HECHOS
PRIMERO: Con fechas 14 de marzo, 23 de abril y 5 de junio de 2018, tienen entrada en esta Agencia escritos de D.
A.A.A.
(en lo sucesivo el denunciante) en los que pone de manifiesto que
B.B.B.
(en lo sucesivo la denunciada) ha difundido, a través del grupo de Facebook, denominado "
***GRUPO.1
" y formado por 728 miembros del municipio de
***LOCALIDAD.1
, en el que residen ambos, la Sentencia en la que se le condena como autor de un delito de quebrantamiento de medida cautelar en el ámbito de la violencia de género. Añade que la denunciada también ha publicado en su estado de whatsapp el fallo de la Sentencia en la que se le condenaba como responsable de un delito de maltrato en el ámbito de la violencia de género y se le prohibía aproximarse a la ahora denunciada en una distancia mínima de 500 metros.
Aporta, entre otra, la siguiente documentación:
Imágenes de la información publicada en el grupo "
***GRUPO.1
" por el usuario
"
B.B.B.
"
Copia de la declaración de la ahora denunciada, emitida el 9 de marzo de 2018 ante el Juzgado de violencia contra la mujer número 1 de Burgos, en la que declara que " en redes sociales no está colgada la sentencia. Sólo ha colgado una sentencia donde aparecía el nombre del denunciado, pero la retiró después".
Informe pericial sobre análisis de imágenes y textos publicados, por el usuario "
B.B.B.
", en un grupo cerrado de más de 700 personas en la red social Facebook, en el que se concluye que las fotografías realizadas con autocaptura desde el terminal móvil de la hermana del ahora denunciante contiene imágenes que corresponden a la información publicada, el 1 de febrero de 2018, dentro del grupo cerrado "
***GRUPO.1
", por el usuario "
B.B.B.
", y que no han sido manipuladas.
SEGUNDO: Tras la recepción de la denuncia la Subdirección General de Inspección de Datos procedió al análisis de los hechos denunciados.
FUNDAMENTOS DE DERECHO
III El art. 2.2.a) de la LOPD (LA LEY 4633/1999) establece que "el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas".
El Grupo de Trabajo del artículo 29 (GT29), órgano consultivo europeo independiente establecido en virtud del artículo 29 de la Directiva 95/46/CE (LA LEY 5793/1995), adoptó el 12 de junio de 2009 el Dictamen 5/2009, sobre las redes sociales en línea. Este documento se centra en cómo el funcionamiento de los servicios de redes sociales puede satisfacer los requisitos de la legislación sobre protección de datos de la Unión Europea.
En dicho documento se destaca cómo muchos usuarios de las redes sociales se mueven dentro de una esfera puramente personal, poniéndose en contacto con gente como parte de la gestión de sus asuntos personales, familiares o domésticos. Según el GT29, la citada Directiva no impone las obligaciones de un responsable de datos a un individuo que procesa datos personales "en el transcurso de actividades estrictamente personales o domésticas". Siguiendo este precepto, el GT29 estima que, con carácter general, en la mayor parte de las actividades realizadas por los usuarios de un servicio de redes sociales debe aplicarse lo que denomina "exención doméstica", en lugar de la normativa de protección de datos.
Pero en el citado Dictamen se especifican así mismo tres supuestos en los que tales actividades no estarían cubiertas por la "exención doméstica". El primer supuesto se refiere a los casos en los que se utiliza el servicio de redes sociales como plataforma de colaboración para una asociación o una empresa.
En segundo lugar, el GT29 expone que los prestadores de servicios de redes sociales deben garantizar la instauración de configuraciones por defecto gratuitas y que respeten la privacidad, restringiendo el acceso a los contactos seleccionados. En estas condiciones, cuando el acceso a la información del perfil se amplía hasta más allá de los contactos seleccionados, como cuando se facilita el acceso al perfil a todos los miembros del servicio de redes sociales o cuando los datos son indexables por motores de búsqueda, el acceso se sale de la esfera personal o doméstica. De igual manera, si un usuario toma una decisión informada de ampliar el acceso más allá de los "amigos" seleccionados, las responsabilidades inherentes a un responsable de datos se activan. Efectivamente, se aplicará el mismo régimen legal que cuando cualquier persona utiliza otras plataformas tecnológicas para divulgar datos personales en Internet. No obstante, el GT29 hace constar que, aunque la exención doméstica no se aplique, el usuario de servicios de redes sociales puede beneficiarse de otras exenciones como la exención con fines periodísticos o de expresión literaria o artística. En dichos casos, se ha de llegar a un equilibrio entre la libertad de expresión y el derecho a la privacidaD.
