Desde que se decretara el estado de alarma en nuestro país el pasado 14 de marzo, se están difundiendo en diferentes redes sociales y servicios de mensajería instantánea multitud de imágenes y vídeos captados por particulares, en los que se aprecia a personas que, aparentemente, rompen el confinamiento, por ejemplo, haciendo ejercicio al aire libre, juntándose en grupo o, incluso, mientras son preguntadas o detenidas por las Fuerzas y Cuerpos de Seguridad.

Como viene manifestando la Agencia Española de Protección de Datos (AEPD), esta situación de emergencia generada por la pandemia del Covid-19 no puede suponer una suspensión del derecho fundamental a la protección de datos personales, por lo que la captación de estas imágenes y su difusión a terceros implicaría un tratamiento de datos personales que habría de atender a las garantías de la normativa en materia de protección de datos.

Recordemos que el Reglamento General de Protección de Datos (RGPD) es de aplicación al tratamiento de toda la información relativa a una persona física identificada o identificable, entendiendo que alguien es identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona [art. 4.1) RGPD].

Por lo que, en la medida en que las imágenes y, en su caso, la voz captadas en estas circunstancias permitan identificar a las personas afectadas y no se apliquen sobre las mismas parámetros digitales que impidan su identificación (por ejemplo: pixelados o máscaras), estas quedarán dentro del ámbito de la normativa de proteccion de datos, lo que supondrá que el particular que capta y difunde las imágenes sea considerado responsable del tratamiento y precise de una de las bases de licitud o legitimación de las previstas en el artículo 6 RGPD, entre las que cabría aplicar, en estos supuestos, la del consentimiento. Por consiguiente, ante la ausencia del consentimiento del interesado, la captación y difusión de estas imágenes sería ilícita y constituiría infracción muy grave prevista en el artículo 72.1.b) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Si bien, en virtud del Considerando 18 y artículo 2.2.c) RGPD, el Reglamento no sería de aplicación al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, no parece que quepa aplicar en estos casos la excepción doméstica, en base a la interpretación que distintos Tribunales y autoridades en materia de protección de datos, tanto a nivel europeo como nacional, han realizado sobre esta excepción:

• Tribunal de Justicia de la Unión Europea (TJUE), en su Sentencia sobre el asunto C–25/17, del 10 de julio de 2018:

El TJUE, señala, de una parte, que la expresión «personales o domésticas» se refiere a la actividad de la persona que trata los datos personales, no a la persona cuyos datos son tratados.

De otro lado, entiende que la excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares. A este respecto, no considera que una actividad es exclusivamente personal o doméstica cuando tenga por objeto permitir a un número indeterminado de personas el acceso a datos personales o cuando la actividad se extienda, aunque sea en parte, al espacio público y esté por tanto dirigida hacia el exterior de la esfera privada de la persona que procede al tratamiento de los datos.

• Comité Europeo de Protección de Datos (CEPD), en su Guía 2/2019 para el tratamiento de datos personales a través de dispositivos de video:

El CEPD determina que la llamada excepción doméstica, en el contexto de la captación de imágenes, debe interpretarse de manera restrictiva, incluyéndose la misma únicamente las actividades que se llevan a cabo en el curso de la vida privada o familiar de los particulares, lo que claramente no es el caso del tratamiento de datos personales que conlleva la publicación en Internet de manera que los datos sean accesibles a un número indefinido de personas.

• AEPD, en Informes como el 0615-2008:

La Agencia viene señalando que para que nos hallemos ante la exclusión doméstica, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.

En definitiva, cabría pensar en base a lo interpretado por las mismas que, en supuestos como los analizados en el presente artículo, en los que las imágenes captadas por particulares acaban en manos de un número indeterminado de personas, no sería de aplicación la excepción doméstica, por lo que, ante la ausencia de consentimiento de las personas afectadas para su captación y difusión, se estaría vulnerando la normativa en materia de protección de datos.

A lo largo de los últimos años hemos tenido diversos ejemplos que han sido objeto de sanción por parte de las autoridades de control, y que no han estado exentos de polémica. Para muestra, varios botones:

• Sanción Autoridad de Protección de Datos de Austria de 11.000 eurosa un entrenador por grabar a jugadoras en la ducha durante años​.
• Sanción de la AEPD a un particular con multa de 2.000 eurospor grabar con su móvil, desde su casa, a un policía que estaba realizando una actuación en la calle, y difundirla a través de WhastApp sin consentimiento​.
• Sanción de la AEPD de 10.000 eurosa un particular por publicar, en el «estado» de WhatsApp, fotos íntimas y conversaciones de un tercero sin su consentimiento .

Por último, no hay que olvidar que una conducta que suponga una violación en el derecho a la intimidad o privacidad puede ser objeto de reproche en el orden civil, por intromisión en el derecho a la intimidad o propia imagen, o penal, por ser tipificada como delito de descubrimiento o revelación de secretos.

Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo Govertis