Administración, empresas y ciudadanos están cada vez más
concienciados con lo que llamamos "privacidad", aquel ámbito de
nuestras vidas que se desarrolla en un espacio reservado, y debe mantenerse
confidencial.
La nueva sociedad de la información, internet y redes
sociales suponen al día de hoy una amenaza, que debe ser afrontada desde
diversos puntos de vista.
El nuevo Reglamento Europeo de Protección de Datos (GDPR),
que comenzará a aplicarse el próximo 25 de mayo introduce importantes novedades
en el tratamiento y en la gestión de los datos de carácter personal que tratan
las organizaciones, empresas, Administraciones…
Estas novedades van a obligar a los operadores a realizar
cambios a diferentes niveles: organizativos, tecnológicos, de procesos e
incluso de contratos.
Una de las novedades más importantes que trae consigo la
regulación que pronto se aplicará, es el régimen de sanciones, que se endurece
de manera significativa, para proteger de manera efectiva el derecho
fundamental a la protección de datos personales.
En este sentido es importante, si no fundamental, contar con
herramientas que nos permitan cumplir con las obligaciones derivadas del GDPR ,
de las directrices de la AEPD y de las autoridades europeas en esta materia.
Esta resolución, dictada por la Agencia Española de
Protección de Datos el pasado 15 de marzo de 2018, sanciona a un colegio que
fue denunciado por los padres de un alumno, quienes habían solicitado del
centro la eliminación de todas las imágenes de sus hijos que tuvieran en sus
ordenadores o servidores. Se trata de una sanción impuesta al amparo de la
normativa anterior, pero no por ello es irrelevante, pues nos advierte de las
carencias de prevención en este sentido y de la necesidad de garantizar el
cumplimiento en un futuro.
No obstante su solicitud del padre, e incluso la
confirmación por parte del Centro de la eliminación de las imágenes, en la página
web del colegio seguía alojado un video de Youtube en el que aparecía el menor.
El acceso a las imágenes de dicho vídeo se efectuó sin utilizar usuario y
contraseña.
Vulneración de la normativa
Señala al respecto la AEPD que la imagen de una persona
constituye un dato de carácter personal, dado que la información que se capta
concierne a personas que las hacen identificables, suministrando información
sobre el lugar y actividad desarrollada por el individuo.
La imagen obtenida a través del enlace a la web del colegio
permite identificar sin duda al menor entre un grupo de niños, produciéndose un
tratamiento de datos de carácter personal del hijo del denunciante al que
resultan aplicables los principios y garantías de la normativa de protección de
datos. Resulta indiferente el hecho de que el niño no fuera con el uniforme del
colegio, y sí disfrazado, pues ello no impide su plena identificación como
alumno de ese centro escolar, por otros de alumnos por los padres de sus
compañeros de clase o incluso de cualquier tercero ajeno a ese específico
ámbito escolar.
Señala la resolución sancionadora que la conducta del
Colegio denunciado se incardina en el artículo 44.3.d) de la LOPD que tipifica
como infracción grave: “La vulneración del deber de guardar secreto acerca del
tratamiento de los datos de carácter personal al que se refiere el artículo 10
de la presente Ley.”
Responsabilidad del Centro
El Centro escolar gestiona la página web, decidiendo la
finalidad, el contenido y el uso de los datos de carácter personal que se
tratan en el portal de su propiedad, por lo que, a juicio de la Agencia, el
tratamiento de datos de los menores, al publicar en su web en abierto, cae bajo
la órbita del regimen sancionador de la LOPD .
Para el uso y publicación de la imagen del niño a través de
la página web era necesaria la autorización expresa e inequívoca de sus
representantes legales –de los padres o tutores- , y en este caso, a pesar de
contar con la solicitud de cancelación, el Centro no mostró la diligencia debida
para eliminar la imagen que aparecía en el video accesible a través de la
página.
Determina la Agencia que la conducta del colegio se ajusta a
lo tipificado en el artículo 44.3 d) LOPD, siendo responsable el Colegio a
título de culpa. Y todo porque no se cercioró de que habían sido canceladas
todas las imágenes donde el menor aparecía.
La resolución considera irrelevante el hecho de que el
colegio dispusiera de consentimiento de los padres para usar las imágenes del
niño, pues posteriormente el padre solicitó la cancelación de las mismas. Esta
solicitud debe presumirse válida, pues actuaba en el ejercicio de la patria
potestad con el consentimiento de la madre.
Sanción impuesta
La AEPD puntualiza que en el caso se ha producido una
vulneración del principio del consentimiento para el tratamiento de los datos,
calificada como grave por el artículo 44.3.b) de la LOPD , y también un
incumplimiento del deber de guardar secreto, calificado como grave en el
artículo 44.3.d) de la misma norma, por lo que únicamente procede imponer la
sanción correspondiente a la infracción del artículo 6.1 de la LOPD , por
constituir la infracción originaria que ha dado lugar a la comisión de la
infracción del artículo 10 de dicha norma.
A este respecto, la Agencia rechaza la alegación de buena fe
a efectos de rebaja de la sanción, pues existe un deber del infractor de
vigilancia y diligencia derivados de su condición de profesional, que en este
caso no se cumplió debidamente.
No obstante, no observa actuación dolosa o intencionada por
parte del Colegio, pues tan pronto como recibió la solicitud de cancelación de
las imágenes procedió a la eliminación de las mismas, a excepción de la imagen
que aparecía en el video alojado en Youtube.
También se valora el hecho de que el Colegio tenía
implantados procedimientos de actuación a los efectos de obtener el
consentimiento de tutores y padres.
En definitiva, y teniendo en cuenta todas las circunstancias
concurrentes, la Agencia impone al Colegio una multa de 3.000 euros.
Contenido curado por Isabel Asolo
(Community Manager) HERAS ABOGADOS BILBAO S.L.P.
No hay comentarios:
Publicar un comentario