Una de las novedades más importantes que trae consigo el Reglamento General de Protección de Datos es el régimen de sanciones, que se endurece en gran medida para proteger el derecho fundamental a la protección de datos personales.
El pasado 15 de marzo de 2018, la Agencia Española de Protección de Datos (AEPD) sanciona a un colegio que fue denunciado por los padres de un alumno, quienes habían solicitado del centro la eliminación de todas las imágenes de sus hijos que tuvieran en sus ordenadores o servidores. Si bien es cierto que esta sanción ha sido impuesta al amparo de la normativa anterior, no por ello es irrelevante, pues nos advierte de las carencias de prevención y de la necesidad de garantizar el cumplimiento en un futuro, habida cuenta de la inminente aplicación de la nueva normativa a partir del 25 de mayo.
A pesar de la solicitud del padre, e incluso la confirmación por parte del Centro de la eliminación de las imágenes, en la página web del colegio seguía alojado un video de Youtube en el que aparecía el menor. El acceso a las imágenes de dicho vídeo se efectuó sin utilizar usuario y contraseña.
La resolución considera irrelevante el hecho de que el colegio dispusiera de consentimiento de los padres para usar las imágenes del niño, pues posteriormente el padre solicitó la cancelación del mismo. Esta solicitud debe presumirse válida, pues actuaba en el ejercicio de la patria potestad con el consentimiento de la madre.
Señala la AEPD que la imagen de una persona constituye un dato de carácter personal, dado que la información que se capta concierne a personas que las hacen identificables, suministrando información sobre el lugar y actividad desarrollada por el individuo.
La imagen obtenida a través del enlace a la web del colegio permite identificar sin duda al menor entre un grupo de niños, produciéndose un tratamiento de datos de carácter personal del hijo del denunciante al que resultan aplicables los principios y garantías de la normativa de protección de datos. Resulta indiferente el hecho de que el niño no fuera con el uniforme del colegio, ya que iba disfrazado, pues ello no impide su plena identificación como alumno de ese centro escolar, por otros de alumnos por los padres de sus compañeros de clase o incluso de cualquier tercero ajeno al ámbito escolar.
Señala la resolución sancionadora que la conducta del Colegio denunciado encaja en lo dispuesto en el artículo 44.3.d) de la LOPD actual, que tipifica como infracción grave la vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal.
El Centro escolar gestiona la página web, decidiendo la finalidad, el contenido y el uso de los datos de carácter personal que se tratan en el portal de su propiedad, por lo que el tratamiento de datos de los menores, al publicar en su web en abierto, cae bajo la órbita del regimen sancionador de la LOPD.
Para el uso y publicación de la imagen del niño a través de la página web era necesaria la autorización expresa e inequívoca de sus representantes legales (de los padres o tutores), y en este caso, a pesar de contar con la solicitud de cancelación, el Centro no mostró la diligencia debida para eliminar la imagen que aparecía en el video accesible a través de la página.
Determina la Agencia que la conducta del colegio se ajusta a lo tipificado en el artículo 44.3 d) LOPD, siendo responsable el Colegio a título de culpa por no cerciorarse de que habían sido canceladas todas las imágenes donde el menor aparecía.
La AEPD puntualiza que en el caso se ha producido una vulneración del principio del consentimiento para el tratamiento de los datos, calificada como grave por el artículo 44.3.b) de la LOPD, y también un incumplimiento del deber de guardar secreto, calificado como grave en el artículo 44.3.d) de la misma norma, por lo que únicamente procede imponer la sanción correspondiente a la infracción del artículo 6.1 LOPD por constituir la infracción originaria que ha dado lugar a la comisión de la infracción del artículo 10 de dicha norma.
A este respecto, la Agencia rechaza la alegación de buena fe a efectos de rebaja de la sanción, pues existe un deber del infractor de vigilancia y diligencia derivados de su condición de profesional, que en este caso no se cumplió debidamente. En cambio, no observa actuación dolosa o intencionada por parte del Colegio, pues tan pronto como recibió la solicitud de cancelación de las imágenes procedió a la eliminación de las mismas, a excepción de la imagen que aparecía en el video alojado en Youtube. También se valora que el Colegio tenía implantados procedimientos de actuación a los efectos de obtener el consentimiento de tutores y padres.
En definitiva, y teniendo en cuenta todas las circunstancias concurrentes, la Agencia impone al Colegio una multa de 3.000 euros.
Como lo ocurrido en este caso, el tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.b) de la Ley Orgánica 15/1999 , pero también con la nueva normativa.
Efectivamente, el nuevo Reglamento Europeo de Protección de Datos introduce importantes novedades en el tratamiento y en la gestión de los datos de carácter personal, así como un aumento considerable en la cuantía de las sanciones.
FUENTES:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
