Volver a página de inicio

I Es competente para resolver la Directora de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999) (en lo sucesivo LOPD (LA LEY 4633/1999)).

II El artículo 126.1, apartado segundo, del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LA LEY 4633/1999), aprobado por Real

Decreto 1720/2007, de 21 de diciembre (RLOPD (LA LEY 13934/2007)) establece:

"Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de infracción alguna, el Director de la Agencia Española de Protección de Datos dictará resolución de archivo que se notificará al investigado y al denunciante, en su caso."

III El art. 2.2.a) de la LOPD (LA LEY 4633/1999) establece que "el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas".

El Grupo de Trabajo del artículo 29 (GT29), órgano consultivo europeo independiente establecido en virtud del artículo 29 de la Directiva 95/46/CE (LA LEY 5793/1995), adoptó el 12 de junio de 2009 el Dictamen 5/2009, sobre las redes sociales en línea. Este documento se centra en cómo el funcionamiento de los servicios de redes sociales puede satisfacer los requisitos de la legislación sobre protección de datos de la Unión Europea.

En dicho documento se destaca cómo muchos usuarios de las redes sociales se mueven dentro de una esfera puramente personal, poniéndose en contacto con gente como parte de la gestión de sus asuntos personales, familiares o domésticos. Según el GT29, la citada Directiva no impone las obligaciones de un responsable de datos a un individuo que procesa datos personales "en el transcurso de actividades estrictamente personales o domésticas". Siguiendo este precepto, el GT29 estima que, con carácter general, en la mayor parte de las actividades realizadas por los usuarios de un servicio de redes sociales debe aplicarse lo que denomina "exención doméstica", en lugar de la normativa de protección de datos.

Pero en el citado Dictamen se especifican así mismo tres supuestos en los que tales actividades no estarían cubiertas por la "exención doméstica". El primer supuesto se refiere a los casos en los que se utiliza el servicio de redes sociales como plataforma de colaboración para una asociación o una empresa.

En segundo lugar, el GT29 expone que los prestadores de servicios de redes sociales deben garantizar la instauración de configuraciones por defecto gratuitas y que respeten la privacidad, restringiendo el acceso a los contactos seleccionados. En estas condiciones, cuando el acceso a la información del perfil se amplía hasta más allá de los contactos seleccionados, como cuando se facilita el acceso al perfil a todos los miembros del servicio de redes sociales o cuando los datos son indexables por motores de búsqueda, el acceso se sale de la esfera personal o doméstica. De igual manera, si un usuario toma una decisión informada de ampliar el acceso más allá de los "amigos" seleccionados, las responsabilidades inherentes a un responsable de datos se activan. Efectivamente, se aplicará el mismo régimen legal que cuando cualquier persona utiliza otras plataformas tecnológicas para divulgar datos personales en Internet. No obstante, el GT29 hace constar que, aunque la exención doméstica no se aplique, el usuario de servicios de redes sociales puede beneficiarse de otras exenciones como la exención con fines periodísticos o de expresión literaria o artística. En dichos casos, se ha de llegar a un equilibrio entre la libertad de expresión y el derecho a la privacidaD.

Por último, en tercer lugar, se encuentran aquellos supuestos en los que es preciso garantizar los derechos de terceros, particularmente en relación con datos sensibles, como los que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, la pertenencia a un sindicato o datos relativos a la salud o a la vida sexual. No obstante, se hace constar que, aun cuando se aplique la "exención doméstica", un usuario podría ser responsable de acuerdo con las disposiciones generales de la legislación civil o penal nacional en cuestión.

En este caso la publicación denunciada se efectuó en un grupo cerrado de Facebook, como consta en el informe pericial aportado por el denunciante, por lo que podría considerase que el tratamiento da datos efectuado se realizó en el marco de actividades estrictamente personales o domésticas. Sin embargo, la información publicada se refiere a la condena penal impuesta al denunciante. La publicación de esta información personal en una red social no resulta inocua para el denunciante al referirse a información de especial transcendencia o relevancia que ha de ser objeto de una adecuada protección. Por ello, siguiendo el criterio sentado por el GT29, resulta plenamente aplicable la normativa de protección datos al supuesto aquí analizado

IV Sentado lo anterior procede analizar si el tratamiento de datos del denunciante realizado por la denunciada resulta conforme con lo dispuesto en las normas de protección de datos El artículo 6 de la LOPD (LA LEY 4633/1999) dispone en su apartado primero que "El tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa". A continuación, dicho precepto en su apartado segundo establece aquellos supuestos en los que no será preciso dicho consentimiento.

Junto con estos supuestos de exención del consentimiento, debe tenerse en cuenta que si bien la LOPD (LA LEY 4633/1999) no incorpora la regla de equilibrio de intereses, recogida en el artículo 7 f) de la Directiva 95/46/CE, de 24 de octubre (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Tribunal de Justicia de la Unión Europea, en su sentencia de 24 de noviembre de 2011 (asunto Asnef, Fecemd), declaró que dicho precepto tenía efecto directo en el derecho español. Por ello, dicho artículo deberá ser tomado directamente en cuenta en la aplicación de la normativa de protección de datos de carácter personal por los Estados Miembros, y en consecuencia por esta Agencia Española de Protección de Datos, dado que como señala el Tribunal Supremo en su sentencia de 8 de febrero de 2012 "produce efectos jurídicos inmediatos sin necesidad de normas nacionales para su aplicación, y que por ello puede hacerse valer ante las autoridades administrativas y judiciales cuando se observe su trasgresión".

El referido artículo 7.f) de la Directiva 95/46/CE (LA LEY 5793/1995) dispone que el tratamiento de datos personales podrá efectuarse si "es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva".

Aunque los hechos denunciados se produjeron antes del 25 de mayo de 2018, ha de tenerse en cuenta, también, que en la actualidad resulta de plena aplicación el Reglamento (UE) 2016/679, de 27 de abril de 2016 (LA LEY 6637/2016), General de Protección de Datos (RGPD), en cuyo artículo 6.1.f) habilita el tratamiento de datos personales "necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales".

Por tanto, la existencia de un interés legítimo prevalente resulta base suficiente para la realización de un determinado tratamiento o cesión de datos. Así las cosas cabe analizar si el tratamiento de datos denunciado puede basarse en este fundamento jurídico.

Para la realización de una valoración apropiada procede citar la Sentencia del Tribunal de Justicia de la Unión Europea de 4 de mayo de 2017 que indica que "el artículo 7, letra f), de la Directiva 95/46 (LA LEY 5793/1995) fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos."

Por lo que se refiere, en primer lugar, al requisito de que se esté persiguiendo un interés legítimo, no cabe duda de que la denunciada tiene un interés en denunciar públicamente los hechos graves que ha sufrido personalmente, con la intención de evitar que puedan repetirse en el futuro y proteger su integridad física, y que este interés legítimo puede prevalecer frente al derecho fundamental a la protección de datos del denunciante.

En segundo lugar ha de considerarse que concurre el requisito de que el tratamiento de datos sea necesario, pues la comunicación pública resulta necesaria para la consecución del interés legítimo que se persigue.

Por último, en cuanto al requisito de la ponderación de los derechos e intereses en conflicto, se han de tener en cuenta las circunstancias concretas que concurren en este caso, ya que la información veraz fue publicada en un grupo cerrado de Facebook y fue retirada del grupo por la propia denunciada.

De todo lo expuesto cabe concluir que, en este caso, la comunicación de los datos del denunciante, realizado por la víctima, se encuentra justificada en la regla de la ponderación de intereses anteriormente analizada.