tratado de forma más clara en el GDPR.
El GDPR, la norma que ha revolucionado el mundo para devolver a la ciudadanía el control sobre sus datos personales y fijar unos altísimos estándares para garantizar su protección en ocasiones ha tenido pinchazos, y considero que este ha sido uno de ellos, no sólo porque no soluciona, sino porque además, el legislador, de una forma muy descarada, deja ver de refilón que es consciente del problema pero pasa palabra. Así, la única mención al respecto se encuentra en el considerando 18, en la que reitera que el uso personal o doméstico es aquel que no tiene conexión alguna con actividades profesionales o comerciales. También apunta que una actividad doméstica es usar una red social, sin mencionar en ningún momento los términos apuntados por el GT29 en 2009, con lo que parece que toda actividad que no sea comercial o profesional está excluida, pero tampoco lo deja claro, y remata diciendo que sí se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar los datos personales relacionados con tales actividades. Se queda tan ancho, os apañáis. Y, ¿qué ha pasado? Sanción inesperada al canto, sin ni siquiera entrar a valorar si puede entrar en la excepción doméstica o no de acuerdo con los criterios del GT29.
Esta indefinición no es buena para nadie, ni para el que sube contenido ni para el que aparece en él. Si eres el que lo subes y no sabes seguro si tienes la obligación de cumplir con la normativa de protección de datos, estás expuesto a que un día te veas envuelto en un procedimiento sin esperarlo. Si eres el que aparece, puede ser que no quieras figurar en la plataforma de nadie y te veas perjudicado por la falta de control que se está aplicando respecto de quién está legitimado o no para tratar esa imagen.
Insisto, regular esto es muy complicado porque está aceptado socialmente y sería ponerle puertas al campo, pero ¿de verdad es una normativa que me promete que voy a recuperar el control de mis datos y no hay ninguna restricción en este sentido? Se supone que lleva la proporcionalidad por bandera. ¿En qué momento es proporcional que un proveedor tenga que adoptar unas medidas preventivas increíbles por usar mi correo electrónico para mandarme una propuesta que yo le solicito mientras que puede haber fotos mías circulando por Internet sin que ni siquiera me entere? Por no hablar de que, cuando entramos en el territorio de la Red de redes, el derecho al olvido queda sin efecto, ya que aunque se elimine de la plataforma en cuestión puede haber mil copias.
La gran cantidad de imágenes que se comparten a diario en redes sociales hace que este tipo de tratamientos sean de los más habituales. Y no se dice nada al respecto, pese a que, de acuerdo con el criterio de la AEPD, si no se cuenta con el consentimiento se está incumpliendo. En base a esto, se producen millones de vulneraciones de derechos fundamentales en redes sociales, y ni tan siquiera se aborda este asunto de forma adecuada.
Por el momento, nos queda esperar a que haya un poco más de definición y que no tengamos ningún amigo rencoroso que nos lleve ante la AEPD por compartir anécdotas en las que figure en nuestros perfiles, que visto lo visto la Autoridad tiene la pistola caliente.
Clara Otin
17 de febrero 2020
Abogada especialista en Derecho Tecnológico, Privacidad y Compliance.
Consultora de la Unidad de Gestión de Riesgos y Regulación de la Dirección de Tecnología y Sistemas de Ibercaja.