Por último, en tercer lugar, se encuentran aquellos supuestos en los que es preciso garantizar los derechos de terceros, particularmente en relación con datos sensibles, como los que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, la pertenencia a un sindicato o datos relativos a la salud o a la vida sexual. No obstante, se hace constar que, aun cuando se aplique la "exención doméstica", un usuario podría ser responsable de acuerdo con las disposiciones generales de la legislación civil o penal nacional en cuestión.
En este caso la publicación denunciada se efectuó en un grupo cerrado de Facebook, como consta en el informe pericial aportado por el denunciante, por lo que podría considerase que el tratamiento da datos efectuado se realizó en el marco de actividades estrictamente personales o domésticas. Sin embargo, la información publicada se refiere a la condena penal impuesta al denunciante. La publicación de esta información personal en una red social no resulta inocua para el denunciante al referirse a información de especial transcendencia o relevancia que ha de ser objeto de una adecuada protección. Por ello, siguiendo el criterio sentado por el GT29, resulta plenamente aplicable la normativa de protección datos al supuesto aquí analizado
IV Sentado lo anterior procede analizar si el tratamiento de datos del denunciante realizado por la denunciada resulta conforme con lo dispuesto en las normas de protección de datos El artículo 6 de la LOPD (LA LEY 4633/1999) dispone en su apartado primero que "El tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa". A continuación, dicho precepto en su apartado segundo establece aquellos supuestos en los que no será preciso dicho consentimiento.
Junto con estos supuestos de exención del consentimiento, debe tenerse en cuenta que si bien la LOPD (LA LEY 4633/1999) no incorpora la regla de equilibrio de intereses, recogida en el artículo 7 f) de la Directiva 95/46/CE, de 24 de octubre (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Tribunal de Justicia de la Unión Europea, en su sentencia de 24 de noviembre de 2011 (asunto Asnef, Fecemd), declaró que dicho precepto tenía efecto directo en el derecho español. Por ello, dicho artículo deberá ser tomado directamente en cuenta en la aplicación de la normativa de protección de datos de carácter personal por los Estados Miembros, y en consecuencia por esta Agencia Española de Protección de Datos, dado que como señala el Tribunal Supremo en su sentencia de 8 de febrero de 2012 "produce efectos jurídicos inmediatos sin necesidad de normas nacionales para su aplicación, y que por ello puede hacerse valer ante las autoridades administrativas y judiciales cuando se observe su trasgresión".
El referido artículo 7.f) de la Directiva 95/46/CE (LA LEY 5793/1995) dispone que el tratamiento de datos personales podrá efectuarse si "es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva".
Aunque los hechos denunciados se produjeron antes del 25 de mayo de 2018, ha de tenerse en cuenta, también, que en la actualidad resulta de plena aplicación el Reglamento (UE) 2016/679, de 27 de abril de 2016 (LA LEY 6637/2016), General de Protección de Datos (RGPD), en cuyo artículo 6.1.f) habilita el tratamiento de datos personales "necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales".
Por tanto, la existencia de un interés legítimo prevalente resulta base suficiente para la realización de un determinado tratamiento o cesión de datos. Así las cosas cabe analizar si el tratamiento de datos denunciado puede basarse en este fundamento jurídico.
Para la realización de una valoración apropiada procede citar la Sentencia del Tribunal de Justicia de la Unión Europea de 4 de mayo de 2017 que indica que "el artículo 7, letra f), de la Directiva 95/46 (LA LEY 5793/1995) fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos."
Por lo que se refiere, en primer lugar, al requisito de que se esté persiguiendo un interés legítimo, no cabe duda de que la denunciada tiene un interés en denunciar públicamente los hechos graves que ha sufrido personalmente, con la intención de evitar que puedan repetirse en el futuro y proteger su integridad física, y que este interés legítimo puede prevalecer frente al derecho fundamental a la protección de datos del denunciante.
En segundo lugar ha de considerarse que concurre el requisito de que el tratamiento de datos sea necesario, pues la comunicación pública resulta necesaria para la consecución del interés legítimo que se persigue.
Por último, en cuanto al requisito de la ponderación de los derechos e intereses en conflicto, se han de tener en cuenta las circunstancias concretas que concurren en este caso, ya que la información veraz fue publicada en un grupo cerrado de Facebook y fue retirada del grupo por la propia denunciada.
De todo lo expuesto cabe concluir que, en este caso, la comunicación de los datos del denunciante, realizado por la víctima, se encuentra justificada en la regla de la ponderación de intereses anteriormente analizada.
Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de
Protección de Datos,
SE ACUERDA:
-
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
-
2. NOTIFICAR la presente Resolución a
B.B.B.
y
A.A.A..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD (LA LEY 4633/1999), en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre (LA LEY 2013/2003), de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre (LA LEY 30/2005), de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre (LA LEY 13934/2007).
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD (LA LEY 4633/1999)), y de conformidad con lo establecido en los artículos 112 (LA LEY 15010/2015) y 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015), los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa (LA LEY 2689/1998), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos