La nueva sociedad de la información, internet y redes sociales suponen al día de hoy una amenaza, que debe ser afrontada desde diversos puntos de vista.
El nuevo Reglamento Europeo de Protección de Datos (GDPR), que comenzará a aplicarse el próximo 25 de mayo introduce importantes novedades en el tratamiento y en la gestión de los datos de carácter personal que tratan las organizaciones, empresas, Administraciones…
Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos.
Una de las novedades más importantes que trae consigo la regulación que pronto se aplicará, es el régimen de sanciones, que se endurece de manera significativa, para proteger de manera efectiva el derecho fundamental a la protección de datos personales.
En este sentido es importante, si no fundamental, contar con herramientas que nos permitan cumplir con las obligaciones derivadas del GDPR , de las directrices de la AEPD y de las autoridades europeas en esta materia.
Esta resolución, dictada por la Agencia Española de Protección de Datos el pasado 15 de marzo de 2018, sanciona a un colegio que fue denunciado por los padres de un alumno, quienes habían solicitado del centro la eliminación de todas las imágenes de sus hijos que tuvieran en sus ordenadores o servidores. Se trata de una sanción impuesta al amparo de la normativa anterior, pero no por ello es irrelevante, pues nos advierte de las carencias de prevención en este sentido y de la necesidad de garantizar el cumplimiento en un futuro.
No obstante su solicitud del padre, e incluso la confirmación por parte del Centro de la eliminación de las imágenes, en la página web del colegio seguía alojado un video de Youtube en el que aparecía el menor. El acceso a las imágenes de dicho vídeo se efectuó sin utilizar usuario y contraseña.
Vulneración de la normativa
Señala al respecto la AEPD que la imagen de una persona constituye un dato de carácter personal, dado que la información que se capta concierne a personas que las hacen identificables, suministrando información sobre el lugar y actividad desarrollada por el individuo.
La imagen obtenida a través del enlace a la web del colegio permite identificar sin duda al menor entre un grupo de niños, produciéndose un tratamiento de datos de carácter personal del hijo del denunciante al que resultan aplicables los principios y garantías de la normativa de protección de datos. Resulta indiferente el hecho de que el niño no fuera con el uniforme del colegio, y sí disfrazado, pues ello no impide su plena identificación como alumno de ese centro escolar, por otros de alumnos por los padres de sus compañeros de clase o incluso de cualquier tercero ajeno a ese específico ámbito escolar.
Señala la resolución sancionadora que la conducta del Colegio denunciado se incardina en el artículo 44.3.d) de la LOPD que tipifica como infracción grave: “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.”
Responsabilidad del Centro
El Centro escolar gestiona la página web, decidiendo la finalidad, el contenido y el uso de los datos de carácter personal que se tratan en el portal de su propiedad, por lo que, a juicio de la Agencia, el tratamiento de datos de los menores, al publicar en su web en abierto, cae bajo la órbita del regimen sancionador de la LOPD .
Para el uso y publicación de la imagen del niño a través de la página web era necesaria la autorización expresa e inequívoca de sus representantes legales –de los padres o tutores- , y en este caso, a pesar de contar con la solicitud de cancelación, el Centro no mostró la diligencia debida para eliminar la imagen que aparecía en el video accesible a través de la página.
Determina la Agencia que la conducta del colegio se ajusta a lo tipificado en el artículo 44.3 d) LOPD, siendo responsable el Colegio a título de culpa. Y todo porque no se cercioró de que habían sido canceladas todas las imágenes donde el menor aparecía.
La resolución considera irrelevante el hecho de que el colegio dispusiera de consentimiento de los padres para usar las imágenes del niño, pues posteriormente el padre solicitó la cancelación de las mismas. Esta solicitud debe presumirse válida, pues actuaba en el ejercicio de la patria potestad con el consentimiento de la madre.
Sanción impuesta
La AEPD puntualiza que en el caso se ha producido una vulneración del principio del consentimiento para el tratamiento de los datos, calificada como grave por el artículo 44.3.b) de la LOPD , y también un incumplimiento del deber de guardar secreto, calificado como grave en el artículo 44.3.d) de la misma norma, por lo que únicamente procede imponer la sanción correspondiente a la infracción del artículo 6.1 de la LOPD , por constituir la infracción originaria que ha dado lugar a la comisión de la infracción del artículo 10 de dicha norma.
A este respecto, la Agencia rechaza la alegación de buena fe a efectos de rebaja de la sanción, pues existe un deber del infractor de vigilancia y diligencia derivados de su condición de profesional, que en este caso no se cumplió debidamente.
No obstante, no observa actuación dolosa o intencionada por parte del Colegio, pues tan pronto como recibió la solicitud de cancelación de las imágenes procedió a la eliminación de las mismas, a excepción de la imagen que aparecía en el video alojado en Youtube.
También se valora el hecho de que el Colegio tenía implantados procedimientos de actuación a los efectos de obtener el consentimiento de tutores y padres.
En definitiva, y teniendo en cuenta todas las circunstancias concurrentes, la Agencia impone al Colegio una multa de 3.000 euros.
Sobre la importancia de disponer de herramientas de cumplimiento
Como lo ocurrido en este caso, el tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.b) de la Ley Orgánica 15/1999 , pero también con la nueva normativa.
Efectivamente, el nuevo Reglamento Europeo de Protección de Datos (GDPR ) introduce importantes novedades en el tratamiento y en la gestión de los datos de carácter personal que tratan las organizaciones. Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos.
Existen sin embargo herramientas que ayudan a abordar con garantía los cambios que se avecinan, para poder adaptar plenamente a las organizaciones a esta nueva realidad, evitando con ello la comisión de posibles infracciones.
Una de esas herramientas es COMPLYLAW PRIVACIDAD , Herramienta que permite cumplir con las obligaciones derivadas del GDPR , de las directrices de la AEPD y de las autoridades europeas en esta materia (GT29) y de la ISO/29134 para las evaluaciones de impacto.
• Permite analizar el grado de nivel de riesgo de los diferentes tratamientos de los datos personales.
• Automatiza la generación del informe PIA (Evaluación de impacto en la protección de datos personales).
• Gestiona los resultados del informe PIA, incorporando controles y tareas para mitigar los riesgos.
COMPLYLAW PRIVACIDAD está dirigida a los DPO, servicios jurídicos y responsables de tratamiento, internos o externos de una organización, y está adaptada al Nuevo Reglamento Europeo de Protección de Datos (GDPR ).
Comentarios recientes