Resolución de la Agencia Española de Protección de Datos PS-00558-2022 de 28 de agosto de 2023

Cuestión

Expediente N.º: EXP202204530

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 08/03/2022, tuvo entrada en esta Agencia una reclamación

presentada...

Contestacion

1/9

? Expediente N.º: EXP202204530

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 08/03/2022, tuvo entrada en esta Agencia una reclamación

presentada por A.A.A. (en adelante, la parte reclamante) por un posible

incumplimiento de lo dispuesto en la normativa de protección de datos de carácter

personal.

El escrito de reclamación es una reproducción de una denuncia presentada por la

parte reclamante en la que señala lo siguiente:

?Denuncia por difusión masiva de video grabado sin consentimiento de la víctima, en

redes sociales (Facebook, Instagram,etc) y whatsapp.

[?]

PRIMERO.- El pasado día 6 de enero de 2022 alrededor de las 3h se encontraba en la

***DIRECCIÓN.1, con su perro (?). Mi representado (?) se encontró bastante

indispuesto debido, a la probable ingesta de bebidas alcohólicas por lo que se tuvo

que parar (?).

SEGUNDO.- Posteriormente y debido al video que ahora indicaremos, al parecer una

persona desconocida se acercó con su vehículo conduciendo y con su móvil desde el

asiento del conductor, sin consentimiento de mi representado, grabó en la citada vía

pública a mi representado durante un período de grabación de 1 minuto y 35

segundos (?).

En el mismo se observa claramente como el conductor del vehículo se acerca con el

vehículo y graba mi representado con evidente mala fe, hasta tal punto que le dice (se

transcribe parte de lo que se dice en el vídeo).

En la imagen se observa claramente como mi representado se encontraba en muy

malas condiciones físicas por lo descrito anteriormente, sujetándose a la papelera.

Entendemos que la actitud del que graba el video es del todo desconsiderada y

desproporcionada, riéndose y mofándose de D. A.A.A., sin causa alguna, y ni siquiera

se ofrece para prestarle ayuda ante tal situación, omitiendo toda ayuda posible.

En el video es evidente que se aprecia la cara de mi representado, siendo

perfectamente reconocible. Mi representado no es una persona pública.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/9

TERCERO.- El citado video ha sido difundido y divulgado por el autor, y más personas

desconocidas, en un principio por aplicación whatsapp tanto a usuarios de manera

individual como a grupos de whatsapp, pero se ha publicado y difundido por redes

sociales: Facebook, Instagram, Twitter y youtube; hasta el punto que ha tenido una

repercusión en todo el territorio nacional (?).

Se deja links de las difusiones de distintas redes sociales y de personas que han

llevado a cabo la difusión masiva (?)

SEGUNDO: Con fecha 19/04/2022, de conformidad con el artículo 65 de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en adelante, LOPDGDD), se admitió a trámite la reclamación

presentada por la parte reclamante.

TERCERO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de las funciones asignadas a las autoridades de control en el

artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

Tras haber realizado requerimiento de supresión del contenido aun publicado a la

parte reclamada, en fecha 06/05/2022 y 07/06/2022, el contenido solo fue eliminado de

la dirección de la red social FACEBOOK ***URL.1. Asimismo, en fecha 07/07/2022, se

emitió acuerdo de adopción de medida provisional por el que se requiere a la parte

reclamada la retirada y bloqueo del contenido denunciado.

En respuesta a la medida cautelar de retirada urgente emitida el 17/08/2022 al

prestador del servicio de la red social FACEBOOK, en fecha de 12/09/2022 se

comprueba que el vídeo señalado en la reclamación en la dirección de internet

***URL.2 ha sido eliminado.

CUARTO: Con fecha 23/12/2022, la Directora de la Agencia Española de Protección

de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a

lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del

procedimiento Administrativo Común de las Administraciones Públicas (en adelante,

LPACAP), por la presunta infracción del artículo 6.1 del RGPD, tipificada en el artículo

83.5.a) del RGPD.

El acuerdo de inicio se notificó a la parte reclamada a través de correo postal el

17/01/2023, como consta en el acuse de recibo que obra en el expediente.

Transcurrido el plazo otorgado para la formulación de alegaciones, esta Agencia no ha

recibido alegación alguna por la parte reclamada.

