Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 64

Por seguir la línea “del 10” –diez resoluciones, diez sentencias–, a modo de decálogo, incluimos diez ideas clave que se derivan de las actuaciones, hasta el momento, de la Agencia Española de Protección de Datos y de los jueces y tribunales en lo que se refiere al uso de las Redes Sociales por parte de empresas y particulares:

1. No hay duda de que el tratamiento de datos personales haciendo uso de Redes Sociales queda dentro del ámbito de aplicación de la normativa de protección de datos.

2. El afán del organismo de control no es puramente sancionador, hay varios casos de apercibimiento. No obstante, el apercibimiento es una decisión libre y voluntaria del organismo de control y solo lo aplica en los casos en los que, a su juicio, concurren determinadas circunstancias.

3. Las Redes Sociales (WhatsApp, entre ellas) quedan integradas dentro del concepto de “medio de comunicación electrónica equivalente” de la LSSI y, por tanto, el envío de mensajes promocionales por esta vía también ha de respetar la normativa.

4. Ya hay casos de sanciones a personas físicas. Y es que la conocida como “excepción doméstica” es, como su propio nombre indica, excepción. Y, por tanto, no todo vale “al amparo de la excepción doméstica”.

5. El tratamiento en y/o a través de Redes Sociales es una finalidad diferenciada del tratamiento en otros medios y/u objetivos. Y, en este sentido, resulta fundamental cumplir con el principio de limitación de la finalidad regulado en el artículo 5 del RGPD.

6. La causa más frecuente de las denuncias puestas en conocimiento de la AEPD es la falta de consentimiento para el tratamiento de datos personales a través de Redes Sociales. Es necesario contar con el consentimiento expreso prestado mediante clara acción afirmativa.

7. Cuando el tratamiento de datos personales a través de Redes Sociales se refiere a datos de menores de edad, la cuantía de la sanción puede verse incrementada puesto que se considera una circunstancia que sirve para graduar la sanción.

8. El comportamiento de los trabajadores en Redes Sociales tiene consecuencias y puede implicar, entre otras cosas, la existencia de un despido procedente.

9. Las capturas de pantalla del contenido compartido por Redes Sociales, cumpliendo determinados requisitos, son válidos como prueba.

10. Cada vez hay más concienciación, conocimiento… cada vez hay más preocupación por el respeto al derecho de protección de datos. Y, por tanto, cada vez hay más denuncias por parte de particulares que ven como bien otros particulares bien entidades hacen un uso inadecuado de sus datos personales a través de las Redes Sociales.

En nuestra opinión, las Redes Sociales han venido para quedarse al menos a corto –e incluso medio– plazo, tanto en el ámbito personal como en el profesional. Quizás en unos años hayan cambiado las que están de moda y/o la manera de comunicarse. Quizás incluso se hayan extinguido de la manera en la que las conocemos y las utilizamos actualmente.

Pero lo cierto es que, tanto como entidad, como siendo particular, tenemos que tener claro que el cumplimiento de la normativa de protección de datos es de aplicación a los tratamientos de datos personales independientemente del “soporte” o “medio” en el que consten… Y es que las TIC evolucionan a gran velocidad y, por tanto, surgirán nuevas funcionalidades, nuevos soportes, nuevas herramientas… En el caso concreto que analizamos en el presente Capítulo, las Redes Sociales son una funcionalidad, una herramienta más y, en este sentido, el foco la entidad lo tiene que poner en proteger al interesado, al titular de los datos y en la necesidad de respetar y hacer cumplir todos los principios en todos los tratamientos de datos personales que lleve a cabo. Y, como comentábamos al principio, las Redes Sociales no son ni deben ser una excepción.

1. Si quieres profundizar y formarte en todo lo que necesitas saber sobre la presencia de una entidad en Redes Sociales: tanto a nivel de comunicación como de cuestiones normativas, puedes ponerte en contacto con el despacho en el teléfono 91 417 48 98 o en el mail formacion@davara.com porque tenemos un Curso específico sobre esto, con modelos de documentos que permiten el cumplimiento de la normativa y con consejos prácticos.

