Resolución de la Agencia Española de Protección de Datos E-01551-2021 de 22 de marzo de 2021

Cuestión

1 / 6

Procedimiento Nº: E/01551/2021

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y

teniendo como base los siguientes

HECHOS

PRIMERO : E l Juzgado de ***COMPETENCIA.1 de ***LOCALIDAD.1...

Contestacion

1/6

? Procedimiento Nº: E/01551/2021

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y

teniendo como base los siguientes

HECHOS

PRIMERO: El Juzgado de ***COMPETENCIA.1 de ***LOCALIDAD.1 remitió

reclamación, que tiene entrada de 1 de octubre de 2020 en la Agencia Española de

Protección de Datos.

Los motivos en que basa la reclamación son los siguientes:

El Juzgado indicado inició expediente gubernativo como consecuencia de las

imágenes difundidas de menores que están en el ***INSTITUCIÓN.1 con motivo de la

festividad (?). Las fotografías fueron realizadas en el Centro a petición de la

Viceconsejería del Menor y de la Familia, en el marco de las actuaciones que se

estaban llevando de entrega de premios y condecoraciones. Las imágenes se

requieren para hacer visible que en esos centros no hay solo aspectos negativos,

tratando de potenciar aspectos que hagan cambiar de opinión a la sociedad (?) sobre

estos centros. A pesar de la buena intención del Viceconsejero, es necesario que se

consulte previamente con el Juzgado antes de proceder a la publicación de las

imágenes.

Acompaña un escrito del ***INSTITUCIÓN.1 explicando los hechos: el día 30 de julio

se recibió un mail en el centro del Viceconsejero solicitando fotografías de la entrega

de los premios y de la comida de pascua. El Centro, en cumplimiento de lo solicitado

envió algunas fotografías de la entrega de premios y la comida. Posteriormente,

tuvieron conocimiento de la difusión de las fotografías en redes sociales y medios de

comunicación. Ellos desconocían el uso de las fotografías.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), con número de referencia E/08644/2020, se dio traslado de

dicha reclamación al reclamado, para que procediese a su análisis e informase a esta

Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los

requisitos previstos en la normativa de protección de datos.

La ***FUNDACIÓN.1, que gestiona el ***INSTITUCIÓN.1, presentó escrito en el que

informaba y aportaba la documentación siguiente:

?DOCUMENTO Nº 1: Copia del Contrato Administrativo suscrito entre

***FUNDACIÓN.1 y la Dirección General del Menor y la Familia, Consejería de

Distritos, Juventud, Participación Ciudadana, Familia y Menor de ***LOCALIDAD.1, en

fecha 18/11/2016 y prorrogado hasta el 17/11/2020 para la ?Gestión del (?)? (en

adelante denominado ?***INSTITUCIÓN.1 de ***LOCALIDAD.1?) a fin de acreditar

que el tratamiento de los datos personales de los usuarios (?) en el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/6

***INSTITUCIÓN.1 de ***LOCALIDAD.1 se lleva a cabo: - por parte ***FUNDACIÓN.1

?en calidad de ENCARGADA DEL TRATAMIENTO de dichos datos?, como entidad

gestora del centro por resultar necesario para la correcta prestación de los servicios y

- por la Administración Pública ?que actúa como RESPONSABLE DEL

TRATAMIENTO de los mismos?, al ser la entidad titular del servicio. Asimismo,

interesa poner en conocimiento de la AEPD que la base jurídica que legitima el

concreto tratamiento realizado de las imágenes de los mencionados usuarios es:

El consentimiento expreso prestado por los interesados para el tratamiento de sus

datos personales para uno o varios fines específicos (de conformidad con el artículo

6.1.a) RGPD y 6 LOPDGDD).

