Antecedentes y alegaciones del denunciado

En abril de 2018 la Agencia Española de Protección de Datos (AEPD) sancionó a un particular con multa de dos mil euros por grabar con su móvil, desde su casa, a un policía que estaba realizando una actuación en la calle, y difundirla a través de WhastApp sin tener el consentimiento necesario para ello.

Según se relata en la Resolución de la AEPD, el particular fue advertido de que “no podía grabar imágenes”, a lo que hizo caso omiso, y, según consta en los hechos probados en la citada Resolución “distribuyó posteriormente dichas imágenes a través de la red de mensajería WhatsApp”.

Estos hechos fueron denunciados, el 17 de mayo de 2017, por la Policía Local del Ayuntamiento de La Font de la Figuera, a la AEPD. El procedimiento sancionador se inició, el 7 de diciembre de 2017, por una presunta infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que quedó desplazada por el Reglamento General de Protección de Datos (RGPD) desde el 25 de mayo de 2018.

Cabe señalar que, según se indica en el Antecedente segundo de la Resolución de la AEPD, en el acuerdo de apertura del procedimiento sancionador “se determinó que, de acuerdo con las evidencias obtenidas con anterioridad a dicha apertura, la sanción que podría corresponder por la infracción descrita sería de 2.000 euros (dos mil euros), sin perjuicio de lo que resulte de la instrucción.” Y tras estimar en este caso que se había infringido el artículo 6.1 de la LOPD, el denunciado fue sancionado con dicha multa por una infracción, tipificada como grave en el artículo 44.3.b) de la LOPD, consistente en “b) Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”

Según se indica en la Resolución de la AEPD, el denunciado, en lo fundamental, alegó que se trataba de “unas grabaciones que se realizaron de una agresión machista, que se venía desarrollando de forma continuada durante todo el día, en distintas vías públicas del municipio, así como algunas imágenes del Policía Local que se encontraba desarrollando sus competencias profesionales durante una agresión calificable de violencia de género.” Y además que la advertencia policial de que no podía grabar “no se produjo en ningún momento”.

Otra de las alegaciones del denunciado se refería a que “La finalidad de la grabación no fue la de obtener beneficio alguno, ni ningún otro interés espurio, al contrario, esta parte siempre pensó que su grabación podría ser utilizada por la víctima de la agresión posteriormente en juicio, en ningún momento esta parte fue consciente de la posible vulneración, que su conducta podría estar realizando, y únicamente pensaba en obtener un medio de prueba (…)”.

Además, entre las alegaciones que se recogen en la Resolución de la AEPD, consta también que “si bien es cierto que no consta de forma expresa el consentimiento de los sujetos grabados, lo cierto es que el mismo no era necesario en tanto que nos encontramos con hechos ocurridos en la vía pública y en los que interviene un funcionario en el ejercicio de sus funciones, las cuales no están especialmente protegidas por no requerir anonimato”. A lo que se suma también el intento de defensa basado en el “ejercicio de la libertad de expresión y de información”.

Es decir, el denunciado centró sus alegaciones que se trató de una grabación hecha en vía pública a, entre otros, los policías que estaban realizando su trabajo; con la única finalidad de que la víctima de una agresión de violencia de género pudiera contar con una prueba que fuera utilizada en juicio. Y, sin perjuicio de lo anterior, el denunciado intentó también fundamentar que su actuación estaba amparada por su derecho a la libertad de expresión e información y dado que “que son hechos ocurridos en la vía pública, merecedores de un reproche social, y en los que interviene un funcionario público, precisamente en su condición de Policía Local, en el desarrollo de las funciones inherentes a su cargo”.

En cualquier caso, lo que queda claro es que se trata de un particular que graba la imagen de un funcionario, que es también titular del derecho fundamental a la protección de datos personales, y que divulga, sin el consentimiento necesario, dicho dato personal a través de una red de mensajería, lo que implica un tratamiento de datos personales que requiere cumplir con los requisitos exigibles en virtud de la normativa aplicable.

