Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 53

Los hechos del caso son los siguientes:

En dos redes sociales se realizan los siguientes comentarios sobre la afectada:

a. Comentario difundido a través de Facebook: “PARA LA GENTE DE [localización geográfica de la denunciante]!!!!! Hola perdona que entre así pero quiero avisar a todos los que pueda, a mi mejor amigo le ha pegado el sida una tía que trabaja en la A.A.A. de la A.A.A., la que abre 24 horas, la tía es una morena guapa muy muy delgada (será por el sida) se llama [apodo de la denunciante] y es muy simpática y le gusta follar, a mi amigo le ha jodido la vida y estamos corriendo la voz para que no siga jodiendo la vida a los demás, si quieres que el Sida pare corre la voz, gracias”.

b. Comentario vertido desde una cuenta de Facebook, vinculada sucesivamente a varios nombres identificativos: “OJO!!! ESTA CHICA HA CONTAGIADO A UN AMIGO DE SIDA, LO TIENE Y NO LO DICE. SE LLAMA [apodo de la denunciante] Y TRABAJA EN A.A.A. PASARLO PARA VUESTROS AMIGOS. TIENE EL SIDA Y SE HA DADO DE BAJA VARIAS VECES EN EL TRABAJO POR ESE MOTIVO. PASARLO. PAREMOS EL SIDA.”. Este mensaje fue remitido junto con una fotografía con su imagen.

c. Creación de un perfil en Badoo, identificado por su apodo y primer apellido, donde constan distintas fotografías con su imagen y una descripción física, incluyendo una dirección electrónica y el siguiente texto en el apartado “Busco”: “Hombres que sepan mmmmmmm jajajajaja como veis en las fotos me gusta estar rodeada de hombres y si me hacen disfrutar mejor que llevo muy poco sabiendo lo que es el buen sexo”.

Después, Badoo confirmó la baja del perfil suplantador denunciado. Asimismo, esta compañía y Facebook facilitaron información relativa a las direcciones IP de los equipos desde los que se habían realizado estas actividades y éstas estaban conectadas a internet a través de una misma línea telefónica y se identifica a la titular de ésta, la denunciada. La afectada denuncia ante la Agencia el tratamiento no consentido de sus datos en estas redes, lo que le ha ocasionado graves problemas en su entorno laboral y personal al atribuírsele una enfermedad que no padece.

La Agencia señala que se ha realizado un tratamiento de datos personales amparado por la LOPD. Los datos de la denunciante fueron publicados, sin restricciones de acceso, en estas redes con la voluntad de darle amplia difusión en Internet a informaciones acerca de las supuestas condiciones de salud de la denunciante y acerca de su supuesta vida sexual, todo ello con la intención de perjudicarla. Se trata de un escenario en el que no cabe aplicar la exención doméstica.

El tratamiento de datos personales a través de Internet requiere el consentimiento del titular de los mismos, conforme al artículo 6 de la LOPD, lo que no se cumplió en el caso y supone la comisión de una infracción tipificada como grave en el artículo 44.3.d) de la citada Ley. Se impone a la denunciada una sanción de 2.000 € (Resolución R/00196/2013, de fecha 11 de febrero de 2013). La afectada recurre la resolución, lo que es desestimado porque no está legitimada para que la resolución sea modificada en cuantía superior, además que la denunciada no tenía antecedente alguno en la Agencia. En relación al artículo 19 de la Ley6, la recurrente no aportó nuevos hechos o argumentos jurídicos para reconsiderar la validez de la resolución impugnada.

Ha de tenerse en cuenta que si estos hechos hubiesen sido analizados a la luz del Reglamento Europeo y de la LOPDGDD, entendemos que la resolución de imposición de sanción hubiese sido la misma puesto que la normativa vigente actualmente exige que el tratamiento de datos personales esté amparado en alguna de las seis bases legitimadoras que regula el artículo 6 del RGPD, a saber: consentimiento, relación contractual, obligación legal, interés público, intereses vitales o interés legítimo. Y, en el caso que nos atañe, la base legitimadora aplicable sería el consentimiento del afectado. Además, el concepto de excepción doméstica sigue la misma línea que la normativa anterior y, por tanto, tampoco resultaría aplicable.

Para finalizar con el breve comentario analógico de la sanción analizada, simplemente destacar que el tratamiento de datos sin contar con base legitimadora es considerado, tanto por el RGPD como por la LOPDGDD, en el más alto nivel de incumplimiento. Es decir, el Reglamento europeo prevé para dicha infracción multas administrativas de “20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía” mientras que la LOPDGDD califica como infracción muy grave, en su artículo 72 “b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679”.