El uso de las redes sociales (RRSS), forma parte de nuestro día a día, y, de hecho, los servicios más utilizados en la red se prestan gracias a la información y datos personales que los usuarios aportamos, tanto a empresas como a otros usuarios. Esto requiere que seamos conscientes de los riesgos que puede entrañar tanto para nuestra propia seguridad y privacidad como para la de terceros.
Para abordar este tema, vamos hoy a referirnos al criterio que ha adoptado la Agencia Española de Protección de Datos (AEPD) en la Resolución del expediente N. º: E/01849/2018, a raíz de la denuncia interpuesta por un hombre (el denunciante) tras la difusión que dio su ex pareja (la denunciada) de la sentencia que le condenaba por incumplir la orden de alejamiento de la víctima que se le había interpuesto como responsable de un delito de violencia de género. (artículo 48 de nuestro Código Penal).
La sentencia completa fue difundida a través de un grupo cerrado de Facebook compuesto por 728 miembros del municipio donde ambos residían y, el fallo de dicha sentencia, a través de su estado de WhatsApp.
Hay que analizar si este supuesto encaja dentro del ámbito de aplicación previsto en la normativa de protección de datos personales:
– El artículo 2.2.a) LOPD 15/1999 dispone que “El régimen de protección de los datos de carácter personal no se aplicará a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.
Además, el artículo 94 de la ya aplicable Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (LOPDGDD), el cual regula el “derecho al olvido en servicios de redes sociales y servicios equivalentes”, excluye del ejercicio de este derecho, los datos facilitados por personas físicas en el ejercicio de actividades personales o domésticas.
– En la misma línea, el Reglamento General de Protección de Datos (RGPD) tanto en su Considerando 18 como en su artículo 2, refleja que lo dispuesto en el mismo no es aplicable para el tratamiento de datos que se desarrolle en el curso de actividades exclusivamente personales o domésticas y que, en consecuencia, no guarden conexión con actividades profesionales o comerciales.
Llegado este momento, cabe plantearse dos cuestiones:
1. ¿Qué debemos entender por actividades personales o domésticas en este ámbito?
2. ¿Queda entonces este caso fuera del ámbito de aplicación de la norma?
El RGPD señala en el ya mencionado Considerando 18, que entre estas actividades se incluyen:
– la correspondencia y llevanza de un repertorio de direcciones,
– la actividad en las RRSS
– la actividad en línea realizada en el contexto de las citadas actividades.
Según lo expuesto hasta el momento, podríamos concluir que, en este caso, nos encontramos fuera del ámbito de aplicación de la normativa de protección de datos por tratarse de una actividad encuadrada en el ámbito personal o doméstico. Veamos si la AEPD sigue este criterio.
A) GRUPO DE TRABAJO DEL ARTÍCULO 29
El Grupo de Trabajo del artículo 29 (GT29), recientemente configurado como Comité Europeo de Protección de Datos, emitió el Dictamen 5/2009, sobre las redes sociales en línea, el cual versa sobre el uso de las RRSS y la aplicación en dicho uso de los requisitos que establece la legislación sobre protección de datos en el marco europeo.
El Dictamen señala que, como norma general, en los casos en que los usuarios operen en un ámbito puramente personal, contactando con personas que forman parte de su ámbito familiar o doméstico (como un grupo cerrado de Facebook), hay que aplicar la “exención doméstica”, en lugar de la norma de protección de datos y que, por tanto, un individuo que trata datos dentro de esta esfera no tiene por qué cumplir con las obligaciones que tiene un responsable.
Esta regla general, tiene tres excepciones en las que estas actividades no están dentro de la exención doméstica:
- Cuando las RRSS se utilicen como plataforma de colaboración para una asociación o una entidad.
- Cuando el acceso a la información de perfil de las RRSS se amplía hasta más allá de los contactos seleccionados, se facilite a todos los miembros del servicio de la red o cuando los datos sean indexables por motores de búsqueda. No obstante, en este punto el GT29 señala que, si un usuario ampliara el acceso más allá de los “amigos” seleccionados, aquí si aplicaría la norma y las responsabilidades que esta acción implica.
