Usar el nombre de otra persona en una publicación en un foro electrónico podría resultar en una multa. Una sentencia histórica.
¿Puede la actividad en línea y la publicación de datos de otras personas en una conversación en una red social, incluso en una privada, causar problemas legales? Resulta que sí. Así lo confirma una sentencia histórica del Tribunal Supremo Administrativo (NSA) sobre el RGPD.
Reveló el nombre de la esposa del alcalde y su código de vacunación contra la COVID-19. ¿Infringe esto el RGPD?La controversia se inició a raíz de una denuncia por una infracción de la normativa de protección de datos personales. En noviembre de 2021, una mujer alertó a la Oficina de Protección de Datos Personales (UODO) de que un usuario de Facebook llevaba un mes publicando en un grupo con más de 6100 miembros una publicación que revelaba ilegalmente su nombre y apellidos junto con sus datos médicos, incluyendo un código QR que confirmaba su vacunación. La mujer exigió la eliminación de la información y la sanción del responsable.
El presidente de la Oficina de Protección de Datos Personales (UODO) se tomó el asunto en serio y solicitó una explicación. El hombre la presentó, pero se declaró inocente. En su opinión, no había procesado ningún dato personal. Explicó que había obtenido el código QR original de la vacuna contra la COVID-19 del sitio web público del alcalde, quien, en secreto, era el esposo de la mujer.
El hombre lo leyó por motivos personales, como votante y residente, con la curiosidad de saber si el alcalde, figura pública, había publicado su código para confirmar su vacunación. Tras escanearlo con una aplicación gratuita recomendada por el Ministerio de Salud, resultó que el certificado no estaba emitido a nombre del alcalde. Entonces, actuando en interés público y de buena fe, decidió hacerlo público de forma que fuera imposible de leer en una discusión en línea.
Sin embargo, el presidente de la Oficina de Protección de Datos Personales (UODO) no se inmutó. Concluyó que el caso infringía el RGPD y emitió una advertencia por procesar datos personales sin fundamento jurídico. Las autoridades determinaron que la denunciante había consentido la publicación de una foto de su certificado en el blog de su esposo, pero sin ningún dato personal. Se pretendía que sirviera de ejemplo. El presidente de la UODO señaló que la información que se puede obtener mediante un escáner de certificados cumple con la definición de datos personales, incluidos los datos sensibles.
La persona amonestad se negó a aceptar este giro de los acontecimientos. Apeló, pero perdió. Inicialmente, el Tribunal Administrativo Provincial (TSP) de Varsovia falló en su contra. No tenía ninguna duda de que el caso implicaba el procesamiento (divulgación) de datos personales, incluida información sanitaria, sin fundamento jurídico.
Finalmente, el Tribunal Supremo Administrativo sentenció la derrota del hombre. No le convenció el argumento de que las actividades en disputa eran de naturaleza puramente personal o doméstica, a las que no se aplica el RGPD.
No hay uso privado en un foro cerrado en FBSegún el Tribunal Supremo Administrativo, la publicación de datos personales en las plataformas privadas de redes sociales de Facebook no constituye el tratamiento de datos personales por parte de una persona con fines exclusivamente personales o domésticos. Esto se aplica a situaciones en las que quien publica datos personales no es el administrador de la comunidad en cuestión ni selecciona personalmente a sus participantes, sino que simplemente se une a ella. Los demás miembros del grupo no tienen la facultad de presentar una objeción vinculante a su solicitud de unirse a la comunidad.
El Tribunal Supremo Administrativo enfatizó que crear una cuenta en una red social, enviar notificaciones o unirse a un grupo específico no constituye una declaración de intención a un grupo indeterminado de usuarios respecto al posterior tratamiento de datos. Esto también aplica al tratamiento de datos personales dentro de grupos cerrados de redes sociales, es decir, al tratamiento de datos publicados por un solo usuario en su cuenta. La sentencia es firme.
número de referencia del expediente: III OSK 1101/24La sentencia comentada del Tribunal Supremo Administrativo es muy importante y podría tener un impacto significativo en la aplicación práctica del RGPD. Se refiere a la actividad generalizada en redes sociales, incluidos los grupos cerrados, y debería servir de advertencia contra la publicación descuidada de datos personales en ellas. Por lo tanto, cabe recordar que una situación en la que una persona no aplica el RGPD porque trata datos personales como parte de actividades de carácter puramente personal o doméstico constituye una excepción al principio de aplicación del RGPD en el ámbito del tratamiento de datos. Y las excepciones, como sabemos, deben interpretarse de forma estricta. Por lo tanto, celebro la postura del Tribunal Supremo Administrativo, que una vez más pone fin a lo que considero una definición demasiado amplia de esta excepción. Al fin y al cabo, ¿dónde queda el propósito personal, por no hablar del propósito doméstico, al publicar datos personales en un foro cerrado si no tenemos control sobre quién participa en dicho foro? Mientras tanto, como indica el RGPD en el considerando 18 del preámbulo, las actividades personales o domésticas incluyen, entre otras, el mantenimiento de vínculos sociales que no existen entre miembros del foro que no se conocen.
RP
