Sancionan con 9.000 euros a una empresa por publicar en su web y redes sociales fotos de un trabajador sin su consentimiento

Publicar fotos de un trabajador sin su permiso puede suponer una sanción para las empresas; ignorar las solicitudes de retirar estas imágenes puede salir aún más caro.

Es lo que ha pasado con una compañía dedicada a la formación, que ha sido sancionada con 9.000 euros por estos motivos: tratamiento de datos sin consentimiento (6.000 euros de sanción por esto) y no atender los requerimientos para eliminar las publicaciones (3.000 euros) de su sitio web y redes sociales (Facebook e Instagram, en este caso).

De 3 a 32 millones: Protección de Datos multa un 1.000% más y convierte a España en el sexto país europeo en sanciones por vulnerar el RGPD

Los hechos tuvieron lugar desde 2017 pero se prolongaron hasta finales de 2020; entre medias se sucedieron 2 solicitudes de atender el derecho de supresión de datos y una reclamación de la persona interesada ante la Agencia Española de Protección de Datos (AEPD), según informa Cinco Días.

Ante estos hechos, la AEPD ha considerado que se han cometido 2 infracciones: en primer lugar, por vulnerar el artículo 6 ("licitud del tratamiento") del Reglamento General de Protección de Datos (RGPD), al ser tratados estos sin el consentimiento de la persona; por otro, la vulneración del artículo 17 ("derecho de supresión") del mismo reglamento, por no atender las peticiones al respecto.

Unos actos a los que se suman las circunstancias agravantes de la duración (desde 2017 hasta 2020), la cantidad y el alcance, pues se publicaron en 2 redes sociales y el sitio web, recoge el medio.

Vodafone, CaixaBank, BBVA, Mercadona o Telefónica: Protección de Datos ha recaudado más de 31 millones de euros de las 9 empresas que más ha multado en 2021

Qué dice el reglamento sobre el tratamiento de datos personales

El artículo 6 del Reglamento General de Protección de Datos establece que "el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones":

• a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
• b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
• c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
• d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
• e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
• f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (esto no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones).

Por otra parte, el artículo 17 del RGPD versa sobre el derecho de supresión, o "derecho al olvido", y recoge que "el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes".

Estas condiciones se dan cuando:

• a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; 
• b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
• c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
• d) los datos personales hayan sido tratados ilícitamente;
• e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los estados miembros que se aplique al responsable del tratamiento;
• f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Además, añade que, "cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos".