Multa a una tienda de trajes de novia por publicar una foto en Instagram
El 21 de mayo de 2022, la directora de la AEPD formuló propuesta de resolución para imponer una multa a una tienda de trajes de novia por publicar una foto en Instagram. El comercio (TNN) «colgó» la imagen de la reclamante (BA) en esta red social sin su consentimiento. En la instantánea, BA aparece vestida con su traje de boda. El traje había sido elaborado por TTN. La multa asciende a 10.000 €.
La AEPD funda la resolución en la Ley Orgánica 3/2018, de Protección de Datos personales y garantía de los derechos digitales. La LO 3/2018 faculta a la AEPD para la aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. El Reglamento regula la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Se entiende infringido el art. 6 del Reglamento.
La controversia
Para lograr que se procediese a su abono –no realizado–, TTN publicó en Instagram una foto de BA vestida con su traje de boda. Como se ha dicho, la entidad TTN había confeccionado el vestido. La foto se publicó durante una hora y se retiró cuando la reclamante pagó el vestido nupcial. La entidad reclamada alega que la reclamante había colgado la foto con carácter previo. Adicionalmente, aduce que, cuando la parte reclamada colgó tales imágenes, «anonimizó» su rostro.
La controversia se desdobla en dos cuestiones interrelacionadas. La primera es si BA prestó su consentimiento. La segunda, si la imagen publicada por TTN es identificable.
La norma vulnerada
El consentimiento
Con respecto a la cuestión del consentimiento, la AEPD alude en primer término al art. 6.1 de la LO 3/2028, de protección de datos. Este precepto dispone que, de conformidad con el art. 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del interesado lo siguiente. Toda manifestación de voluntad libre, específica, informada e inequívoca en virtud de la cual este acepta –de palabra o a través de actos claros– el tratamiento de datos personales que le conciernen.
Por su parte, el inciso 1 del art. 6 del Reglamento (UE) 2016/679 establece:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interésn público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero […]»
La posibilidad de identificar la imagen
No existe una disposición en el Reglamento (UE) 2016/679 que aluda explícitamente a la posibilidad de identificar los datos (en este caso, la imagen). No obstante, la parte reclamada apela al Considerando 26 del Reglamento.
El primer párrafo del Considerando dispone: «Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable». El considerando 26 establece, como principio general, que los principios de protección de datos no deben aplicarse a los datos personales «seudonimizados» o anonimizados ni a la información anónima.
Por lo que respecta a la identificación de personas, el repetido Considerando establece que para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios. Entre ellos, la singularización que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.
Argumentos de la AEPD para justificar la imposición de la multa a una tienda de trajes de novia por publicar una foto en Instagram
Sobre el consentimiento
En relación con el consentimiento de la reclamante, la AEPD se pronuncia en estos términos. En primer lugar, señala que la falta de pago (véase supra) no legitima a los reclamados para utilizar la imagen del reclamante si no cuenta con su consentimiento expreso. Por tanto, considera que se ha incurrido en un tratamiento ilícito de datos personales.
En segundo lugar, agrega que no pueden ser objeto de tratamiento los datos personales obtenidos de una red social o de internet. Ello solo es posible, prosigue la AEPD, si concurre alguna de las bases legitimadoras del artículo 6 del Reglamento (UE). A juicio de la AEPD, no es el caso, dado que la reclamada ni siquiera trató de obtener el consentimiento de la reclamante. Este incumplimiento supone una infracción del artículo 6 del Reglamento (UE) y justifica la imposición de la multa.
Sobre la posibilidad de identificar la imagen
La entidad reclamada alega que, en la foto, la parte reclamante tiene la cara totalmente tapada por un circulo negro. Manifiesta asimismo que publica sus diseños en Instagram desde 2014 y que la base que legitima el tratamiento es el «interés legítimo». Y agrega el argumento ya expuesto arriba: la foto se publicó sin anonimizar solo durante una hora y se anonimizó cuando la novia pagó su traje de boda.
Sobre este extremo, La AEPD declara sucintamente que, aun durante una hora, las imágenes sí eran identificables. Justamente, añade, fueron publicadas en Instagram «con la finalidad de cobrar por las ventas efectuadas». Y vuelve a la cuestión del consentimiento: la reclamada no intentó recabar el consentimiento porque consideró que tenía «interés legítimo» en el tratamiento de la imagen.
Por lo que respecta al ilícito administrativo, la AEPD califica la infracción como muy grave ex arts. 72.1 b) de la LO 3/1018 y 83.5 del Reglamento (UE). La determinación de la cuantía multa se basa en los arts. 83.1 y 83.2 del Reglamento (UE).
Enlaces externos: Agencia Española de Protección de Datos
Enlaces internos: Tirant lo Blanch