La Agencia Española de Protección de Datos ha sancionado con 5.000 euros a una entidad deportiva catalana por publicar imágenes de una menor en varios de sus perfiles de redes sociales, en este caso Instagram y Facebook, mientras disputaba una competición deportiva.
La AEPD ha resuelto este expediente, iniciado ante la misma por la madre de la menor por medio de reclamación contra el club al que su hija se enfrentaba.
El fin que buscaba la reclamada con la publicación en la que figuraban las imágenes de la menor era mostrar su disconformidad con una decisión arbitral. Mientras que la reclamante alegaba que se atentaba contra la honra y reputación de la niña, sin que mediase consentimiento de su progenitora para el tratamiento y publicación de sus datos.
Esto es así, porque a tenor del artículo 4.1 del Reglamento General de Protección de Datos la imagen física de una persona constituye un dato personal:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Publicar imágenes de una menor en RRSS infringe la protección de datos
Como en cualquier tratamiento de datos, al publicar imágenes de una menor en redes sociales, es necesario contar con una base de legitimación que permita llevarlo a cabo, de las incluidas en el artículo 6.1. del RGPD.
En este caso concreto, la AEPD acredita que no consta base de legitimación alguna para el tratamiento de datos, descartando que el fin inicial de la reclamada sea legítimo. Ni siquiera existe el consentimiento de la madre para publicar imágenes de una menor.
Estima la AEPD, que en base a este incumplimiento del Reglamento corresponde la sanción antes mencionada de 5.000€. A la vez que reseña la circunstancia agravante que supone el hecho de que al publicar imágenes de una menor, se vieran afectados datos sometidos a una especial protección.
Este acto de la AEPD no hace más que seguir la nueva tendencia de las autoridades responsables de privacidad y protección de datos, de proteger a los menores, teniendo en cuenta que estos son cada vez más activos y a una edad más temprana en las redes sociales.
Protección de la privacidad de los niños
De la misma manera, hace escasas semanas la Comisión de Protección de Datos de Irlanda (DPC) también comunicaba dos investigaciones abiertas respecto de la red social TikTok, siendo una de ellas precisamente sobre la privacidad de los niños en virtud del Reglamento General de Protección de Datos.
También hay que tener en cuenta que estamos en un punto en que nos encontramos con el marco de fondo de la entrada en aplicación de las nuevas normas europeas, la Ley de Servicios Digitales (DSA) y la Ley del Mercado Digital (DMA), cuyo objetivo es complementar la regulación del RGPD respecto de este tipo de tratamientos.
Como venimos diciendo, se está ampliando el control y vigilancia sobre las aplicaciones que utilizamos todos los días, en especial las redes sociales, donde directamente exponemos, y se pueden exponer por terceros (como en el caso comentado), nuestros datos.
Debemos tener claros tanto nuestros derechos como usuarios, como los deberes de estas compañías, en todo lo relativo a las aplicaciones móviles. Este tema está ganando relevancia porque el acceso de los menores es cada vez más temprano. Y el control que los padres ejercen sobre la navegación de los menores es –generalmente– bastante escaso.
La obligación de recabar el consentimiento informado
Como hemos comentado en artículos anteriores, en el momento en que descargamos e instalamos una de estas aplicaciones, la compañía tiene la obligación de recabar nuestro consentimiento informado (esto es, previa explicación suficiente y clara), mediante una acción positiva e informarnos de nuestros derechos y plazos de conservación de los datos.
Sin embargo, somos más que conscientes de que la realidad es otra. Todavía nos encontramos con extensas y tediosas políticas (que generalmente aceptamos sin leer) en las que la única opción que se nos presenta es la de aceptar como necesarios para el funcionamiento, tratamientos y accesos a datos que no lo son. Por ejemplo, ¿es realmente necesario que la app linterna acceda a nuestros contactos?
Los datos personales que más se recaban son la edad, sexo, orientación sexual, raza, ubicación, número de teléfono, tipo de dispositivo desde el que se accede, idioma, datos bancarios…
De entre las plataformas que más manejamos, Facebook e Instagram son las que más datos recopilan frente a, por ejemplo, WhatsApp.
Esperemos que este incremento de la actividad de las autoridades, el desarrollo de nuevos marcos normativos y el mayor conocimiento por parte de los usuarios haga su labor y empuje hacia un mayor control, respeto y cumplimiento por parte de las compañías.