La resolución es controvertida porque existen dudas sobre si la normativa empleada para sancionar puede aplicarse directamente a particulares
La Agencia Española de Protección de Datos (AEPD) ha multado a un ciudadano con 10.000 euros por difundir en su estado de WhatsApp fotos íntimas y pantallazos de conversaciones de una mujer sin su consentimiento. La resolución es especialmente relevante porque castiga de forma ejemplar una conducta que, aunque ilícita, mucha gente percibe como inocente (colgar conversaciones o imágenes ajenas en redes sociales). Con esta decisión, además, el organismo abre la puerta a aplicar el Reglamento Europeo de Protección de Datos (RGPD) directamente sobre particulares, una postura controvertida porque, según muchos expertos en privacidad, la norma comunitaria está destinada a aplicarse sobre empresas y no sobre ciudadanos. La sanción, sin duda, constituye un aviso a navegantes.
Según recoge el dictamen, la reclamante acudió a la AEPD en julio del año pasado después de que varias personas le comunicaran que el ahora sancionado había publicado en su estado de WhatsApp fotografías intimas suyas y pantallazos de conversaciones entre ella y un compañero de trabajo. Estas imágenes iban, además, acompañadas con comentarios hirientes y vejatorios. Al parecer, el contenido fue sustraído de un pendrive que tenía la mujer y que le había desaparecido.
Difundir datos personales de terceros sin su consentimiento constituye, para el organismo, una “infracción muy grave” del RGPD. Las multas que prevé esta norma oscilan dependiendo de la gravedad de la conducta, pero pueden alcanzar los 20 millones de euros o, para las empresas, el 4 % de su facturación a nivel global. En este sentido, la AEPD indica que, aunque no haya constancia de que el sancionado quisiera expresamente vulnerar el derecho a la protección de datos de la víctima, los comentarios adjuntos a las fotografías evidencian una “grave negligencia”. No obstante, el organismo rebaja la sanción al entender que, entre otras cosas, la difusión del contenido ha tenido un alcance “meramente local”, solo se ha visto afectado un particular y el infractor “es una persona física”.
Aplicación de la norma
La decisión de la AEPD está provocando cierto revuelo dentro del ámbito de la privacidad. Así, los expertos en este campo cuestionan si esta entidad tiene la potestad de sancionar directamente a los ciudadanos por conductas como la descrita. “El Reglamento europeo no está pensado para aplicarse sobre particulares”, comenta en este sentido Borja Adsuara, abogado experto en derecho digital. Para el letrado, la normativa europea fue diseñada para proteger los datos de los ciudadanos frente a empresas y grandes corporaciones como Google o Facebook que hacen un uso intensivo de la información de los consumidores.
Coincide con este argumento María Martín, responsable del área de Protección de Datos de Helas Consultores. “Es una resolución difícil de entender”, indica la abogada, y agrega que la decisión de la Agencia crea cierta inseguridad jurídica porque “confunde al ciudadano sobre qué es exactamente la protección de datos”. Martín opina que el caso debería haber sido resuelto ante los tribunales, siendo ellos los encargados de analizar y castigar, en su caso, posibles delitos como descubrimiento de secretos, calumnias o vulneración al honor.
Para ambos expertos, existe una diferencia entre pedir la retirada de un contenido que está siendo distribuido sin el consentimiento del interesado (servicio que ofrece la Agencia), “y sancionar a una persona física por este motivo, que es muy diferente”, matiza Adusara. Con esta resolución, continúa el experto, la AEPD se presenta como una solución rápida y sin coste económico alguno, lo que puede generar un colapso de la entidad. “La justicia es lenta, pero ello no significa que haya que coger atajos”, asevera.
Frente a los que opinan que la Agencia no es el organismo adecuado para juzgar este tipo de acciones, Elena Gil, investigadora jurídica y experta en big data y protección de datos apoya la medida. Según explica, el Reglamento sí prevé castigar a particulares “siempre que su conducta no se encuentre dentro del ámbito doméstico o personal”. En el caso juzgado por la AEPD, el contenido fue divulgado en una red social, plataforma que, para Gil, queda fuera del ámbito personal “en la medida en la que el contenido es accesible a un mayor número de personas”. No obstante, la letrada insiste en que no hay un criterio claro respecto a esta cuestión, “por lo que queda abierta a interpretación”.
Vínculo con el trabajo
No es la primera vez que la AEPD sanciona a personas físicas por el tratamiento que hacen de los datos personales de terceros. En 2018, la entidad multó con 2.000 euros a una mujer que grabó la actuación policial durante una agresión machista que estaba sucediendo en la calle y, posteriormente, envió el vídeo a varios de sus contactos. En este caso, el organismo no entró a valorar el número de contactos del infractor y consideró que «la mera captación de imágenes de las personas o su difusión a través de WhatsApp puede considerarse un tratamiento de datos personales». También sancionó en otra ocasión a un particular por grabar a los trabajadores de un centro hospitalario y, posteriormente, difundir las imágenes a través de YouTube.
Ambas resoluciones tienen un punto en común: las personas grabadas se encontraban en su lugar de trabajo, por lo que “quedan fuera ámbito de actividades personales o domésticas”, explica María Martín. En el caso analizado, en cambio, los involucrados compartían una relación laboral, “pero el objeto de las grabaciones no era, precisamente, el lugar de trabajo”. Por ello, la abogada descarta que deba aplicarse el Reglamento y, en definitiva, sancionar al particular.
https://elpais.com/economia/2020/02/06/mis_derechos/1580977149_547064.html