DOCUMENTO Nº2: Copia del Informe sobre la Incidencia de Seguridad Nº 02-2020

elaborado en fecha 01 de septiembre de 2020 por la Delegada de Protección de Datos

conforme al PAP-87: ?Protocolo de Detección y Gestión de las Brechas de Seguridad?

en materia de datos personales, en el cual se relacionan y especifican: (i) las causas

que han motivado la incidencia que da originen a la reclamación con exposición de los

hechos que tuvieron lugar, las actuaciones practicadas, las personas implicadas y los

posibles afectados, así como las conclusiones a las que se llegó en la resolución del

mismo. (ii) la descripción de la posible brecha de seguridad, sus consecuencias y la

decisiones adoptadas, así como de las medidas adoptadas para contener de forma

inmediata y poner remedio a dicha incidencia y las medidas de mejora propuestas

como ?mejoras del sistema? al objeto de evitar que se pudieran producir incidencias

similares (iii)y, se adjunta como ADENDA el documento donde se registran las

evidencias de cumplimiento de las mencionadas medidas que fueron propuestas y

adoptadas por ***FUNDACIÓN.1 gestionándose como ?mejoras del sistema?

establecido por la Fundación (indicando las fechas de implantación y adjuntando los

certificados acreditativos) A efectos de acreditar el cumplimiento de la legislación en

materia de protección de datos, a dicho Informe sobre la brecha de seguridad se

incorporan como ANEXOS :

ANEXO I: Procedimiento PAP-23: ?Normas de Seguridad de la Información? donde se

describen las Normas de Seguridad de la información, obligaciones y

recomendaciones en materia de seguridad que son de obligado cumplimiento para

todo el personal de la Fundación.

ANEXO II: Modelo del consentimiento libre, específico, inequívoco e informado que

firman todos los usuarios a su entrada al Centro para el tratamiento de sus datos. Y,

más concretamente, los consentimientos de los 3 usuarios que participaron en las

actividades y que podrían resultar afectados por ser identificables en los cuales se

autoriza expresamente la toma de imágenes en las actividades llevadas a cabo en el

***INSTITUCIÓN.1 de ***LOCALIDAD.1, su difusión en redes sociales y posible

cesión a entidades públicas y donde figura ***FUNDACIÓN.1 como entidad

ENCARGADA DEL TRATAMIENTO y la Dirección General del Menor y La Familia,

Consejería de Distritos, Juventud, Participación Ciudadana, Familia y Menor de

***LOCALIDAD.1 como RESPONSABLE DEL TRATAMIENTO.

ANEXO III: El informe interno, elaborado el 3 de agosto por D.ª A.A.A., Directora del

***INSTITUCIÓN.1 de ***LOCALIDAD.1, (al que se incorpora el e-mail recibido por

parte del Viceconsejero, el 30 de julio).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/6

ANEXO IV: Requerimiento del Juzgado de ***COMPETENCIA.1 de ***LOCALIDAD.1

recibido mediante fax, en fecha 20 de agosto.

ANEXO V: El Oficio, de fecha 25 de agosto, de contestación por parte de la Dirección

del Centro al antedicho requerimiento.

Asimismo, se suministra la siguiente información que se puede considerar relevante

por estar relacionada la reclamación con la publicación de datos personales

(imágenes) en Internet:

Datos de la cuenta utilizada para la publicación: Las imágenes fueron publicadas en el

perfil de la Red Social ?Facebook?.

- Política de privacidad de ***FUNDACIÓN.1 e información proporcionada al usuario a

la que se puede acceder en el siguiente enlace URL de la página web: ***URL.1

- Documento justificativo del consentimiento de los afectados para la publicación: que

han quedado incorporados en el ANEXO II.

- Justificación de la eliminación de la información: La Dirección del Centro, haciendo

uso de los medios a su alcance, pudo corroborar el borrado de la publicación por parte

del Viceconsejero, sin que resulte posible su justificación documental de otro modo al

no tener competencia ni disponer de los medios técnicos para ello.

Por último, una vez aportada la documentación que se indica y suministrada toda la

información requerida, a modo de conclusión, interesa resaltar que la decisión

adoptada a propósito de esta reclamación se ha de considerar conforme a la

normativa de aplicación en materia de protección de datos, teniendo en cuenta los

siguientes extremos:

Que el tratamiento de las imágenes de los usuarios efectuado por parte de

***FUNDACIÓN.1 se realizó en su condición de entidad Encargada del Tratamiento y

siguiendo indicaciones de la Administración Responsable de dicho Tratamiento.

