El pasado 23 de noviembre, la AEPD impuso en su procedimiento sancionador PS/00227/2020, una multa a la empresa Recambios Villalegre (“RV”) de 12.000 euros. La multa fue principalmente consecuencia del procesamiento ilícito por parte de RV de los datos personales de un indigente, concretamente imágenes de este que permitían su identificación.

Hechos:

RV publicó en Facebook que un indigente había sustraído el dinero que tenía la empresa en la caja registradora. En dicha publicación también se adjuntó una imagen del indigente obtenida a través de la cámara de videovigilancia de RV.

El texto utilizado en la publicación fue: “Este señor que se pasa los días pidiendo ayuda muy educadamente por el centro de ***LOCALIDAD.1 y en especial, por las terrazas de los bares, hoy por la tarde nos ha entrado en nuestro negocio y en un momento que hemos tenido que estar en la parte de atrás de la tienda, ha entrado por dentro del mostrador y se llevó todo el dinero que teníamos en efectivo. Las cámaras lo han grabado perfectamente. Ruego máxima difusión para ayuda de todos”.

Además de la publicación en Facebook, RV también circuló a través de distintos grupos de Whatsapp otra foto del indigente en el que resultaba fácilmente identificable.

El indigente fue detenido a raíz de la denuncia que cursó RV. Sin embargo, este fue absuelto por falta de pruebas, pese a la presunta grabación de los hechos de la cámara de videovigilancia de RV.

Según el reclamante, el indigente sufrió acoso y amenazas a raíz de la difusión de su imagen en Facebook y WhatsApp.

Infracciones:

La AEPD estima que RV infringió el artículo 6.1 del RGPD por procesar sin base legal los datos personales del indigente al circular fotos que permitían su identificación en Facebook y WhatsApp. Esta infracción fue sancionada con una multa de 10.000 euros.

La AEPD también sancionó el hecho de que la cámara de videovigilancia de RV carecía del preceptivo cartel informativo, infringiendo el artículo 13 del RGPD. La multa por esta infracción fue de 2.000 euros.

Conclusión:

La publicación de una foto que permite la identificación de una persona es considerado un tratamiento de datos personales. Realizar dicho tratamiento sin una base legal, como por ejemplo el consentimiento, va en contra del RGPD y es por tanto ilegal.

Asimismo, acusar sin pruebas a alguien de un delito, puede ser constitutivo de un delito de calumnias. Especialmente cuando la acusación se hace a través de las redes sociales, debido a su amplio alcance y rápida difusión.

Si la finalidad de RV era la de advertir a otras personas para que estuvieran en guardia ante posibles robos, podrían haber publicado el hecho de que habían sufrido un robo, pero sin acusar a nadie. Las empresas deben ser más cautas a la hora de realizar cualquier tipo de publicación en las redes sociales.

En un punto mas personal, creemos que este caso muestra también el daño irreparable de publicar datos personales en las redes sociales sin permiso: un indigente absuelto de un robo por falta de pruebas que muy probablemente seguirá siendo amenazado y acosado en su ciudad.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.