- Cuando sea preciso garantizar los derechos de terceros, particularmente en relación con datos especialmente protegidos.
Es en este último punto en el que cabe encajar el supuesto que aquí analizamos, puesto que, a pesar de que la difusión se realizó a través de un grupo cerrado dentro de una RRSS, la información compartida y publicada por la denunciada en sus RRSS se refería a una codena penal con especial trascendencia o relevancia, objeto de una especial protección.
Por tanto, siguiendo el criterio del GT29, la normativa de protección de datos sería de plena aplicación.
B) CRITERIO AEPD
Sin embargo, aunque la LOPD 15/1999 no contemplara el equilibrio de intereses que en contraposición si recogía el artículo 7.f) la Directiva 95/46/CE: el tratamiento de datos podrá efectuarse “si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección”. El Tribunal de Justicia de la UE (TJUE), en su sentencia de 24 de noviembre de 2011 (asunto Asnef, Fecemd), declaró que el mencionado precepto tenía efecto directo en el derecho español.
Por otra parte, el artículo 6.1.f) del RGPD contempla la misma ponderación de intereses que recogía la Directiva: cuando hay un interés legítimo que prevalece, es suficiente para realizar un determinado tratamiento o cesión de datos.
En el caso que aquí estamos analizando, ¿podemos basarnos en esta base legitimadora para justificar la actuación de la denunciada?
El TJUE, en su sentencia de 4 de mayo de 2017 indica que para realizar una valoración apropiada hay que cumplir tres requisitos:
1. Que el responsable del tratamiento o los terceros a quienes se comuniquen los datos persigan un interés legítimo
No ha lugar a duda de que la víctima tiene un interés legítimo en denunciar públicamente los hechos sufridos por parte de su maltratador con el fin de evitar que se puedan repetir y así proteger su integridad física. En este caso, el interés legítimo prevalece frente al derecho fundamental a la protección de datos del denunciante.
2. Que el tratamiento sea necesario para satisfacer ese interés legítimo
La difusión pública de la sentencia es necesaria para conseguir el interés legítimo perseguido.
3. Que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos
Aquí hay que atender a las circunstancias concretas que concurren: la información además de ser veraz se publicó en un grupo cerrado y se retiró del mismo por la propia denunciada.
Atendiendo a este último criterio, la AEPD ha archivado las actuaciones de este caso, en base a que la comunicación/difusión de los datos, queda justificada bajo esta regla de ponderación de intereses.
¿Podemos decir que esta decisión sirve como precedente en estos casos?
Pues la respuesta a la pregunta debe ser NO, ya que la AEPD sancionaba meses antes con una multa de 2000 euros (Resolución R/00778/2018) a una persona que grabó desde su casa un vídeo y lo difundió a varios de sus contactos de WhatsApp. En el video se apreciaba un caso de agresión sexual con la intención de que la víctima lo pudiese utilizar como prueba; pero en este caso además se captaba la imagen de un policía municipal que intervino en la causa, al cual se le podía identificar de forma clara.
En este caso, la AEPD sanciona alegando que el vídeo no se utilizó como medio de prueba en un Juzgado, sino que fue divulgada por WhatsApp, sucedió además en la vía pública y se identificaba perfectamente al policía; por lo que, basándose en el contenido de su Informe Jurídico 77/2013, como el vídeo captaba la imagen de un empleado público y estaba fuera de la esfera personal de quien lo grababa, se aplican las normas sobre protección de datos, tanto para la obtención de la imagen como para su posterior difusión, ya que constituye una cesión de datos.
Además, añade que, “la publicación de las imágenes no queda reducida al marco personal cuando no exista una limitación de acceso a las mismas”. Se refiere a los supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar resulte indicativo de que se extiende más allá de lo que es propio de dicho ámbito.
En este caso, para que estuviéramos fuera del ámbito de aplicación de la norma, se debería tratar de una actividad propia de una relación personal o familiar, equiparable a la que podría realizar sin la utilización de Internet.
Concluimos así que, como la casuística es muy amplía, habrá que atender al caso concreto y realizar la correspondiente valoración.
