La Agencia Española de Protección de Datos (AEPD) ha sancionado a un ciudadano por difundir fotos íntimas y pantallazos de conversaciones ajenas sin el consentimiento de su titular, defendiendo que la publicación de datos personales sin consentimiento es una infracción muy grave del RGPD. Se trata de una resolución controvertida porque existen dudas sobre si la normativa europea puede aplicarse directamente a particulares.

La reclamante acudió a la AEPD al conocer que el ahora sancionado había publicado en su estado de WhatsApp fotos intimas suyas y pantallazos de conversaciones entre ella y un compañero de trabajo, acompañadas de comentarios hirientes y vejatorios. Según defendió la reclamante, el contenido habría sido detraído de un pendrive de su propiedad que había desaparecido.

La resolución de la AEPD abre la puerta a la aplicación del RGPD directamente sobre particulares, que, según muchos expertos en privacidad, estaría destinada a aplicarse sobre personas jurídicas, y no sobre ciudadanos. Estos expertos argumentan que la normativa fue originariamente diseñada para proteger los datos de los ciudadanos frente empresas tecnológicas que efectúan un uso intensivo de la información de los consumidores (como Facebook o Google). Añaden que la decisión de la AEPD crea inseguridad jurídica pues confunde al ciudadano sobre cuál es el ámbito de aplicación de la protección de datos, y consideran que el caso debería haber sido resuelto ante los tribunales bajo el tipo de descubrimiento de secretos, calumnias o vulneración al honor.

No obstante lo anterior, frente a esta postura, reputados abogados defienden la aplicación del RGPD entre particulares siempre y cuando la difusión de datos de terceros sin consentimiento escape del “ámbito doméstico o personal”, como sucedería en el presente caso, en el que el contenido es divulgado en una red social. Sin embargo, no existe un criterio claro con respecto a qué ámbitos escaparían la esfera doméstica, por lo que queda abierto a la interpretación.

En efecto, no es la primera vez que la AEPD sanciona a particulares por el tratamiento de datos personales de terceros sin mediar ningún tipo de consentimiento. Estos casos tienen en común que fueron acaecidos en el entorno de trabajo. Por lo tanto, podría establecerse un vínculo con el ámbito laboral, que quedaría fuera del de la esfera personal y doméstica, y, en consecuencia, legitimaría la aplicación del RGPD para sancionar a personas físicas por difundir los datos personales sin mediar el consentimiento de su titular.

En conclusión, la resolución castiga una práctica habitual como compartir pantallazos de conversaciones, imputando por este motivo una multa de 10 mil euros al infractor por realizar un tratamiento ilícito sobre los datos personales de la reclamante contenidos en un pendrive, sin su consentimiento y con la agravante de introducir comentarios vejatorios y degradantes a las fotografías. Asimismo, la AEPD ha tenido en cuenta a la hora de atenuar la multa que la difusión del contenido ha tenido un alcance “meramente local”, únicamente se ha visto afectado un particular, y que el infractor es una persona física.