La Audiencia Nacional ha emitido una sentencia relevante en materia de protección de datos personales, abordando la responsabilidad de la Administración en la gestión y salvaguarda de la información personal de los ciudadanos. Esta resolución establece criterios significativos sobre el deber de diligencia y las consecuencias jurídicas derivadas de posibles incumplimientos en este ámbito.
ANTECEDENTES DE HECHO
Sophie et Voilà reposteó estas imágenes en su perfil de empresa, pero cubriendo con un círculo negro los rostros de los contrayentes. La reclamante alegó que no había prestado su consentimiento para tal uso y presentó denuncia ante la AEPD.
El procedimiento se origina por la impugnación de una resolución de la Agencia Española de Protección de Datos (AEPD) de 12 de septiembre de 2022, que impuso a Sophie et Voilà S.L. una sanción de 10.000 € por infracción del artículo 6 RGPD (tratamiento ilícito de datos personales), en relación con el artículo 83.5 RGPD .
Los hechos se refieren a la republicación en la cuenta de Instagram de la empresa de dos fotografías que una clienta (la Sra. Visitación) había subido previamente a su cuenta personal, en las que etiquetaba a la marca. Dichas imágenes mostraban a la clienta y a su pareja con vestidos de la empresa en el día de su boda.
FUNDAMENTOS DE DERECHO
1. Naturaleza del dato personal y concepto de identificabilidad
- La Sala parte de la definición de “dato personal” recogida en el artículo 4.1 RGPD, así como de la jurisprudencia consolidada del TJUE (Lindqvist, Breyer) y del TC (STC 14/2003), para recordar que la imagen de una persona constituye un dato personal si permite su identificación directa o indirecta .
- Se enfatiza que el tratamiento solo se somete al RGPD cuando los datos hacen referencia a una persona física identificada o identificable, y que la identificabilidad ha de evaluarse según el “esfuerzo razonable” necesario para lograr la identificación, teniendo en cuenta los medios tecnológicos, coste y tiempo implicados.
2. Análisis del caso concreto: anonimización y esfuerzo desproporcionado
- La Sala concluye que las imágenes utilizadas por Sophie et Voilà no pueden calificarse como datos personales, pues:
- Fueron difundidas previamente por la propia interesada en su cuenta pública de Instagram.
- En la republicación por la empresa, los rostros aparecían completamente cubiertos y no existía ningún otro elemento identificativo.
- En consecuencia, no era posible asociar razonablemente esas imágenes a una persona concreta sin esfuerzos extraordinarios (tiempo, recursos, tecnología), conforme a lo establecido por el TJUE en el asunto Breyer .
- En aplicación del Considerando 26 del RGPD, se afirma que, al tratarse de datos anonimizados de forma efectiva, su tratamiento queda fuera del ámbito de aplicación del RGPD.
3. Estimación del recurso y consecuencias
Al no existir tratamiento de datos personales en sentido jurídico, la Sala considera que no se vulneró el artículo 6 RGPD, por lo que revoca íntegramente la resolución de la AEPD, anula la sanción de 10.000 € y condena en costas a la Administración conforme al artículo 139.1 de la LJCA
