10.000 euros por difundir fotos sin consentimiento

Vaya por delante que estoy muy de acuerdo y apoyo completamente la campaña #PuedesPararlo, que ha puesto en marcha la Agencia Española de Protección de Datos (AEPD) para, a través de un ‘Canal Prioritario’ de denuncia, pedir la retirada de Internet -y de las redes sociales- del contenido sexual o violento (fotografías, vídeos o audios) difundido sin el consentimiento de las personas afectadas.

Está perfectamente fundado en Derecho que la AEPD, como autoridad competente en materia de protección de datos personales, comunique a una plataforma digital que está realizando un tratamiento de un contenido claramente ilegal (por carecer de consentimiento de la persona afectada) y que ésta, una vez tiene ‘conocimiento efectivo’ de ello, debe retirarlo -diligentemente- para no incurrir en responsabilidad.

Pero me surgen dudas sobre la posibilidad de pedir la retirada de las redes sociales de otros contenidos (que no sean especialmente sensibles y claramente ilegales), a través del ‘canal ordinario’ de la AEPD, aunque aquéllos tampoco cuenten con el consentimiento de las personas afectadas, pues puede existir un conflicto con otros derechos fundamentales: la Libertad de Expresión y el Derecho de la Información.

Y más dudas albergo respecto a la posibilidad de perseguir por la vía administrativa y de aplicar el Reglamento General de Protección de Datos a todas las personas físicas que hayan difundido dichos contenidos, sin consentimiento de las personas afectadas, si lo han hecho “en el curso de una actividad personal, y no profesional”, como establece el Considerando (18) del RGPD.

Ello no quiere decir, en absoluto, que no se deba perseguir a las personas físicas que difunden esos contenidos (en especial, los sensibles y claramente ilegales), sino que, quizá, la vía más adecuada no es la administrativa, sino la penal o la civil, como ya dijimos hace unas semanas en esta misma columna, sobre la difusión de audios y datos de la víctima del caso Arandina.

¿También en Whatsapp?

Se acaba de publicar una resolución de la AEPD en la que se sanciona con una multa de 10.000 euros a un hombre por publicar en su estado de WhatsApp fotografías intimas y capturas de conversaciones de una mujer y de una tercera persona del mismo centro de trabajo, sin su conocimiento ni consentimiento; tras haber sido sustraídas de un pendrive que le había desaparecido.

Estos hechos son constitutivos de dos delitos contra la intimidad: descubrimiento y revelación de secretos (art. 197.1 y 3 del Código Penal). Además, dice la resolución que algunas de dichas fotografías y capturas se acompañaban de “comentarios denigrantes y vejatorios”, lo que ya no constituiría un tratamiento de datos y entraría en un delito de injurias (art. 208 CP) o contra la integridad moral (art. 173.1 CP).

Sin embargo, la Directora de la Agencia acordó admitir a trámite la reclamación e iniciar procedimiento sancionador, por la presunta infracción del artículo 6.1.a) del RGPD (el interesado NO dio su consentimiento para el tratamiento de sus datos personales), sancionada en el Artículo 83.5.b) del RGPD (con multa administrativa de hasta 20 millones de euros).

Lo curioso es que, a la hora de graduar la sanción, la AEPD ha tenido en cuenta varios factores, como: el alcance meramente local del tratamiento llevado a cabo, que sólo se ha visto afectada una persona por la conducta infractora, la falta de vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal y, por último, que “el reclamado es una persona física”.

Sorprende que no haya ningún apartado de los Fundamentos de Derecho dirigido a explicar por qué considera la AEPD que dicho tratamiento de datos no se hizo “en el curso de una actividad exclusivamente personal (o doméstica) y, por tanto, sin conexión alguna con una actividad profesional (o comercial)”. Porque, entonces, el RGPD “no se aplica al tratamiento de datos personales por una persona física”.

Regla general y excepciones

El fin del RGPD, como dice su rótulo, es “la protección de las personas físicas en lo que respecta al tratamiento de datos personales” por entidades (tanto públicas como privadas), pero no por otras personas físicas; cuyos tratamientos de datos personales se excluyen de su ámbito de aplicación, salvo contadas excepciones, como cuando los realizan en el contexto de una actividad profesional o comercial.

Asimismo, es famosa la sentencia del Tribunal de Justicia de la Unión Europea en el caso Lindqvist, de 2003 (mucho antes de que entrara en vigor el actual RGPD), en la que se consideró que una catequista, que había hecho una página web con datos personales de los feligreses, había realizado un tratamiento de datos sin su consentimiento, y no se consideró que fuera un contexto personal o doméstico.

También hay excepciones en los supuestos de videovigilancia. Y en las Directrices del Comité Europeo de Protección de Datos (CEPD) se señala que “la excepción doméstica no se aplica a la publicación de datos en internet que sean accesibles a un número indefinido de personas” (apartado 12), aunque la hagan a título personal (gracias por la información a @oriolvalencia y @fjavier_sempere).

Pero una cosa es que haya excepciones a la regla general y otra cosa es que las excepciones se conviertan en regla general. En el RGPD hay 89 menciones a las “personas físicas” y 49 a “persona física”. En total 138. Y casi la totalidad se refiere a “la protección de los derechos y libertades de las personas físicas”. Tan sólo una se refiere al supuesto en que el responsable del tratamiento es una persona física.

El RGPD no está pensado para aplicarlo a personas físicas, para exigirles cumplir las obligaciones del responsable del tratamiento y, aún menos, para sancionarlas. Una norma pensada para proteger los derechos fundamentales y libertades de las personas físicas no puede convertirse en un arma para perseguirlas y sancionarlas. Además de que ello puede suponer el colapso de la AEPD. Puede ‘morir de éxito’.