QUINTO: Con fecha 08/05/2023, el órgano instructor elaboró una propuesta de

resolución en la que se proponía sancionar con una multa de 10.000,00? a la parte

reclamada, por la infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a)

del RGPD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/9

La propuesta de resolución se notificó a la parte reclamada a través de correo postal el

05/06/2023, como consta en el acuse de recibo que obra en el expediente.

Transcurrido el plazo otorgado para la formulación de alegaciones, esta Agencia no ha

recibido alegación alguna por la parte reclamada.

HECHOS PROBADOS

PRIMERO: El 07/01/2022 la parte reclamada publica en su perfil de Facebook, bajo el

título ?***TÍTULO.1?, un vídeo de la parte reclamante, sin su consentimiento, en el que

aparece en evidente estado de embriaguez. La duración del vídeo es de un minuto y

treinta y cinco segundos.

SEGUNDO: El 20/04/2022 se comprueba que, de todos los enlaces informados por la

parte reclamante, el vídeo objeto de reclamación solo está disponible en el perfil de

Facebook de la parte reclamada. En concreto, en las siguientes direcciones de

internet:

- ***URL.1

- ***URL.2

TERCERO: El 12/09/2022 se comprueba que META PLATFORMS IRELAND LIMITED

(a través de FACEBOOK SPAIN, S.L.) ha eliminado el vídeo en cuestión de la red

social Facebook y, en concreto, de los enlaces señalados arriba.

FUNDAMENTOS DE DERECHO

I

Competencia y normativa aplicable

De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de

control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD,

es competente para iniciar y resolver este procedimiento la Directora de la Agencia

Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Cuestiones previas

El artículo 4 ?Definiciones? del RGPD define los siguientes términos a efectos del

Reglamento:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/9

"1) «datos personales»: toda información sobre una persona física identificada o

identificable («el interesado»); se considerará persona física identificable toda persona

cuya identidad pueda determinarse, directa o indirectamente, en particular mediante

un identificador, como por ejemplo un nombre, un número de identificación, datos de

localización, un identificador en línea o uno o varios elementos propios de la identidad

física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;?

?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre

datos personales o conjuntos de datos personales, ya sea por procedimientos

automatizados o no, como la recogida, registro, organización, estructuración,

conservación, adaptación o modificación, extracción, consulta, utilización,

comunicación por transmisión, difusión o cualquier otra forma de habilitación de

acceso, cotejo o interconexión, limitación, supresión o destrucción;?

En el presente caso, a tenor del artículo 4.1 del RGPD, la imagen física de una

persona es un dato personal. De este modo, su inclusión en páginas webs, foros,

publicaciones, que identifica o hace identificable a una persona, supone un tratamiento

de datos personales.

III

Licitud del tratamiento de los datos personales

Los principios que han de regir el tratamiento se encuentran enumerados en el artículo

5 del RGPD. En este sentido, el apartado 1 letra a), señala que: ?Los datos personales

serán:

a) Tratados de manera lícita, leal y transparente en relación con el interesado

(licitud, lealtad y transparencia);

(?)?

El principio de licitud se regula, fundamentalmente, en el artículo 6 del RGPD. Los

supuestos que permiten considerar lícito el tratamiento de los datos personales se

enumeran en el artículo 6.1 del RGPD:

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones

:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales

;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable

al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de

otra persona física;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/9

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable

del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre

dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales

del interesado que requieran la protección de datos personales, en

particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento

realizado por las autoridades públicas en el ejercicio de sus funciones.?

Asimismo, el Considerando 40 del mencionado RGPD, dispone que ?Para que el

tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento

del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya

sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los

Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de

cumplir la obligación legal aplicable al responsable del tratamiento o a la necesidad de

ejecutar un contrato con el que sea parte el interesado o con objeto de tomar medidas

a instancia del interesado con anterioridad a la conclusión de un contrato.?

A la luz de la documentación que obra en el expediente administrativo, resulta

evidente que la parte reclamada difundió a través de redes sociales un vídeo de la

parte reclamante, sin base jurídica de las previstas en el artículo 6.1 del RGPD que

legitime el tratamiento de su imagen (indicando expresamente la parte reclamante que

no cuenta con su consentimiento), en el que aparece en una situación delicada. A lo

largo del minuto y treinta y cinco segundos que dura el vídeo, se puede apreciar por

completo el rostro del afectado, lo que permite que se identifique de manera clara.

En consecuencia, de conformidad con las evidencias de las que se dispone en el

presente momento de resolución de procedimiento sancionador, se considera que los

hechos conocidos son constitutivos de una infracción, imputable a la parte reclamada,

por vulneración del artículo 6.1 del RGPD.

