Como ya adelantábamos en entradas anteriores de nuestro blog, los progenitores han de ser cuidadosos con el uso de los dispositivos móviles por parte de los menores de edad, el uso incorrecto de estos puede acarrear consecuencias legales. En la era en la que nos encontramos, el teléfono móvil puede ser un “arma de doble filo”, puesto que un mal uso de por los menores puede traer consecuencias muy graves, no obstante, siempre y cuando estos dispositivos sean utilizados de una manera responsable, con apoyo y control de los progenitores pueden ser incluso educativos, utilizándose para aprender y, por qué no, para divertirse.
En el presente artículo vamos a centrarnos en el análisis de una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD), PS-00584-2022, tratándose de un tema novedoso, puesto que hasta el momento no conocemos sanciones en esta línea, por lo cual, esta resolución podría sentar un precedente para otros casos similares:
Se inicia procedimiento sancionador a través de la Guardia Civil que traslada a la AEPD una denuncia de una madre que alega que con fecha 20 de abril de 2022 tuvo conocimiento de la creación de un perfil falso en Instagram que utiliza como foto de perfil una imagen de su hijo de 13 años. “Señala, que al acceder al perfil se mostraba disponible un vídeo publicado, que respondía a las imágenes de un hombre, al que no se le veía la cara, masturbándose. La denunciante manifestó ante la Guardia que había denunciado también los hechos ante Instagram.”
Las primeras actuaciones de investigación realizadas por la AEPD son;
- Comprobación de que la captura de pantalla aportada en la denuncia coincide con la foto del DNI del menor afectado, siendo la respuesta positiva.
- Asimismo, se solicita información a la plataforma sobre el perfil falso creado;
- Informar de la denuncia recibida en relación con la creación de un perfil de la red social que hacía uso de la fotografía de un menor de edad que nada tenía que ver con este.
- Solicitar la fecha, hora y dirección IP desde la que fue creado el perfil.
- Solicitar los datos identificativos y de contacto del creador de dicho perfil.
Se constata a partir de la información recibida por la AEPD que tanto la creación del perfil como el posterior inicio de sesión se realizaron desde dos direcciones IP asignadas por el operador al padre del menor que creó el perfil falso. Además, se ha utilizado de foto de perfil la imagen de un menor de edad, en concreto de 13 años.
Por lo indicado, la autoridad de control considera como fundamentos de derecho el incumplimiento en primer lugar el Art.6 RGPD;
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”
Se considera incumplido el precepto indicado puesto que el creador del perfil falso, ha utilizado una foto de otro menor de edad para realizar esta acción que conforme a la normativa debería de haber contado con una base de legitimación como es el consentimiento, pero al no contar con ninguna de las bases indicadas en el Art.6 RGPD, se considera un incumplimiento normativo, con la perceptiva sanción al respecto.
En segundo lugar, se hace referencia por parte de la AEPD a la STS 363/2017, de 15 de febrero:
“… que, en la cuenta abierta en una red social en Internet, el titular del perfil haya “subido” una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes de un perfil público en una red social en Internet. La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que estos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de esa cuenta en un medio de comunicación. […] El consentimiento del titular de la imagen para que el público en general, o un determinado número de personas, pueda ver su fotografía en un blog o en una cuenta abierta en la web de una red social no conlleva la autorización para hacer uso de esa fotografía y publicarla o divulgarla de una forma distinta”
Se aclara que la finalidad de tener una cuenta abierta en una red social en internet es la comunicación de su titular con terceros y la posibilidad de que estos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de esa cuenta en un medio de comunicación.
En tercer lugar, atendiendo a la edad del menor (13 años) que ha realizado los hechos constitutivos de incumplimiento normativo ha de tenerse en cuenta el Art. 1903 del Código Civil;
“La obligación que impone el artículo anterior es exigible no sólo por los actos u omisiones propios, sino por los de aquellas personas de quienes se debe responder.
Los padres son responsables de los daños causados por los hijos que se encuentren bajo su guarda.
(……..)
La responsabilidad de que trata este artículo cesará cuando las personas en él mencionadas prueben que emplearon toda la diligencia de un buen padre de familia para prevenir el daño.”
Por lo tanto, en base al precepto indicado, la parte denunciada resulta responsable de la actuación de su hijo menor de edad, el cual se encontraba sometido a la patria potestad de sus progenitores en la fecha de los hechos, pues quien ostenta la patria potestad tiene la obligación de vigilar lo que hacen sus hijos menores y responden del incumplimiento o del cumplimiento deficiente de este deber, como afirma el TS en su sentencia de 4 de mayo de 1.984:
«Dada la complejidad de la vida moderna y su consiguiente aumento de riesgo, es patente la tendencia a hacer responder de los daños derivados de esos riesgos a quienes los crean, y en este sentido el padre o cuidador de un menor responde de los daños que éste cause a terceros, pues con su falta de cuidado creó el riesgo de una conducta nociva del menor traducida en daño efectivo y real y debe, por ello, resarcirlo, a menos que pruebe haber utilizado la diligencia exigida por la Ley, lo que no ocurrió en el caso debatido.»
Se estima a este respecto por la autoridad de control que el denunciado, padre del menor causante de los hechos, no ha probado que haya cumplido con su deber de diligencia por lo que resulta patente su responsabilidad.
En último lugar, la AEPD aclara que el menor causante de los hechos tenía 13 años cuando éstos se produjeron, por lo que no resulta de aplicación la previsión del artículo 52.4 de la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, que dispone que “Las personas mayores de catorce años podrán ser sancionadas por hechos constitutivos de infracción administrativa de acuerdo con la normativa sobre protección de datos personales”, por tanto el reclamado (padre del menor) resulta responsable de la infracción, pues como titular de la patria potestad debe cumplir con el deber de cuidado y vigilancia de su hijo, que incluye, por lo que aquí interesa, la vigilancia en el uso que se da a los elementos tecnológicos.
En conclusión, en base a los preceptos indicados, en concreto por incumplimiento del Art.6 RGPD, falta de legitimación para el tratamiento de los datos (consentimiento en este caso), se da por probada la autoría de los hechos acaecidos y se impone, en base al Art. 83.5 RGPD, una multa de 10.000€ al padre del menor que ha utilizado la fotografía de otro menor para crear un perfil falso en Instagram.
De esta novedosa resolución de la AEPD queremos aprovechar para daros unas pequeñas recomendaciones en materia de protección de datos;
- Educa, desde casa, a los menores sobre los riesgos para su privacidad y seguridad en el uso de tecnologías móviles.
- Limita el tiempo que los menores permanecen conectados.
- Utiliza el control parental.
- Infórmate sobre el tiempo de conservación de datos de los aplicativos y asegúrate de que no se utilicen para finalidades distintas a la que necesitas.
- Emplea navegadores y aplicaciones en su versión infantil, estos suelen ser menos intrusivos.
- No olvides que otros dispositivos conectados como Smart TV o videoconsolas están expuestos a los mismos riesgos.
- Mantente alerta y en comunicación con tus hijos, recuerda que las herramientas de control parental no son infalibles, así que configura adecuadamente las opciones de privacidad y seguridad en aplicaciones y redes sociales. Habla con los menores y explícales por qué en internet también es necesario tomar precauciones.
