- Marzo de 2020 -
¿Qué podemos esperar cuando esto acabe?

En estos momentos complicados que se viven en España, en ZABÍA ABOGADOS hemos querido hacer un esfuerzo especial para poder acompañaros con nuestra newsletter y no fallar a la cita mensual con los receptores de nuestra comunicación. Es un pequeño granito de arena pero creemos que son momentos en los que, aquellos que no podemos hacer otra cosa, debemos intentar continuar en nuestro día a día con la máxima normalidad posible, sabiendo que el esforzarnos por continuar con nuestros hábitos y nuestras rutinas es una forma -modesta, pero la única que nosotros tenemos- de plantarle cara al virus.

Cuando todo esto acabe, no hay duda de que muchas cosas van a cambiar y con toda probabilidad la protección de datos y la forma en que ahora entendemos la privacidad van a ser de las primeras en hacerlo. No faltarán quienes afirmen que la protección de la salud requiere posibilitar la intervención de los gobiernos y el control por éstos de las vidas de los ciudadanos. Así, es frecuente escuchar que para detener la pandemia hay que hacer lo que se hizo en China y situar a policías armados en la calle para controlar la circulación de las personas. Lo cierto es que, aunque eventualmente pueda ser necesario tomar medidas excepcionales como ésa, no podemos perder de vista que la protección de nuestros datos personales es, en última instancia, la protección de un ámbito de libertad al que no debemos renunciar. No faltarán quienes pongan en cuestión esta afirmación para sostener que la protección de la salud es el principal objetivo que debe garantizar cualquier gobierno. Sin embargo, si queremos proteger la salud debemos confiar en el individuo y formarle adecuadamente, siendo conscientes de que los poderes excepcionales de control de los gobiernos son una medida extraordinaria que sólo se justifica en tiempos de crisis como los que estamos viviendo. Ojalá que pronto podamos dar por superada esta situación y recuperemos la normalidad en nuestra vida cotidiana, en la que ahora valoraremos más que nunca lo que antes considerábamos absolutamente rutinario. Espero que si para algo sirve esta crisis sea para que valoremos nuestra privacidad como un bien jurídico de primer orden, al que no debemos de ninguna manera renunciar.

Juan Zabía

ZABIA ABOGADOS

Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos sobre los tratamientos de datos personales en relación con el COVID-19

El informe del Gabinete Jurídico establece que debido a que la normativa de protección de datos está dirigida a proteger un derecho fundamental, ésta resulta de plena aplicación en la situación actual por cuanto no existe motivo alguno que justifique que pueda ser suspendida.

No obstante, la AEPD declara, en el mismo sentido que otras autoridades de control y organismos europeos (como el EDPB), que “las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias”.

Dicho informe analiza los supuestos en los que se permite el tratamiento de datos personales sin necesidad de recabar el consentimiento expreso de los afectados. Así, el considerando 46 del RGPD establece que cuando el tratamiento es necesario para fines humanitarios (como el control de epidemias y su propagación), este debe considerarse lícito, pudiendo ampararse tanto en el interés vital de las personas como en el interés público (independientemente de que puedan existir otras bases jurídicas).

Para el tratamiento de datos de salud debe existir, asimismo, una de las circunstancias recogidas en el apartado segundo del artículo 9 del RGPD que “levante la prohibición de tratamiento de dicha categoría especial de datos (entre ellos, datos de salud)”. Entre estas circunstancias que legitiman el tratamiento de datos sensibles se establece también el interés público “en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud” o la necesidad de que el tratamiento sea realizado “para proteger intereses vitales del interesado o de otra persona física”.

Así, en virtud de lo anterior, en una situación de emergencia sanitaria, el informe declara que se debe tener en cuenta que la “aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública”, estando sujetos a lo estipulado por las autoridades competentes.

