TOP

TRATAMIENTO DE DATOS PERSONALES, PRIVACIDAD Y REDES SOCIALES

La consulta plantea si, de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, la red social deportiva a que se refiere la consulta está autorizada a publicar material audiovisual en que aparecen menores. Indica que la mecánica consiste en que los participantes suban su material a canales privados de Youtube que después se enlaza a través de la red social. La red social a que la consulta se refiere tiene a estos efectos un perfil en Facebook. Consulta, asimismo, en caso de que surgiesen problemas tras enlazar el material que previamente estará subido en Youtube en quien derivaría la responsabilidad. [1]


En este sentido el Grupo de trabajo del artículo 29, órgano consultivo independiente de la UE sobre protección de los datos y la vida privada, creado en virtud de lo previsto en el citado artículo de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su Dictamen 5/2009 relativo a las redes sociales en línea, adoptada el 12 de junio de 2009, al determinar a quien se atribuye la condición de responsable del fichero o tratamiento de datos señala que los proveedores de servicios de redes sociales “son responsables del tratamiento de datos en virtud de la Directiva relativa a la protección de datos. Proporcionan los medios que permiten tratar los datos de los usuarios, así como todos los servicios «básicos» vinculados a la gestión de los usuarios (por ejemplo, el registro y la supresión de cuentas).”


De este modo, en su calidad de responsables del fichero o tratamiento estarán sujetos a todas aquellas obligaciones y deberes impuestos por la Ley Orgánica 15/1999 y su normativa de desarrollo, que no se encuentran limitadas a la notificación de la creación del fichero para su inscripción en el Registro General de Protección de datos, así como a las responsabilidades que conforme a dicha Ley sean exigibles.


Como señala el aludido Dictamen 5/2009 los usuarios deben proporcionar datos personales para generar su descripción o perfil. De este modo el proveedor de un servicio de redes sociales lleva a cabo un tratamiento de datos personales definido en el artículo 5.1.t del Reglamento de desarrollo de la Ley Orgánica 15/1999 como “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”


El tratamiento de datos de carácter personal debe encontrarse fundado en alguna de las causas legitimadoras previstas en el artículo 6 de la Ley Orgánica 15/1999, disponiendo a este respecto su número primero que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”


En lo que al presente supuesto se refiere la legitimación para el tratamiento de datos personales solamente puede encontrarse en el consentimiento de los interesados. Dicho consentimiento debe reunir las características señaladas en el artículo 3.h de la misma Ley que lo define como “manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.


Esta Agencia ha venido describiendo en sus informes dichas características de manera que se entiende por consentimiento libre aquel que ha sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.


El consentimiento específico viene referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.1 de la Ley Orgánica 15/1999. Para que pueda hablarse de consentimiento inequívoco se exige la realización de una acción u omisión que implique la existencia del consentimiento. En cuanto al requisito de la información, supone que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. A este respecto será preciso, que se facilite al interesado la información a que hace referencia el artículo 5.1 de la Ley Orgánica 15/1999 según el cual “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:


a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.


b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.


c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.


d. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.[2]


De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.” Por consiguiente, los proveedores de servicios de redes sociales deben informar a los usuarios de su identidad y proporcionarles información clara y completa sobre las finalidades y las distintas maneras en que van a tratar los datos personales.


El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, precisa en el segundo inciso de su artículo 12.1 que “La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.”


Y añade en el número segundo que “Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo” Señala igualmente en este sentido el dictamen 5/2009 respecto de la información a facilitar que “Los proveedores de SRS deberían informar a los usuarios de su identidad y de los distintos fines para los que tratan los datos personales, de conformidad con las disposiciones del artículo 10 de la Directiva relativa a la protección de datos, a saber, entre otras cosas:


- la utilización de los datos con fines de comercialización directa;


- la posible distribución de datos a categorías específicas de terceros;


- una reseña de los perfiles: su creación y sus principales fuentes de datos;


- la utilización de datos sensibles.”


En lo que respecta a la prueba de la obtención del consentimiento el Reglamento de desarrollo de la Ley Orgánica 15/1999, dispone en su artículo 12.3 que “corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.”


Por consiguiente, rige el principio de libertad de forma para acreditar la obtención del consentimiento, ello sin perjuicio de lo previsto en el artículo 7 de la Ley Orgánica 15/1999 que exige que el consentimiento sea expreso para el tratamiento y cesión de datos que hagan referencia al origen racial, a la salud y a la vida sexual y que sea, además de expreso, por escrito cuando se trate de datos que revelen la ideología, afiliación sindical, religión y creencias, con la salvedad de lo previsto para su tratamiento en el segundo inciso del artículo 7.2.


Rige igualmente, tras la Sentencia de 15 de julio de 2010, de la Sala Tercera del Tribunal Supremo, el principio de libertad de forma para acreditar el cumplimiento del deber de información.


En los supuestos de recogida de datos online esta Agencia ha considerado suficiente la existencia de una política de privacidad fácilmente accesible por el usuario como acreditación del cumplimiento del deber de información, igualmente ha considerado que puede servir como prueba de la prestación del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado dicha política de privacidad.


