LA TOMA DE FOTOS EN ACTOS ESCOLARES POR PARTE DE LOS PADRES

¿Pueden los padres tomar fotos de sus niños participando en actos escolares junto con otros niños?

El supuesto de la captación de fotografías de menores es un tema muy delicado y que no tendría espacio suficiente en el presente blog para desarrollar todos sus aspectos. Es por eso, que en el presente artículo nos vamos a centrar en un caso muy concreto, la toma de fotografías de los hijos durante un acto escolar.

A primera vista, podríamos pensar que la protección de datos puede impedir tal acción. No obstante, la Agencia Catalana de Protección de Datos, en adelante Apdcat, se pronuncia a favor de que no debe suponer ningún problema ya que dicha captación de imágenes se considera dentro de una actividad familiar y, por lo tanto, se debe considerar que tiene una finalidad familiar o doméstica excluida de la aplicación de la LOPD, tal y como establece el artículo 2.2 a) LOPD.

Por otro lado, se considera que la captación de imágenes de otros niños participantes en el acto escolar es accesoria y, al no tener otra finalidad que el mero uso doméstico de las fotos, no vulnera ningún derecho.

Un supuesto muy distinto sería el de promoción, venta o cualquier otra finalidad sujeta a la LOPD en cuyo caso debería tener el consentimiento de los tutores legales del menor, tanto para su captación como reproducción.

Dicho lo anterior, el supuesto de la captación de imágenes en los centros educativos debe ser abordado con cuidado y, por ello, es conveniente la formación del personal de los centros en materia de protección de datos para evitar situaciones que puedan suponer un riesgo o una vulneración de los derechos tanto de los alumnos, profesores o demás personas del centro escolar.

No menos importante, es la educación en lo relativo a la protección de datos para los más jóvenes y tanto desde la Apdcat como ATGroup animamos a los centros educativos a promover acciones en favor de la protección de datos. En el mismo sentido trabaja la AEPD, que se prevé que en 2017 presente una “Guía para centros docentes” y una “Guía sobre la videovigilancia en los centros escolares”.

Para cualquier duda en relación a la protección de datos en los centros escolares o a los menores no dude en contactar con nosotros.


A continuación adjuntamos el enlace de las webs de la AEPD y la APDCAT dedicadas a la educación en protección de datos para los más jóvenes:

• Tu decides en internet - AEPD
• Privacidad para jóvenes - APDCAT

EL CONSENTIMIENTO EN EL NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Cuando entró en vigor el Reglamento General de Protección de Datos, en adelante RGDP, el 25 de mayo de 2016, empezó la cuenta atrás para su plena aplicación 2 años después. Hoy, nos encontramos en un período de transición donde las empresas y organizaciones deben ir adaptando sus procesos de tratamiento de datos y uno de los elementos esenciales para que el tratamiento de datos sea lícito es el consentimiento.

En este punto, es donde realizaremos un pequeño análisis sobre qué procesos se utilizan actualmente para obtener el consentimiento del usuario y cómo se deberán adaptar para cumplir con el RGDP.

Hasta ahora la normativa española de protección de datos permitía recabar el consentimiento de forma tácita por lo cual se podía deducir que se obtenía el consentimiento a partir del comportamiento del usuario. Un buen ejemplo era el de la aceptación de la política de cookies, dónde una clausula muy común era “si usted sigue navegando en nuestro sitio se entiende que acepta nuestra política de cookies” o similares. A partir del comportamiento de "seguir navegando en el sitio" se deducía que aceptaba la política de cookies.

A partir de 2018, con el nuevo Reglamento, esta práctica ya no servirá para obtener el consentimiento de forma efectiva sino que deberá obtenerse el consentimiento del usuario mediante una manifestación inequívoca. Y, ¿qué se entiende por inequívoca? Pues, siguiendo el caso anterior, podríamos interpretar que hasta que el usuario no clicase un botón de aceptación de la política de cookies no se obtendría el consentimiento de forma efectiva y, por lo tanto, no se podrían instalar cookies para recabar datos. Dicho esto, queda claro que debe ser una acción clara e inequívoca de aceptación para que el consentimiento sea válido y, por tanto, el tratamiento lícito.