De igual forma, a pesar de que nos encontremos ante una emergencia sanitaria, resultan de aplicación los principios recogidos el artículo 5 del RGPD (licitud, lealtad, transparencia, exactitud o minimización de los datos, puesto que únicamente se podrán tratar los datos exclusivamente necesarios para el fin perseguido).

“The world after Coronavirus”, artículo publicado por Yuval Noah Harari sobre las posibilidad que tienen las autoridades competentes de actuación y las consecuencias que se pueden derivar de ellas

Yuval Noah Harari, historiador y filósofo israelí, autor de los libros “Sapiens” u “Homo Deus”, analiza en su artículo las diferentes decisiones que pueden ser adoptadas para superar la situación actual, así como las situaciones que pueden surgir en función de las medidas adoptadas. Estas medidas, que “en tiempos normales podrían llevar años de deliberaciones, se aprueban en cuestión de horas” puesto que las situaciones de emergencia aceleran los procesos de toma de decisiones y la inacción genera riesgos mayores.

El escritor afirma que las medidas a adoptar con la finalidad de evitar la propagación del virus se centran en dos aspectos principales, debiendo decidir si llevar a cabo un control estricto de los ciudadanos mediante técnicas de vigilancia o confiar en los mismos, informándoles de manera veraz (esto es, decidir “entre la vigilancia totalitaria y el empoderamiento de la ciudadanía”). Del mismo modo, Harari analiza cómo se debe afrontar la toma de posibles soluciones, si a través de la óptica que defiende “el aislamiento nacionalista o la solidaridad global”.

En relación con la vigilancia de los ciudadanos como medio para frenar la situación de emergencia actual, de modo que “el gobierno monitorice a la gente y castigue a quienes incumplen las normas”, ésta podría derivar en un control excesivo en un futuro (cuando acabe la crisis sanitaria) realizado por aquellos gobiernos que decidan que, una vez superada la misma, es necesario mantener el control y la vigilancia de los ciudadanos con base en cualquier motivo que puedan argumentar. Es por ello que esta crisis puede ser un punto de inflexión en la “gran batalla contra nuestra privacidad” que se ha declarado en los últimos años.

No obstante, Harari defiende que existe otra posibilidad para frenar la pandemia sin generar una situación excepcional como la descrita en el apartado anterior. Así, el escritor afirma que “podemos elegir proteger nuestra salud y frenar la pandemia sin instaurar regímenes de vigilancia totalitaria, dando la fuerza a la ciudadanía”, logrando que ésta tenga confianza en las autoridades o en los medios, lo que permitiría alcanzar el objetivo sin “que haga falta un Gran Hermano vigilante”. Ello es así por cuanto los ciudadanos, cuando confían en las autoridades y son conscientes de la situación, actúan de manera correcta.

Respecto a la disyuntiva planteada relativa a las distintas soluciones que se pueden implementar, Harari defiende que sólo tomando decisiones basadas en la solidaridad global se podrá superar la situación. En relación con esta necesidad de cooperación mundial, el escritor defiende que se debe compartir información entre los distintos países afectados, así como realizar un esfuerzo común para la producción y distribución de equipo médico (mascarillas o respiradores) o el envío de profesionales sanitarios a países más afectados, de modo que si la epidemia cambia, estos esfuerzos podrían dirigirse hacia esos nuevos focos. De igual forma, resulta imprescindible elaborar un plan económico de acción común, así como un acuerdo que permita el desplazamiento entre los distintos países de “viajeros esenciales” como médicos, doctores, periodistas o políticos.

Puede acceder al artículo íntegro de Yuval Noah Harari publicado en el diario Financial Times aquí.

