¿Podemos subir imágenes de terceros a redes sociales sin su consentimiento?
El pasado mes de septiembre se presentó al mundo la colaboración entre las compañías Facebook y Ray-Ban para el lanzamiento de unas nuevas gafas inteligentes: las Ray-Ban Stories. Se trata de unas gafas que mantienen la estética de las clásicas Ray-Ban y que llevan integradas dos cámaras, tres micrófonos y altavoces. Con ellas, se puede llamar y atender llamadas, tomar fotografías, grabar vídeos e incluso reproducir música o podcasts.
Además de una gran expectación, las posibilidades que ofrecen las nuevas gafas inteligentes de Facebook han suscitado algunas preocupaciones, sobre todo en relación con los peligros que pueden acarrear para la privacidad de las personas. De hecho, las autoridades de control en materia de protección de datos de Italia e Irlanda se han pronunciado al respecto, y han trasladado a Facebook una serie de preguntas relacionadas con la forma en que se pretende proteger la intimidad de las personas en el uso de las nuevas Ray-Ban Stories.
Lo cierto es que este nuevo lanzamiento ha reabierto un importante debate entorno a la pregunta de si es posible tomar fotografías o vídeos de terceros en lugares públicos para posteriormente utilizarlos en redes sociales, sin contar con su consentimiento. Se trata de una cuestión controvertida que tomó gran protagonismo también el pasado año 2020 debido a la situación de confinamiento domiciliario vivida por la pandemia del COVID-19: muchas personas grababan a otras cuando se saltaban las normas de confinamiento en pleno estado de alarma, para después difundirlas en sus redes sociales a modo de reprimenda.
En relación a esta práctica, la Agencia Española de Protección de Datos (AEPD) recordaba entonces que, cuando se difunden imágenes en redes sociales de manera que quedan accesibles a cualquier persona, y siempre que quienes aparecen en ellas sean identificables, estamos ante un tratamiento de datos personales “al que se aplicaría el sistema de garantías previsto en la normativa de protección de datos”. Para estos casos, por tanto, deberá contarse con el consentimiento previo de aquellos que aparezcan en las imágenes.
Es claro que para que la difusión pueda ser considerada tratamiento de datos personales las personas que en ellas aparezcan deben ser identificables. El artículo 4.1) del RGPD define los datos personales como “toda información sobre una persona física identificada o identificable”, siendo identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente”. Es decir, si las personas que aparecen en las imágenes no pueden ser identificadas, sencillamente no estamos ante tratamiento de datos personales alguno.
Pero, siendo identificables, ¿toda publicación de imágenes de terceros en una red social requiere el consentimiento de los interesados, siéndoles de aplicación la normativa de protección de datos? La respuesta a esta pregunta debe ser negativa.
El Considerando 18 del Reglamento General de Protección de Datos excluye de la aplicación del Reglamento aquellos tratamientos que realicen las personas físicas “en el curso de una actividad exclusivamente personal o doméstica (…). Entre las actividades personales o domésticas cabe incluir (…) la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades”.
Ahora bien, a pesar de lo establecido en el mencionado considerando, de todos es sabido que a día de hoy las redes sociales se utilizan mucho más que para satisfacer intereses personales. No resulta en absoluto extraño ver perfiles en redes sociales que pertenecen a empresas o a asociaciones. ¿Les es de aplicación a estos perfiles lo establecido en el Considerando 18 del RGPD? ¿No sería más correcto pensar que en estos casos se está excediendo el límite de lo exclusivamente personal o doméstico, necesitando entonces el consentimiento de los interesados?
La respuesta la encontramos en el Dictamen del Grupo de Trabajo del Artículo 29 sobre las redes sociales en línea, adoptado el 12 de junio de 2009. En este documento se establece que, en el uso de las redes sociales, la regla general será la consideración de que se trata de uso doméstico, y por lo tanto el RGPD no será de aplicación. Ahora bien, también proporciona algunos ejemplos de casos en que dicho ámbito doméstico se puede considerar sobrepasado: concretamente, habla del caso en que una red social se utiliza como plataforma de colaboración para una asociación o una empresa, con fines comerciales, políticos o sociales; o en el caso de que se cuente con un gran número de contactos de terceros que tienen acceso al contenido de un determinado perfil en una red social. También será este el caso de perfiles abiertos a cualquier persona o cuando los datos queden indexados en motores de búsqueda.
En conclusión, no se puede llegar a una solución general que se aplique a todos los casos sin distinción. Tendrán que estudiarse las circunstancias de cada caso concreto para determinar si se está cometiendo una infracción a la normativa de protección de datos o no. En todo caso, la recomendación no puede ser otra que la de tener precaución y pensar dos veces antes de subir cualquier contenido a internet que pueda resultar perjudicial, tanto para la persona que lo sube como para terceros. A este respecto y para casos excepcionalmente graves en que se haya subido a internet datos personales de carácter especialmente delicado, íntimo o violento, o que pongan en peligro grave los derechos y libertades de las personas, la AEPD ha habilitado un canal prioritario para su retirada a través del siguiente enlace.
Sara Hervías Costa, Privacy Counsel, Legal Army