Queda claro pues que pasaremos de una práctica que daba mucha libertad para iniciar el tratamiento de datos al ser válido el consentimiento tácito, el cual en determinadas ocasiones podía ser confuso, a una nueva forma mucho más clara que protegerá al usuario ante posibles tratamientos no deseados.

¿Y que pasa si hasta ahora has utilizado el consentimiento tácito? En éste caso, se deberán revisar los consentimientos y adecuarlos a la normativa actual así como adaptar los procesos de obtención del consentimiento para que, en 2018, cumplan con la nueva normativa.

Con la llegada del nuevo Reglamento muchos aspectos de la protección de datos se han visto modificados y resultará interesante ver como se irán adaptando las prácticas actuales para adecuarse al nuevo Reglamento y cuáles serán los índices de cumplimiento en la entrada de plena aplicación en 2018.

Si tienes cualquier duda en relación al consentimiento o cualquier proceso de tratamiento de datos no dudes en contactar con nosotros.

EL DERECHO A INDEMNIZACIÓN EN LA PROTECCIÓN DE DATOS

Cuando hablamos de derechos del usuario en términos de protección de datos debemos remitirnos al Título III de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, LOPD en adelante, y los derechos por excelencia son los derechos ARCO, pero hay otro derecho que no debe pasar por desapercibido, hablamos del derecho a indemnización.

El derecho a indemnización se encuentra definido en el artículo 19 LOPD como el derecho que tienen los interesados a ser indemnizados cuando, por incumplimiento de lo que dispone la LOPD, sufran un daño o lesión en sus bienes o derechos. Pero, ¿cómo se debe ejercer éste derecho?

Primero hace falta diferenciar entre quién es el responsable del daño o lesión de los derechos del interesado. En el caso que sean ficheros de titularidad pública, deberemos exigirlo conforme a la legislación reguladora del régimen de responsabilidad de las Administraciones públicas, artículo 19.2 LOPD. Por el contrario, si son ficheros de titularidad privada, se deberá ejercitar la acción ante los órganos de la jurisdicción ordinaria, artículo 19.3 LOPD.

Así pues, la misma LOPD nos establece que no es la Agencia Española de Protección de Datos, AEPD en adelante, la autoridad competente para garantizar éste derecho, sino que se debe ejercer por otras vías.

En el supuesto de que los ficheros sean privados, deberemos iniciar una acción por la vía judicial ya que presentando una denuncia ante la AEPD, esta solo podrá aplicar una sanción si procede y nos remitirá a la jurisdicción que corresponda en función de la indemnización. Un ejemplo de ello es el Procedimiento nº PS/00645/2014 de la AEPD donde procedió la sanción de 6000€ por infracción de la normativa de protección de datos, pero no el derecho a la indemnización remitiendo a la jurisdicción que corresponda. Lo mismo sucedió más recientemente en el procedimiento nº A/00118/2016 de la AEPD.

En cambio, en la jurisdicción civil hay casos dónde se ha ejercitado dicho derecho, principalmente por supuestos de inclusión en registros de morosos. Un ejemplo sería la STS 492/2016 de 16 de febrero de 2016, donde se pedía una indemnización por la inclusión en un fichero de morosos siendo inexistente la deuda y, por lo tanto, causando un daño moral. El Tribunal Supremo en su fallo contempló el derecho a indemnización del artículo 19 LOPD, con una indemnización de 3000€ a cada uno de los demandantes por la indebida inclusión de sus datos personales en el registro de morosos.

En conclusión, vemos que el ejercicio de éste derecho del artículo 19 LOPD se debe hacer siguiendo el procedimiento adecuado en cada caso ya que, de no ser así, podríamos encontrarnos con que no se garantice y nos remitan a otra jurisdicción. Caso distinto sería si enfocamos la petición de una indemnización por una vulneración al derecho fundamental del honor, donde se aplicaría la LO 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. Dicho esto, hasta ahora, el derecho a indemnización del artículo 19 LOPD sólo se ha considerado en casos de inclusión en registros de morosos pero veremos si en un futuro se contempla en otros supuestos.

LA ADAPTACIÓN AL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Entramos en 2017 y durante el presente año las empresas y entidades que traten datos de carácter personal a nivel europeo deberán adaptarse a la nueva normativa ya vigente y que va a entrar en plena aplicación a partir de mayo de 2018, el Nuevo Reglamento Europeo de Protección de Datos (RGPD).

Decimos a nivel europeo pero su ámbito de aplicación no se limitará a las organizaciones establecidas en la Unión Europea, sino también a aquellas que traten datos de residentes europeos y estén establecidas fuera de la Unión. Es decir, se extiende considerablemente su ámbito de aplicación.

Es por ello que, como buena práctica, durante el presente año toda organización debería revisar sus procedimientos en el tratamiento de datos de carácter personal para no encontrarse con sorpresas cuando el Reglamento entre en plena aplicación.

Y, ¿cuáles son las medidas o novedades principales?

En primer lugar, los responsables y encargados de tratamientos sujetos a la normativa deberán registrar las actividades de tratamiento que inicien o lleven a cabo. Asimismo, deberán revisar todos los mecanismos para recabar el consentimiento de los usuarios ya que, por ejemplo, ya no será suficiente el consentimiento tácito. No solo esto, también tendrán que revisar las cláusulas informativas así como las cláusulas de los encargos de tratamiento.

Una de las novedades más importantes es la necesidad de realizar una evaluación de impacto relativa a la protección de datos cuando el tratamiento suponga un riesgo alto para los derechos y libertades de las personas físicas. En el caso que de dicha evaluación se concrete que el riesgo no se ha mitigado se deberá hacer una consulta a la Apdcat o AEPD.

En relación a esta evaluación de impacto y de forma previa al tratamiento de datos se deberá llevar a cabo una evaluación de riesgos para determinar las medidas de seguridad que se deberán implementar conforme a la nueva regulación y establecer un protocolo de actuación ante posibles incidencias.

Otra novedad significativa la encontramos en la transferencia de datos a países terceros donde se deberán revisar los mecanismos utilizados y si se adecuan o no a la nueva normativa.

Como nueva figura, que se ha ido perfilando durante los últimos meses y que será necesaria en organismos públicos y otros supuestos, aparece el delegado de protección de datos (DPO) y cada empresa deberá comprobar si tendrá que designar a uno o no según los requisitos de la nueva normativa.

Finalmente, un requisito indispensable será la formación del personal que trate con datos de carácter personal en las empresas. Un requisito que servirá como garantía para el cumplimiento de la normativa ya que los tratamientos se realizaran bajo una supervisión con conocimientos de la materia.

A modo adicional, hay otras novedades relevantes que se desprenden del Reglamento como es la privacidad desde el diseño o el derecho a la portabilidad de datos y algunas dudas como la convivencia del RGPD con la LOPD, pero podrán ser objeto de estudio en artículos futuros.

Dicho lo anterior, parece un proceso de adaptación algo complejo debido a las numerosas novedades aunque también dependerá de factores como la estructura de la organización, el volumen de datos tratados, los mecanismos de tratamiento u otros elementos que puedan hacer más o menos compleja dicha adaptación.

Por todo ello, será recomendable que para llevarla a cabo se consulte con entidades especializadas en protección de datos como es AT Group, cuya larga experiencia en este ámbito garantiza una buena adaptación buscando la opción que mejor se adapte a la organización.

Para más información no dude en contactar con nosotros.