Que dicho tratamiento estaba legitimado conforme a los consentimientos expresos de

los menores que pudieran resultar afectados.

Por ello, se concluye que la actuación de la Dirección del centro ha de considerarse

adecuada en tanto que se limitó a realizar el tratamiento de las imágenes que estaba

amparado por el antedicho consentimiento y cederlas a la Viceconsejería en

cumplimiento de la relación derivada del contrato administrativo suscrito con Dirección

General Del Menor y La Familia, Consejería De Distritos, Juventud, Participación

Ciudadana, Familia y Menor de ***LOCALIDAD.1, desconociendo el posible uso que

de las mismas se pudiera dar con posterioridad y no siéndole, por tanto, imputable a

su actuación.

Informan de los nombres y apellidos de los tres menores que eran identificables y de

los consentimientos firmados por sus tuteladores o representantes, acompañando los

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/6

consentimientos firmados para la difusión de sus fotografías en redes sociales, así

como su cesión a entidades públicas con esa misma finalidad.

No se ha recibido contestación de la Dirección General del Menor y la Familia.

TERCERO: Con fecha 1 de febrero de 2021, la Directora de la Agencia Española de

Protección de Datos acordó admitir a trámite la reclamación presentada por el

reclamante.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento

General de Protección de Datos, en adelante RGPD), reconoce a cada Autoridad

de Control, y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en adelante, LOPDGDD), la Directora de la Agencia Española

de Protección de Datos es competente para iniciar y resolver este procedimiento.

El artículo 63.2 de la LOPDGDD determina que: «Los procedimientos tramitados por la

Agencia Española de Protección de Datos se regirán por lo dispuesto en el

Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos.»

II

La imagen física de una persona, a tenor del artículo 4.1 del RGPD, es un dato

personal y su protección, por tanto, es objeto de dicho Reglamento.

El artículo 4.2 del RGPD, define «tratamiento» como: ?cualquier operación o conjunto

de operaciones realizadas sobre datos personales o conjuntos de datos personales,

ya sea por procedimientos automatizados o no, como la recogida, registro,

organización, estructuración, conservación, adaptación o modificación, extracción,

consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de

habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.?

El incluir imágenes, que identifican o hacen identificable a una persona, en medios de

comunicación o redes sociales accesibles supone un tratamiento de datos personales

y, por tanto, la persona física o jurídica que lo realiza tiene que ampararse en alguna

de las causas legitimadoras señaladas en el artículo 6 del RGPD. En estos supuestos,

como en el caso objeto de reclamación, la única causa legitimadora suele ser el

consentimiento, en general. Y es la persona que sube las imágenes a una red social o

las facilita a medios de comunicación la que debe demostrar que cuenta con ese

consentimiento.

Para que se pueda llevar a cabo lícitamente ese tratamiento tiene que cumplirse lo

establecido en el artículo 6.1 del RGPD, que indica:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/6

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el

interesado es parte o para la aplicación a petición de este de medidas

precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal

aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o

de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en

interés público o en el ejercicio de poderes públicos conferidos al responsable del

tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre

dichos intereses no prevalezcan los intereses o los derechos y libertades

fundamentales del interesado que requieran la protección de datos personales, en

particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al

tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.>>.

III

Tras la información y documentación facilitada por la ***FUNDACIÓN.1 se ha

constatado que los representantes de los tres menores, cuyas imágenes les

identificaban o hacían identificables, habían firmado un documento consintiendo

expresamente que sus imágenes podían difundirse en redes sociales. Por tanto,

cumplían con una circunstancia que hacía lícito el tratamiento con la finalidad de

difundir entre la sociedad las actuaciones que se llevan a cabo en los centros de

menores.

Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de

Protección de Datos, SE ACUERDA:

PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.

SEGUNDO: NOTIFICAR la presente resolución al reclamante y reclamados.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/6

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, y de conformidad con lo establecido en los

arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán

interponer, potestativamente, recurso de reposición ante la Directora de la Agencia

Española de Protección de Datos en el plazo de un mes a contar desde el día

siguiente a la notificación de esta resolución o directamente recurso contencioso

administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,

con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición

adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción

Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente

a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

940-0419

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es