La facilidad que la tecnología actual y las conexiones a internet dan para compartir todo tipo de contenidos en unos pocos clics o pasos, y sin ni siquiera necesitar un ordenador para ello, han hecho que compartir datos o información personal de terceros con otros también sea muy fácil, tengamos o no el consentimiento pero para ello. Pero ¿debemos tener en cuenta la normativa de protección de datos al facilitar datos personales de terceros cuando lo hacemos a título personal? Para resolver esta duda analizamos la denominada excepción doméstica en protección de datos.
En este artículo hablamos de:
¿Qué es la excepción doméstica en protección de datos?
La excepción doméstica en protección de datos hace referencia al tratamiento y la protección de datos entre particulares, es decir, cuando nosotros, como personas físicas particulares, realizamos algún tratamiento de datos personales de terceros, por ejemplo, cuando subimos una foto con nuestros amigos a redes sociales o creamos y mantenemos la agenda de contactos en nuestro móvil.
El RGPD recoge la excepción doméstica en su artículo 2.2.c, que nos dice que:
El presente Reglamento no se aplica al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
Y el considerando 18 concreta que el Reglamento «no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades».
Por lo tanto, cuando como particulares tratamos datos personales de otras personas, siempre que lo hagamos dentro del ámbito personal o doméstico, ni el RGPD ni la LOPDGDD (que también contempla esta excepción doméstica) son de aplicación.
Sin embargo, y cómo vamos a ver en los siguientes puntos, teniendo en cuenta la capacidad que tienen las redes sociales y otros sitios online, como páginas web o blogs, de llegar a una gran cantidad de público o a un número indeterminado de personas que no tienen relación siempre con nuestra esfera privada, la excepción doméstica puede resultar no ser de aplicación y sí serlo la normativa de protección de datos.
¿Cuándo NO se aplica la excepción doméstica en el tratamiento de datos entre particulares?
De forma concisa, la excepción doméstica en el tratamiento de datos personales entre particulares no se aplica, cuando la actividad excede ese ámbito personal o doméstico, es decir, cuando los datos o información personal pueden quedar al acceso de un número indeterminado o indefinido de personas, que sobrepasan la esfera privada y cercana de los interesados.
Para entenderlo mejor, lo explicamos con un ejemplo. Si sacamos una fotografía de una reunión de amigos y esta la subimos a nuestro perfil en una red social y dicho perfil es privado (es decir, solo pueden acceder a él nuestros contactos), el RGPD no es de aplicación. Pero si nuestro perfil es público y cualquier usuario de la red social puede ver lo que publicamos en él, entonces la excepción doméstica podría no ser de aplicación y para publicar la foto, necesitaríamos del consentimiento de las personas que aparecen en ella.
Lo mismo ocurre con un vídeo en el que aparecen personas que puedan ser identificables y que hayamos subido a nuestro canal de YouTube, de manera pública.
En realidad, en muchos casos la aplicación o no de la excepción doméstica debe verse caso a caso, pero debemos tener muy presente que difundir datos personales sin consentimiento, si esos datos se difunden en una plataforma a la que puedan acceder un número indeterminado de personas o usuarios, puede suponer una vulneración del RGPD y la LOPDGDD, incluso si quien la realiza es una persona física a título personal.
Así mismo, tampoco sería de aplicación la excepción doméstica cuando los datos personales se publican en una página web o blog, por muy personal o amateur que sean, ya que cualquier persona o entidad podría tener acceso a ellos.
Lo mismo ocurre con los datos de categorías especiales (artículo 9 del RGPD), ya que su difusión pública podría, además, suponer una lesión de los derechos y libertades fundamentales de los interesados, si estos no los han hecho públicos antes.
Cabe señalar, además, que difundir datos personales sin consentimiento en España puede ser incluso constitutivo de delito, tal y como se recoge en el artículo 197 del Código Penal, puesto que se podrían estar vulnerando el derecho al honor, la intimidad y la propia imagen.
¿Puede un particular ser sancionado por protección de datos?
Teniendo en cuenta que hay supuestos en los que la excepción doméstica en protección de datos no es de aplicación, la respuesta es sí, un particular puede ser sancionado por la AEPD (o la correspondiente autoridad de control de su país), si difunde datos de carácter personal sin el consentimiento de los interesados, cuando la difusión se hace a través de medios o plataformas a las que puede acceder un número indeterminado de gente, al ser de acceso público.
Las sanciones aplicables a particulares por vulnerar la normativa de protección de datos, son las mismas que para personas jurídicas, es decir, de hasta 20 millones de euros para las infracciones más graves, si bien es cierto que en caso de particulares, es posible que no se llegue a esa cantidad, las multas pueden seguir siendo elevadas.
Ejemplos de sanciones por protección de datos a particulares
En España, con el RGPD y la LOPDGDD ya en vigor, tenemos un ejemplo de sanción por protección de datos a particulares, en concreto la resolución del procedimiento PS/00334/2019, que le impuso una sanción de 10.000 euros a un particular por infringir los artículos 6.1.a y 83.5.a del RGPD. En este caso, el sancionado publicó en su estado de WhatsApp fotografías íntimas y capturas de conversaciones de una mujer y otra persona, sin el consentimiento de estas ni su conocimiento, imágenes que había sustraído de un pendrive que a la mujer le había desaparecido. Además, las imágenes iban acompañadas de comentarios vejatorios y denigrantes.
Otro ejemplo de sanción por vulneración de protección de datos a una particular, lo tenemos en el PS/00521/2021, en el que se imponía una multa de 1.500 euros a una mujer por vulnerar el artículo 83.5 del RGPD. En este caso, la mujer había instalado una cámara de videovigilancia que enfocaba al patio de acceso a la vivienda que compartía con su exmarido (ella vivía en la parte superior del inmueble y él en la inferior). A efectos de la resolución sancionadora de la AEPD, ese patio de acceso se considera zona común, en tanto en cuanto ya no hay una relación familiar entre las personas que viven en el inmueble, y era necesario el consentimiento del hombre para poder instalar la cámara apuntando al patio.
Finalmente, vemos como último ejemplo de sanciones a particulares por vulneración de protección de datos, la sentencia del TJUE que ha servido como precedente para los casos posteriores. Nos referimos a la conocida como Sentencia Lindqvist, que en 2003 ya estableció que publicar datos personales en una página web personal, constituía un tratamiento de datos que sobrepasaba la excepción doméstica (en aquel entonces, recogida en la Directiva 95/46). En este caso, una catequista sueca publicó en su página web los nombres, números de teléfono y otra información relativa a sus condiciones de trabajo y aficiones de varios de sus feligreses. El TJUE entendió que al publicar en una página web estos datos, quedaban a disposición de cualquier persona que accediera a ella y, por tanto, la excepción doméstica no era de aplicación.
En definitiva, aunque en la mayoría de los casos, cuando tratamos los datos personales de nuestros amigos, familiares y otros conocidos, lo hacemos dentro del ámbito personal o doméstico y no debemos preocuparnos de la normativa de protección de datos, debemos ser conscientes de en dónde y cómo publicamos a veces esos datos, ya que si lo hacemos en un medio o plataforma a la que puedan acceder un número indeterminado de personas, más allá de nuestro círculo de contactos, deberíamos pedir el consentimiento de los afectados antes de publicar nada.