La Agencia Española de Protección de Datos ha publicado un modelo de informe de evaluación de impacto dirigido al sector privado y ha actualizado su modelo dirigido a las Administraciones Públicas

Habida cuenta de la obligación recogida en el artículo 35 del RGPD relativa a la necesidad de evaluar el impacto que pueden tener determinados tratamientos de datos personales (cuando estos entrañen un elevado riesgo para los derechos y libertades de las personas físicas), la autoridad de control española ha emitido un modelo de informe de evaluación de impacto que tiene como principal finalidad ayudar a las empresas a llevar a cabo estas evaluaciones de manera adecuada y conforme a la normativa vigente, facilitando su realización.

Este modelo incluye aquellos apartados que debe incluir una EI para ser considerada conforme a la normativa de protección de datos, entre los que podemos destacar la descripción del tratamiento, el análisis sobre la necesidad del mismo, así como las medidas que permiten minimizar el riesgo o la elaboración de un balance entre los riesgos y los beneficios.

De igual forma, a pesar de que el tratamiento de datos personales llevado a cabo no entrañe riesgo alguno, las empresas pueden utilizar este modelo publicado para hacer un ejercicio de responsabilidad proactiva y así “generar conocimiento y cultura de protección de datos”.

Asimismo, la AEPD ha actualizado el modelo de informe para las Administraciones Publicas, al que puede acceder aquí.

Puede acceder al modelo publicado por la autoridad de control aquí.

“La emergencia viral y el mundo del mañana”, artículo publicado por Byung-Chul Han sobre la diferencia en la gestión de la emergencia sanitaria actual entre países asiáticos y europeos

Byung-Chul Han, filósofo y escritor surcoreano, ha publicado un artículo que analiza las diferencias que ha habido en la gestión de la crisis sanitaria realizada por los países asiáticos y aquella llevada a cabo por los países europeos.

Byung-Chul destaca que los números de infectados y fallecidos en los países europeos es notablemente superior a los casos confirmados en países asiáticos a pesar de haber tomado medidas muy restrictivas como la prohibición de salir de casa o el cierre restaurantes o locales de ocio, llegando a afirmar que “Europa está fracasando”, puesto que parece que no puede controlar la pandemia.

Según el artículo, los países asiáticos han sido más eficaces en la gestión de la crisis sanitaria, por cuanto son estados autoritarios que han apostado por la videovigilancia digital al considerar que “en el big data podría encerrarse un potencial enorme para defenderse de la pandemia”, de modo que “en Asia las epidemias no las combaten solo los virólogos y epidemiólogos, sino sobre todo también los informáticos y los especialistas en macrodatos”.

Esto ha sido así puesto que en Asia, a diferencia de lo que sucede en Europa, “la conciencia crítica ante la vigilancia digital es […] prácticamente inexistente”. De hecho en China, donde existen multitud de cámaras que permiten grabar a los ciudadanos en espacios públicos, “prácticamente no existe la protección de datos. En el vocabulario de los chinos no aparece el término “esfera privada”. Esta infraestructura “ha resultado ser ahora sumamente eficaz para contener la epidemia”, puesto que estas cámaras permiten medir la temperatura corporal de los ciudadanos, así como saber en qué lugares han estado, de modo que en aquellos casos en los que existan indicios de infección se procede a avisar a otros ciudadanos que han estado en contacto con ellos (“En Taiwán el Estado envía simultáneamente a todos los ciudadanos un SMS para localizar a las personas que han tenido contacto con infectados o para informar acerca de los lugares y edificios donde ha habido personas contagiadas”). Del mismo modo, con la finalidad de frenar la propagación del virus, las autoridades realizan perfiles de movimiento con datos obtenidos de teléfonos, así como de las cámaras.

El artículo recoge que en Wuhan se han creado equipos de investigación digitales que, con base en análisis de macrodatos, “averiguan quiénes son potenciales infectados, quiénes tienen que seguir siendo observados y eventualmente ser aislados en cuarentena”.

No obstante, el filósofo surcoreano analiza también otras cuestiones que han influido en la gestión de la emergencia sanitaria generada por el COVID-19, como el hecho de que la población asiática utilizase, en todo momento, mascarillas.