Por consiguiente, las finalidades declaradas en dicha política de privacidad vinculan al responsable del tratamiento, (en el presente supuesto el proveedor del servicio de red social) que no podrá modificar sus términos sin obtener un nuevo consentimiento informado. Dispone así el artículo 4.2 de la Ley Orgánica “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” Asimismo, los datos a recabar deberán ser adecuados, pertinentes y no excesivos en relación con las finalidades perseguidas que deberán constar en la política de privacidad, dichas finalidades deberán ser además de determinadas y explícitas, legítimas tal y como dispone el número primero del artículo 4 según el cual “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.[3]


En lo que respecta a la publicación de contenidos en la propia red social o a través del enlace que se realiza a material previamente subido a servicios como Youtube que, de lo señalado en la consulta parece desprenderse que se efectúa exclusivamente por los propios usuarios, debe tenerse en cuenta lo siguiente: en primer lugar, si las imágenes que constan en videos o fotografías permiten la identificación de las personas que en ellas aparecen tendrán la consideración de datos personales encontrándose amparadas por lo previsto en la Ley Orgánica 15/1999.


Debe, asimismo, examinarse si, aún siendo la imagen un dato personal, en los términos vistos, la toma y difusión de imágenes realizada por particulares puede quedar excluida de la aplicación de la normativa de protección de datos. Establece a este respecto la Ley Orgánica 15/1999 en su artículo 2 que “El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.” En cuanto a la determinación de que se entiende por actividades personales o domésticas dispone el Reglamento de desarrollo de la LOPD en su artículo 4 que “Sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.” Esta es también la interpretación del término “personal” contenida en la Sentencia de la Audiencia Nacional de 15 de junio de 2006 al señalar que “(…) Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos. “[4]


Debe añadirse que la limitación en el acceso a las imágenes puede no ser el único indicador de que estamos ante un uso familiar o doméstico, así el Grupo de trabajo del artículo 29 en el aludido Dictamen 5/2009 destaca que habitualmente, el acceso a los datos (datos de perfil, archivos subidos a la red, textos…) aportados por un usuario viene limitado a los contactos por él mismo elegidos. Sin embargo, en algunos casos los usuarios pueden llegar a tener un gran número de personas de contacto, y de hecho puede darse el caso de que no conozca a algunos de ellos. Señala el Dictamen que un alto número de contactos puede ser una indicación para que no se aplique la exclusión a la normativa de protección de datos a que se viene haciendo referencia y se considere al usuario responsable de un fichero, debiendo asumir algunas de las responsabilidades de éstos.


De este modo la Ley Orgánica 15/1999 resultará aplicable en aquellos supuestos en que se supere dicho ámbito personal, como el supuesto en que las imágenes se publiquen en Internet en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito. En estos casos, nos hallamos ante una cesión de datos sujeta al régimen establecido por la Ley Orgánica 15/1999, que exige el consentimiento del interesado y en caso de que este sea menor de 14 años el de sus padres o tutores.


Cabe así recordar la Sentencia de 2 de enero de 2013 de la Audiencia Nacional, confirmatoria de una Resolución de esta Agencia declarando una infracción por vulneración del principio de consentimiento (recogido en el artículo 6 de la Ley Orgánica 15/1999), por la difusión efectuada por un usuario de Facebook de un vídeo en su muro, libremente accesible a cualquier usuario de dicha red social, en que éste aparece conversando con un grupo de escolares menores de edad (de entre 7 y 8 años) que miran a la cámara y cuyo rostro resulta identificable sin que dicho usuario de la red social hubiera obtenido para dicha difusión el consentimiento de sus padres o tutores. Debe así tenerse en cuenta que en el Dictamen 5/2009 se señala que “El Grupo de Trabajo recomienda que: los proveedores de SRS adviertan adecuadamente a los usuarios sobre los riesgos de ataque a su intimidad y a la de otros cuando ponen información en línea en los SRS; los SRS recuerden a sus usuarios que poner en línea información relativa a otras personas puede perjudicar su derecho a la intimidad y a la protección de datos; los SRS aconsejen a sus usuarios que no pongan en línea fotografías o información relativa a otras personas sin el consentimiento de éstas.”[5]


No obstante, aunque en una red social sean los propios usuarios quienes hacen públicos datos personales y a ellos a quien se imputaría, en su caso, la responsabilidad por una actuación vulneradora de lo previsto en la Ley Orgánica 15/1999 con motivo de la publicación de datos personales, debe recordarse que el proveedor de la red social se encuentra obligado a adoptar las pertinentes medidas de seguridad tal y como establece el artículo 9.1 de la Ley Orgánica 15/1999 según el cual “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.


Debe igualmente recordarse en materia de responsabilidad que, además de la protección otorgada por la Ley Orgánica 15/1999, la publicación de vídeos o fotografías de terceros sin su consentimiento puede infringir su derecho al honor, a la intimidad o a la propia imagen, derechos cuya protección se rige por lo dispuesto en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.[6]


Entre los derechos de los interesados, y correlativa obligación de hacer efectivos los mismos por parte del proveedor de la red social, se encuentran los derechos de acceso, rectificación, cancelación y oposición regulados en los artículos 15 y siguientes de la Ley Orgánica 15/1999 y en los artículo 23 a 36 de su Reglamento de desarrollo[7]


Debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de la Ley Orgánica 15/1999 al establecer que  “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.”


El aludido Reglamento de desarrollo de la Ley Orgánica 15/1999, define en su artículo 5.1. b) la cancelación como “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a  dsposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.” En cuanto al modo de llevar a cabo el bloqueo, se señalaba en informe de esta Agencia de 5 de junio de 2007 que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.”[8]


Por último, tomando en consideración que la red social deportiva a que la consulta se refiere va a permitir su uso por menores, debe recordarse que esta Agencia ha publicado unas recomendaciones para la protección de datos de los menores, en las que se señalaba que deben extremarse las precauciones en Internet y, en particular, se indicaba que “no es aconsejable publicar fotos que identifiquen a un niño, por ejemplo situándole en el contexto de un colegio y/o actividad determinados.” [9]


[1] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[2] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[3] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[4] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[5] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[6] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[7] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[8] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013


[9] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013