Concepto amplio de datos personales y de tratamiento

En los Fundamentos de Derecho de la Resolución, la AEPD comienza haciendo referencia al objeto de la LOPD, que es el relativo a “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”, y se centra en los conceptos de datos personales y de tratamiento, sobre la base de las definiciones dadas en aquélla y en su Reglamento, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Por lo que se refiere al concepto de datos personales, considerando la definición dada en la LOPD y en su Reglamento, se trata de un concepto muy amplio. En este sentido, el legislador español, en la LOPD, siguió la aproximación del legislador europeo en la ya derogada, desde el 24 de mayo de 2018, Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El hecho de que se trate de una definición amplia se debe a que lo que se quiere garantizar es que la persona física sea protegida de manera efectiva. Es decir, de lo que se trata es de garantizar el derecho fundamental a la protección de datos personales. Sobre esta cuestión, el Grupo de trabajo del artículo 29 (integrado desde el 25 de mayo de 2018 en el Comité Europeo de Protección de Datos), explicó ya que la definición de datos personales en la Directiva 95/46/CE “refleja la intención del legislador europeo de mantener un concepto amplio de «datos personales» a lo largo de todo el proceso legislativo”, si bien “a pesar de la amplitud de los conceptos de «datos personales» y de «tratamiento» utilizados en la Directiva, el simple hecho de que pueda considerarse que una determinada situación implica el «tratamiento de datos personales» con arreglo a la definición no determina por sí solo que esa situación esté cubierta por las normas” sobre protección de datos (Dictamen 4/2007 sobre el concepto de datos personales, WP 136, adoptado el 20 de junio, págs. 4 y 5).

La Resolución de la AEPD, mencionando el Considerando 14 de la Directiva 95/46/CE, que explica que la imagen es un dato personal, incide en que el “concepto de dato personal no puede ser más amplio” e incluso cita la sentencia de la Audiencia Nacional de 8 de marzo de 2002 en la que se indica que “no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados”.

Es decir, cuando la imagen de una persona física permite identificarla o la hace identificable, y siempre obviamente que se lleve a cabo su tratamiento sin que concurra alguna excepción, será aplicable la normativa sobre protección de datos. Estaremos, por tanto, ante el derecho fundamental a la protección de datos personales, que es independiente del derecho fundamental a la intimidad y a la propia imagen que es objeto de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad y a la propia imagen. En este sentido, la LOPD, desplazada ahora por el RGPD, y la citada Ley Orgánica 1/1982 son normas relativas a derechos fundamentales independientes.

Fue la sentencia 290/2000, de 30 de noviembre, del Tribunal Constitucional la que estableció claramente la diferencia entre el derecho a la intimidad y a la protección de datos personales al indicar que “La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado” (Fundamento Jurídico Sexto).

Y de manera paralela, ya que fue proclamado por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea el 7 de diciembre de 2000 en Niza (Francia), la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE) incluyó separadamente los derechos fundamentales al respeto de la vida privada y familiar (art. 7) y a la protección de datos personales (art. 8).

Por lo que se refiere al caso objeto de la Resolución de la AEPD, cuando la imagen es un dato personal y es objeto de tratamiento, en los términos previstos en la normativa aplicable, será competente la AEPD en caso de que se produzca un tratamiento ilícito de los datos personales. En otro caso, es decir, cuando lo que se infrinja sea el derecho a la intimidad, incluso como consecuencia de un tratamiento de datos personales, serán competentes, en su caso, los correspondientes Juzgados y Tribunales, pero no la AEPD.

En relación con el concepto de tratamiento, sobre la base de la definición de la LOPD, la AEPD indica que “la mera captación de imágenes de las personas o su difusión a través de WhatsApp puede considerarse un tratamiento de datos personales”, lo que debe ponerse en relación con que, como señala más adelante, “consta acreditado que el denunciado divulgó a través de WhatsApp las imágenes de un miembro de la policía”.

En definitiva, y sin que ello cambie con el RGPD, sigue siendo aplicable un concepto amplio tanto de dato personal como de tratamiento, de manera que casi cualquier información relativa a una persona física que sea objeto de tratamiento, y salvo las excepciones previstas en la normativa aplicable, quedará sujeta al cumplimiento de los requisitos exigibles, debiendo prestar especial atención a la base o condición de legitimación de dicho tratamiento. No obstante, es necesario considerar siempre la proporcionalidad como clave en la aplicación de la normativa sobre protección de datos.