Byung-Chul concluye afirmando que es probable que los países asiáticos pretendan vender “su Estado policial digital como un modelo de éxito contra la pandemia”, exhibiendo “la superioridad de su sistema aún con más orgullo”. Sin embargo, debemos esperar que ello no suceda, puesto que, en ese caso, “el estado de excepción pasaría a ser la situación normal”.

Puede acceder al artículo publicado en El País aquí.

Documento de “preguntas y respuestas” publicado por la Agencia Española de Protección de Datos

La AEPD ha publicado un documento que tiene como principal finalidad dar respuesta a las consultas planteadas en relación con el tratamiento de datos de carácter personal durante la situación de emergencia sanitaria en la que se encuentra España en la actualidad.

Así, la AEPD da respuesta a diversas dudas relacionadas con el tratamiento de datos personales de trabajadores que pueden estar infectados por parte de los empleadores, como por ejemplo, si el personal de seguridad puede tomar la temperatura a éstos con el fin de detectar casos, si se puede preguntar a los trabajadores si presentan sintomatología o si, en caso de estar infectado, el trabajador debe informar de ello al empleador, entre otras cuestiones.

Puede acceder al documento publicado por la autoridad de control aquí.

Uso de aplicaciones y páginas web que ofrecen autoevaluaciones sobre el COVID-19

Con ocasión de la emergencia sanitaria actual, se han desarrollado multitud de aplicaciones, así como páginas webs, que tienen como objetivo ofrecer ayuda o prestar diferentes servicios en relación con el COVID-19 (como puede ser la autoevaluación de los síntomas de la infección por parte de los afectados).

No obstante, en estas aplicaciones o páginas webs, se recaban datos especialmente sensibles, como son los datos de salud, sin que se informe detalladamente a los afectados quiénes son los responsables del tratamiento, ni se indique las finalidades del mismo. Esta situación ha sido puesta en conocimiento de la autoridad de control española, que ha informado de que han iniciado actuaciones de investigación para identificar a los responsables de estos tratamiento e imponerles, en caso de que sea necesario, las sanciones económicas que sean aplicables.

Como consecuencia de lo anterior, la AEPD ha emitido un comunicado en el que recuerda a los responsables que desarrollan estas aplicaciones y páginas web cuáles son los “criterios que deben aplicarse para que el tratamiento de los datos personales sea lícito”. Entre los referidos criterios, la autoridad de control recoge que las finalidades para las que se podrán tratar los datos personales son las relacionadas con el control de la epidemia (como “la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo”), que los datos que pueden tratarse sólo deben ser los necesarios para la referida finalidad o que sólo las autoridades públicas competentes pueden tratar dichos datos y que en el supuesto de que sean tratados por entidades privadas deberán utilizarlos conforme a sus instrucciones.

En relación con el tratamiento de datos de geolocalización de afectados por el COVID-19, la autoridad de control declara que “hay que partir de nuevo de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia, tienen las autoridades sanitarias” puesto que se trata de una medida que tiene como finalidad evitar la propagación del virus. Además también permite conocer cuáles son las zonas con mayor número de afectados. No obstante, la AEPD afirma que, en principio, el único dato que debería facilitarse a los operadores de telecomunicaciones es el número de teléfono móvil que se tiene que geolocalizar.

Comunicado del European Data Protection Board sobre la situación actual generada por el COVID-19

Debido a la situación actual, autoridades de distintos países están adoptando diferentes medidas para evitar la propagación del COVID-19. La aplicación de estas medidas puede implicar el tratamiento de datos de carácter personal, por lo que el EDPB ha emitido un informe en relación con la aplicación de la normativa vigente de protección de datos, puesto que se debe garantizar que el tratamiento de datos de carácter personal que se lleve a cabo es lícito y conforme a ella.