2. Dado lo limitado del espacio y, sobre todo, lo que consideramos puede ser de mayor interés para el lector, las Resoluciones analizadas serán las relacionadas con el uso de las Redes Sociales. No obstante, en caso de que quiera profundizar en los procedimientos sancionadores protagonizados por las Redes Sociales en sí, recomendamos la consulta de dos procedimientos sancionadores de la AEPD. De un lado, el Procedimiento sancionador PS/00219/2017 que concluye con la imposición de dos multas: una de 300.000 euros para la entidad WHATSAPP INC., por una infracción del artículo 11 de la LOPD, tipificada como grave en el artículo 44.3.k) de la LOPD y, de otro, una multa de 300.000 euros a FACEBOOK INC., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD. Y, de otro lado, el Procedimiento sancionador PS/00082/2017 que concluye con la imposición de tres multas: la primera de 300.000 euros a FACEBOOK, INC. por la infracción del artículo 6.1, en relación con el artículo 5 y el artículo 4, apartados 1 y 2, todos de la LOPD; infracción tipificada como grave en el artículo 44.3.b) de la LOPD; la segunda de 600.000 euros a FACEBOOK, INC. por la infracción del artículo 7, en relación con el artículo 5 y el artículo 4, apartados 1 y 2, todos de la LOPD; infracción tipificada como muy grave en el artículo 44.4.b) de la LOPD y la tercera, una multa de 300.000 euros a FACEBOOK, INC. por la infracción del artículo 4.5, en relación con el artículo 16, ambos de la LOPD; infracción tipificada como grave en el artículo 44.3.c) de la LOPD.

3. A saber: licitud, lealtad y transparencia; minimización de datos; limitación de la finalidad; limitación del plazo de conservación; exactitud y confidencialidad e integridad.

4. “Sentencia TJUE, de 29 de julio de 2019 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=4742347), sobre el caso Fashion ID. Fashion ID es una empresa de moda online que insertó el botón ‘me gusta’ de Facebook, con el fin de obtener un mayor alcance publicitario. ¿Cómo funcionaba el botón? Cuando el usuario ingresaba en la web de Fashion ID, el botón activado hacía que automáticamente se transfiriesen datos como dirección IP, parámetros de navegador o la información relativa a cookies y otros rastreadores a Facebook. Toda esta transmisión de datos ocurría incluso sin haber pinchado el botón ‘me gusta’ y sin, ni siquiera, tener una cuenta en Facebook y, por supuesto, sin informar al usuario de ello ni contar con su consentimiento. Tras analizar la cuestión, el TJUE determinó que Fashion ID es corresponsable con Facebook, puesto que decide añadir el botón a su web y facilita el tratamiento de datos personales, incluso en los casos en que no tuviese acceso a esos datos transmitidos a Facebook. Ahondando en la cuestión, el TJUE limitó su responsabilidad a la parte en que efectivamente interviene Fashion ID, es decir, la recogida y transmisión de datos a Facebook. Por lo tanto, concluye afirmando que respecto de los usos y tratamientos posteriores que realice Facebook, Fashion ID no será considerado responsable del tratamiento”. Si se quiere profundizar en este tema, recomendamos el apartado correspondiente del libro “El Reglamento Europeo de Protección de Datos y la LOPDGDD: todo lo que necesitas saber”, coordinado por el Prof. Davara Rodríguez y escrito por Davara Fernández de Marcos, Elena y Laura; Editorial Wolters Kluwer, 2019.

5. Disponible en el siguiente enlace https://www.aepd.es/es/documento/ps-00595-2012.pdf. Visitado el 9 de abril de 2021.

6. Art. 19 de la –derogada– LOPD: “Artículo 19 Derecho a indemnización. 1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria”.