IV

Tipificación y calificación de la infracción del artículo 6.1 del RGPD

La citada infracción del artículo 6.1 del RGPD supone la comisión de la infracción

tipificada en el artículo 83.5.a) del RGPD que bajo la rúbrica ?Condiciones generales

para la imposición de multas administrativas? dispone:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20.000.000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio

total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) Los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5, 6, 7 y 9; (?)

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/9

A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que

?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,

5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten

contrarias a la presente ley orgánica?.

A efectos del plazo de prescripción, el artículo 72 Infracciones consideradas muy

graves? de la LOPDGDD indica:

?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se

consideran muy graves y prescribirán a los tres años las infracciones que supongan

una vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

a) (?)

b) El tratamiento de datos personales sin que concurra alguna de las condiciones

de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE)

2016/679. (?)?.

V

Sanción por la infracción del artículo 6.1 del RGPD

Los poderes correctivos de los que dispone la Agencia Española de Protección de

Datos, como autoridad de control, se establecen en el artículo 58.2 del RGPD. Entre

ellos se encuentran la potestad de imponer una multa administrativa con arreglo al

artículo 83 del RGPD -artículo 58.2 i)-, o la potestad de ordenar al responsable o

encargado del tratamiento que las operaciones de tratamiento se ajusten a las

disposiciones del RGPD, cuando proceda, de una determinada manera y dentro de un

plazo especificado -artículo 58. 2 d).

En el presente caso, atendiendo a los hechos expuestos, se considera que la sanción

que corresponde imponer es de multa administrativa. La multa que se imponga deberá

ser, en cada caso individual, efectiva, proporcionada y disuasoria, de acuerdo con el

artículo 83.1 del RGPD. A fin de determinar la multa administrativa a imponer se han

de observar las previsiones del artículo 83.2 del RGPD, que indica:

?2. Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así

como el número de interesados afectados y el nivel de los daños y perjuicios que

hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/9

c) cualquier medida tomada por el responsable o encargado del tratamiento para

paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento,

habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud

de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué

medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación con el

mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de

certificación aprobados con arreglo al artículo 42,

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o

indirectamente, a través de la infracción?.

Por su parte, en relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en

su artículo 76, ?Sanciones y medidas correctivas?, dispone:

?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento

(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación

establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido incluir a la comisión

de la infracción.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/9

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la

infracción, que no puede imputarse a la entidad absorbente

f) La afectación a los derechos de los menores

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a

mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que

existan controversias entre aquellos y cualquier interesado?.

Son circunstancias agravantes:

- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate,

así como el nivel de los daños y perjuicios que hayan sufrido; la parte

reclamada publica el dato personal de la imagen de la parte reclamante, ya que

difunde un vídeo de esta en una situación delicada mofándose, permitiendo ello

su identificación unívoca. (art. 83.2.a) RGPD).

- La conducta del infractor refleja una intención clara de denigrar a la parte

reclamante, puesto que divulga el vídeo a través de redes sociales cuya

difusión es inmediata (art. 83.2.b) RGPD),

El balance de las circunstancias contempladas, con respecto a la infracción cometida

al vulnerar lo establecido en su artículo 6.1 del RGPD, permite fijar una multa de

10.000,00? (diez mil euros).

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a B.B.B., con NIF ***NIF.1, por una infracción del artículo 6.1

del RGPD, tipificada en el artículo 83.5.b) del RGPD, una multa de 10.000,00? (diez

mil euros).

SEGUNDO: NOTIFICAR la presente resolución a B.B.B., con NIF ***NIF.1.

TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

artículo 98.1.b) de la LPACAP, en el plazo de pago voluntario establecido en el artículo

68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de

29 de julio, en relación con el artículo 62 de la Ley 58/2003, de 17 de diciembre,

mediante su ingreso, indicando el NIF del sancionado y el número de procedimiento

que figura en el encabezamiento de este documento, en la cuenta restringida nº IBAN:

ES00 0000 0000 0000 0000 0000 (BIC/Código SWIFT: XXXXXXXXXXX), abierta a

nombre de la Agencia Española de Protección de Datos en la entidad bancaria

CAIXABANK, S.A.. En caso contrario, se procederá a su recaudación en período

ejecutivo.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/9

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al artículo 48.6

de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el artículo 90.3 a) de la LPACAP,

se podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-181022

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es