Así, el EDPB declara que la normativa de protección de datos, en ningún caso, debe obstaculizar la ejecución de las medidas tomadas por los distintos organismos que tengan como finalidad solucionar la situación.

Afirma el organismo que el RGPD es una normativa amplia que recoge, asimismo, las reglas que deben resultar de aplicación para los tratamientos de datos que se llevan a cabo en un contexto de crisis sanitaria como el actual. El RGPD prevé distintas bases jurídicas (como la protección de intereses vitales o el interés público) que permiten tratar datos de carácter personal en un contexto como el que nos ocupa, sin necesidad de solicitar el consentimiento expreso de los afectados.

En relación con el uso de datos de geolocalización, el EDPB declara que las autoridades públicas deben tratar estos datos de forma anonimizada (es decir, tratando los datos de manera agregada sin que se pueda llevar a cabo su identificación) de modo que se puedan elaborar informes que muestren la concentración de dispositivos móviles en determinadas ubicaciones.

En el supuesto de que ello no fuera posible, el artículo 15 de la Directiva Europea sobre Privacidad y comunicaciones electrónicas habilita a los Estados miembros a introducir medidas legislativas excepcionales que tengan como finalidad salvaguardar la seguridad nacional o la seguridad pública. No obstante, dichas medidas de seguridad deberán garantizar, entre otros, los derechos de los afectados.

De igual forma, en todos estos supuestos se deben aplicar los principios de proporcionalidad y minimización de datos, aplicando aquellas medidas que resulten menos invasivas para los afectados (nótese que determinadas medidas pueden ser consideradas proporcionales y adecuadas en la situación actual).

En relación con el tratamiento de datos personales de los empleados, los empleadores podrán tratar los mismos por cuanto son necesarios para el cumplimiento de determinadas obligaciones legales relativas a la necesidad de garantizar la seguridad y salud de los trabajadores, de modo que en el caso de que tengan conocimiento del contagio de alguno de sus trabajadores, podrán informar de ello a las autoridades competentes, preservando la dignidad e integridad del empleado y facilitando los datos que sean exclusivamente necesarios, en virtud del principio de minimización de datos.

Puede acceder al comunicado del EDPB aquí y al informe publicado aquí.

Publicación del Informe anual de 2019 del European Data Protector Supervisor

El informe emitido por el EDPS tiene como finalidad mostrar aquellas actividades que han sido llevadas a cabo por el organismo durante el año 2019, que se centraron en consolidar los logros adquiridos, evaluar el progreso realizado y definir cuáles deben ser las prioridades para el futuro.

Entre esas actividades, destaca la publicación de distintas guías dirigidas a garantizar y facilitar el cumplimiento de la normativa vigente de protección de datos o el trabajo realizado junto a los distintos DPOs de las instituciones europeas. Del mismo modo, el EDPS realizó diversas investigaciones sobre el tratamiento de datos de carácter personal por las referidas instituciones, lo que permitió que se incrementara la cooperación entre estas y el organismo europeo.

El European Data Protection Supervisor también ha trabajado junto al European Data Protection Board con el objeto de lograr una correcta aplicación del Reglamento General de Protección de Datos en la Unión Europea o participando en las revisiones del acuerdo del escudo de privacidad.

Puede acceder al informe anual publicado por el EDPS aquí.

El uso de Whatsapp como medio de comunicación utilizado por las compañías

Debido a la situación actual, en la que con ocasión del estado de alarma los ciudadanos deben permanecer en sus domicilios, resulta lógico que las compañías traten de gestionar la prestación de sus servicios a través de medios telemáticos, optimizando sus procedimientos no presenciales. Es por ello que, con la finalidad de lograr una mayor fluidez en las comunicaciones entre los clientes y las compañías, éstas deciden usar, entre otras herramientas, el Whatsapp.