Tratamiento ilícito de datos personales

Sobre el consentimiento, la Resolución de la AEPD indica que la regla general, prevista en el apartado 1 del artículo 6 de la LOPD, es que para poder tratar datos personales es necesario el “consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Y a continuación señala que el apartado 2 del citado artículo “contiene una serie de excepciones a la regla general”, afirmando posteriormente que “el tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos.”

En relación con esta cuestión, es necesario tener en consideración que el RGPD ha supuesto un cambio por lo que se refiere a la interpretación en la lectura de las condiciones de legitimación del tratamiento, si bien no supone una novedad. Es necesario tener en consideración que el consentimiento, si bien sigue teniendo un especial protagonismo como condición de legitimación del tratamiento, es una más de estas bases o condiciones de legitimación del tratamiento de los datos personales. Es decir, no puede leerse ni entenderse ya que se trata del consentimiento o de una excepción al mismo, sino que el tratamiento de los datos personales se lleve a cabo sobre la base del consentimiento o de otra de las condiciones de legitimación previstas.

Basta ver al respecto, por una parte, el artículo 6 del RGPD que lista todas las condiciones de legitimación del tratamiento de los datos personales, entre las que se encuentra el consentimiento, y, por otra parte, acudir de nuevo al artículo 8 de la CDFUE, que se refiere a que los datos personales se tratarán “sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”. Y en ninguno de los dos casos se menciona que sea el consentimiento o una excepción al mismo, sino que el tratamiento, para ser lícito, requiere de una condición de legitimación.

Aplicado al presente caso, lo que no cabe duda es de que “consta acreditado que el denunciado divulgó a través de WhatsApp las imágenes de un miembro de la policía, sin consentimiento del mismo”. Y de nuevo la AEPD subraya expresamente el hecho de que el denunciado divulgase las imágenes por WhatsApp, lo que supone un tratamiento ilícito de los datos personales.

La AEPD se refiere también, recurriendo a su Informe Jurídico 77/2013, a que no cabe aplicar la excepción relativa al “ejercicio de actividades exclusivamente personales o domésticas” cuando un particular capta imágenes o vídeos de empleados públicos, subrayando este último término, ya que ello excede el ámbito de la esfera íntima o doméstica.

Al respecto, cabe tener en consideración que el Tribunal de Justicia de la Unión Europea (TJUE) se han pronunciado hasta en dos ocasiones sobre este tipo de tratamientos de datos por particulares. La primera, en el caso Lindqvist, asunto C-101/01, indicando en su sentencia que “esta excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares” (apartado 47). Y la segunda, en el caso Ryneš, asunto C-212/13, el TJUE se pronuncia sobre un caso en el que el uso por un particular de una videocámara con fines de videovigilancia de su casa “se extiende, aunque sea en parte, al espacio público, abarcando por ello una zona ajena a la esfera privada de la persona que procede al tratamiento de datos valiéndose de ese medio, tal vigilancia por videocámara no puede considerarse una actividad exclusivamente «personal o doméstica»”.

Debe tenerse en consideración que el derecho fundamental a la protección de datos, salvo que aplique alguna de las excepciones previstas en la normativa aplicable o que sea aplicable alguna otra norma que establezca algún límite a dicho derecho, ya que no se trata de un derecho absoluto, es un derecho de toda persona física, con independencia de que sea un particular, un consumidor, un usuario o un funcionario.

Con respecto a la sanción, la AEPD, en virtud de la posibilidad excepcional de graduar la sanción y considerando que “el denunciado es un particular no habituado al tratamiento de datos personales”, decidió imponer una sanción que se corresponde con “la escala de sanciones que precede inmediatamente en gravedad”. Es decir, en lugar de imponer una sanción que habría sido, como mínimo, de cuarenta mil euros (40.000 €), la graduó imponiendo únicamente dos mil euros (2.000 €). Habrá que esperar a ver las primeras resoluciones que la AEPD o cualquier otra autoridad nacional de protección de datos imponga a un particular en virtud del Reglamento General de Protección de Datos.

En cualquier caso, lo que queda claro es que el tratamiento de datos personales por un particular, cuando excede del ámbito exclusivamente personal o doméstico, lo que ocurre si, por ejemplo, los datos personales se divulgan a través de una red de mensajería como en el presente caso o también a través de Internet, queda sujeto a la normativa sobre protección de datos de manera que tiene que cumplir con todos los requisitos aplicables para el tratamiento lícito y leal.