7. Disponible en https://www.aepd.es/es/documento/ps-00094-2018.pdf. Visitado el 8 de abril de 2021.

8. Indica la AEPD que “Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido, teniendo el ‘deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo’. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto”.

9. Disponible en https://www.aepd.es/es/documento/ps-00195-2019.pdf. Visitado el 8 de abril de 2021.

10. Disponible en https://www.aepd.es/es/documento/ps-00334-2019.pdf. Visitado el 8 de abril de 2021.

11. En este sentido recuerda la AEPD que “La Sala de lo Contencioso Administrativo de la Audiencia Nacional, en supuestos similares ha considerado que cuando el titular de los datos niega el consentimiento en el tratamiento de sus datos corresponde la carga de la prueba a quien afirma su existencia debiendo el responsable del tratamiento recabar y conservar la documentación necesaria para acreditar el consentimiento del titular. Así, la SAN de 31/05/2006 (Rec. 539/2004), Fundamento de Derecho Cuarto”.

12. Disponible en https://www.aepd.es/es/documento/ps-00383-2019.pdf. Visitado el 8 de abril de 2021.

13. Disponible en https://www.aepd.es/es/documento/ps-00425-2019.pdf. Visitado el 8 de abril de 2021.

14. Indica la AEPD que se desconocen las edades, pero podrían ser menores de edad.

15. Disponible en https://www.aepd.es/es/documento/ps-00124-2020.pdf. Visitado el 8 de abril de 2021.

16. Disponible en https://www.aepd.es/es/documento/ps-00178-2020.pdf. Visitado el 8 de abril de 2021.

17. Disponible en https://www.aepd.es/es/documento/ps-00405-2020.pdf. Visitado el 8 de abril de 2021.

18. Disponible en https://www.aepd.es/es/documento/ps-00048-2021.pdf. Visitado el 8 de abril de 2021.

19. En el procedimiento consta expresamente que Notificado formalmente el acuerdo de inicio, la reclamada ha presentado escrito de alegaciones el 4 de marzo de 2021, manifestando: “Debemos manifestar que mis mandantes retiraron de su cuenta de Twitter el documento publicado de manera inmediata, no estando el mismo en la red más de 15 minutos, siendo publicado por error, error que una vez advertido, motivó la retirada inmediata de la publicación, no quedando rastro de ninguna clase en las redes, ni de los datos, ni del contenido de la conciliación publicada por error, hecho que motivó que la denunciante no sufriera ningún perjuicio”.

20. Si el lector está interesado en profundizar en el binomio “Menores y Redes Sociales” recomendamos leer la obra que hemos escrito específicamente para padres y educadores en la que, de manera 100% práctica, se abordan estas y otras muchas cuestiones. El libro se llama “El libro definitivo sobre las Redes Sociales: claves para padres y educadores” y puede ser adquirido en el siguiente enlace: https://tienda.wolterskluwer.es/p/el-libro-definitivo-sobre-redes-sociales.

21. “Por último, en lo que respecta a esta sentencia, queremos llamar la atención sobre cómo el Tribunal Supremo enfatiza que no puede el ordenamiento legal “hacer descansar en los padres unas obligaciones de velar por sus hijos menores y al mismo tiempo desposeerles de toda capacidad de controlar en casos como el presente”. En todo caso, ha de tenerse en cuenta que, el modus operandi habitual de los padres de menores de edad mayores de catorce años no puede ser acceder indiscriminadamente y sin motivo alguno a las cuentas y perfiles de sus hijos en Redes Sociales por cuanto el menor es titular de unos derechos que, salvo excepciones en las que entren en juego otros derechos fundamentales y/o deberes de los padres, deben ser respetados”. Davara Fernández de Marcos, L.: “El libro definitivo sobre las Redes Sociales: claves para padres y educadores”, Cuadernos de pedagogía, Wolters Kluwer, 2021.

22. Es importante recordar y tener presente que no todo el material que está accesible en Internet está libre de derechos de autor.