Habida cuenta de esta decisión, debemos hacer constar que en relación con el uso de Whatsapp con fines contractuales (esto es, lograr una mejora en la comunicación con los clientes), la Agencia Española de Protección de Datos dictó en marzo de 2019 una relevante resolución de archivo de actuaciones (en el curso del Procedimiento Sancionador nº: E/01824/2019) en la que declaraba que WhatsApp podía ser utilizado por la empresa con la finalidad de contactar y comunicarse con un cliente, con independencia de que el referido cliente lo hubiera consentido expresamente.

Así la autoridad de control afirmó que “el artículo 6.1.b) del RGPD dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Es por lo que el dato del teléfono se utiliza dentro de la relación contractual. Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del presente artículo, no existe vulneración en la materia de protección de datos”.

Es por ello que se desprende de la resolución de la AEPD que el tratamiento del dato personal del número de teléfono (proporcionado por el cliente a efectos de notificaciones) para comunicarse con el cliente a través de Whatsapp será lícito siempre que exista una relación contractual entre ambos que lo justifique y lo legitime, no siendo necesario por ello recabar el consentimiento expreso para tratar este dato con la finalidad de enviarle y recibir comunicaciones contractuales a través de la aplicación móvil Whatsapp.

No obstante, a pesar de lo expuesto con anterioridad, en cumplimiento de la obligación de transparencia en la información que le imponen los artículos 12 y 13 del RGPD, se deberá asimismo informar adecuadamente de dicho tratamiento al titular de los datos.

Comunicado emitido por el SEPBLAC en relación con el COVID-19

Con fecha 16 de marzo de 2020, el SEPBLAC ha emitido el siguiente comunicado:

“Las circunstancias extraordinarias derivadas de la actual situación de emergencia de salud pública ocasionada por el COVID-19 pueden dificultar a los sujetos obligados el cumplimiento de sus obligaciones de declaración e información al Sepblac.

Consecuentemente, el Sepblac tomará debidamente en consideración tales circunstancias extraordinarias a efectos de valorar posibles retrasos en el cumplimiento”.

La Audiencia Nacional estima el recurso interpuesto por GOOGLE declarando que no debe borrar las noticias relativas a un procedimiento penal que surgían al introducir el nombre del afectado en el buscador

En fecha 3 de octubre de 2017, la AEPD estimó la reclamación interpuesta por un afectado (que fue absuelto de tres delitos de abuso sexual continuado), instando a Google a adoptar las medidas necesarias para evitar que su nombre se vinculase en los resultados de las búsquedas a diez noticias publicadas por distintos periódicos sobre el procedimiento penal seguido, por considerar la información obsoleta y carente de relevancia pública.

Google interpuso recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de la Audiencia Nacional contra la resolución puesto que, según la compañía, las noticias contenían información actualizada y de interés público.

Con el objeto de resolver la cuestión planteada, la Audiencia Nacional ha ponderado los derechos fundamentales e intereses en confrontación, esto es,  el derecho a la libertad de expresión e información y el derecho a la protección de datos.

En relación con los criterios de ponderación, la Sentencia  de la Audiencia Nacional menciona la Sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014. En ella se establece que, con carácter general, prevalecen los derechos del interesado a que la información relativa a su persona no se vincule a una lista de resultados obtenida tras una búsqueda de su nombre. No obstante, la sentencia recuerda que “esa regla general cede, si, por razones concretas, como el papel desempeñado por el interesado en la vida pública, la injerencia en sus derechos fundamentales está justificada por el interés preponderante del público en tener, a raíz de esa inclusión, acceso a la información de que se trate”.

Del mismo modo, la Sentencia ha tenido en cuenta que las noticias hacían referencia exclusivamente a la vida profesional del afectado, siendo ello "muy relevante para modular la intensidad que ha de merecer la protección del derecho regulado en el artículo 18.4 de la Constitución". De igual forma, la Sala ha declarado que “lo publicado es relativamente reciente, pues cronológicamente la última noticia es de 2015”.

Así, la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha estimado parcialmente el referido recurso y ha rechazado que Google tenga que borrar las noticias relativas al afectado, por cuanto se ha llevado a cabo un tratamiento de los datos lícito por parte del buscador ya que “existe un interés legítimo de los internautas en tener acceso a dicha información”. No obstante, la misma declara que la noticia relativa a su absolución debe aparecer en el primer lugar de las búsquedas puesto que indica la situación definitiva del  proceso judicial.

Puede acceder a la Sentencia de la Audiencia Nacional aquí.

El Tribunal Constitucional desestima el recurso de amparo interpuesto por la mercantil La Opinión de Zamora y declara que se debe recabar el consentimiento para la publicación de fotografías obtenidas de las redes sociales

En fecha 17 de marzo de 2017, “La Opinión de Zamora” interpuso recurso de amparo contra la Sentencia del Tribunal Supremo que estimaba en parte el recurso de casación interpuesto por la mercantil, casando, así, la Sentencia de la Audiencia Provincial de Vizcaya.

El Tribunal Supremo condenó a La Opinión de Zamora a indemnizar con 15.000 euros a un afectado por haber publicado sin su consentimiento una fotografía obtenida de su cuenta de Facebook en la portada del periódico para ilustrar un suceso. El TS declaró que se había vulnerado su derecho a la propia imagen puesto que la fotografía de "un particular anónimo o desconocido, […] no puede utilizarse sin su expreso consentimiento".

En el recurso de amparo interpuesto, la mercantil justificó la difusión de la fotografía pese a carecer de su consentimiento, por cuanto había sido utilizada como complemento gráfico del texto escrito (funcionalidad accesoria). Asimismo afirmó que obtuvo la fotografía de una red social, por lo que la publicación de su imagen por el propio usuario en dicha red social y su consiguiente divulgación constituía un consentimiento tácito para su posterior utilización por terceros.

El afectado manifestó que la publicación de su imagen en la red social no suponía un consentimiento para que cualquier tercero pudiera hacer uso de ella y que la publicación en el periódico simplemente satisfacía la curiosidad humana, siendo innecesaria y vulnerando, por ello, su derecho a la propia imagen.

El Tribunal Constitucional lleva a cabo un juicio de ponderación entre los derechos a la propia imagen y el derecho a comunicar libremente información veraz. Así, afirma que el derecho fundamental a la propia imagen no es un derecho absoluto, sino que existen circunstancias que pueden determinar que ceda a favor de otros derechos. Habida cuenta de ello, la Sentencia declara que “la protección del derecho a la imagen cede, por tanto, en aquellos casos en los que la publicación de la imagen, por sí misma o en relación con la información escrita a la que acompaña, posea interés público”.

De igual forma, la Sentencia recoge que la imagen de un particular no puede utilizarse sin su expreso consentimiento (declarando que la publicación de una fotografía en la red social no implica un consentimiento expreso, puesto que “el consentimiento solo ampara aquello que constituye el objeto de la declaración de voluntad”) salvo en dos excepciones, esto es, cuando la persona aparezca en la fotografía de manera accesoria o cuando la participación en el acontecimiento fuera principal o protagonista. No obstante, en este caso no se puede apreciar ninguna de estas excepciones por cuanto la imagen “permitía la perfecta identificación de su titular” adquiriendo “un singular protagonismo y relevancia en relación con el texto escrito, excluyendo su caracterización como imagen secundaria”.

Habida cuenta de lo anterior, el Tribunal otorga “relevancia a la prevalencia del derecho a la imagen de la víctima del delito frente a las libertades informativas, pues la información gráfica devenía ociosa o superflua por carecer la fotografía de la víctima de interés real para la transmisión de la información” por lo que su publicación sin el consentimiento del afectado constituyó una intromisión ilegítima en su derecho a la propia imagen.

Puede acceder a la Sentencia de la Sala Segunda del Tribunal Constitucional aquí.