Samuel Parra

A pesar de que constaba en el expediente declaraciones realizadas por dos personas distintas respecto a que habían llegado a verla más grande, lo cierto es que los magistrados solo pudieron examinar la que podían ver y ésta era de tan solo 2 centímetros, llegando a la conclusión de que era demasiado pequeña para poder valorarla y por tanto terminan desestimando el recurso interpuesto por la afectada ante la Audiencia Nacional.

Aunque la sentencia es del año 2013, me ha parecido interesante comentarla porque es un ejemplo muy esclarecedor en cuanto a la definición de «dato de carácter personal» y más concretamente a los dos adjetivos que acompañan a su definición: «identificado o identificable«.

Por un lado, el artículo 3.a de la Ley Orgánica de Protección de Datos (LOPD) define el dato de carácter personal como «cualquier información concerniente a persona física identificada o identificable«. Esta definición se amplía en el artículo 5.1.f del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), al hablar de: «cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables«.

Como podemos observar, en ambos casos se limita la definición al hablar de «personas físicas identificadas o identificables«.

Por tanto, un dato va a ser «de carácter personal» y por tanto, sometido a la LOPD, cuando haga referencia a una persona física identificada o identificable.

El matiz más complicado es el de «identificable«, ya que el de «identificada» no entraña problema alguno: si el dato te identifica directamente (por ejemplo tu nombre y apellidos) nos encontramos ante dato y además de carácter personal según las definiciones que hemos visto puesto que no hace falta realizar actividad alguna para identificarte.

Pero como digo, el problema viene con lo de «identificable«, ¿qué es esto? Bueno, al margen de lo que nos puede decir la RAE (que puede ser identificado), el propio RDLOPD nos arroja más luz en el artículo 5.1.o, al definir qué es una «persona identificable»:

toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Esto aclara bastante, pero sigue dejando un amplio margen a la interpretación pues nos habla de «plazos o actividades desproporcionados», y habrá que atender cada caso concreto para ver si nos encontramos ante una actividad o plazo desproporcionado o no.

Pues bien, no es frecuente encontrar sentencias donde se hable de este tema, pero la de 11 de marzo de 2013 de la Audiencia Nacional, a pesar de su brevedad, nos viene a ejemplificar esta cuestión.

El asunto nace con la denuncia de una mujer ante la Agencia Española de Protección de Datos (AEPD) por la publicación, en el muro de Facebook de una institución, de una fotografía donde, al parecer, se la muestra a ella de perfil. La fotografía se publicaba por parte de esta institución porque habían observado que esa señora (o señorita) venía siguiendo todo el día, cámara en ristre, al presidente de esta institución, y publicaban la fotografía de la susodicha para ver si alguien podía identificarla, no fuera a ser una terrorista internacional peligrosa que apretara el botón en cuanto alguien se le acercara a darle los buenos días…
Rápidamente se demostró que la muchacha era una periodista haciendo su trabajo, pero la cuestión es que su fotografía quedó plasmada en ese muro de Facebook durante varias horas, y esto, entendió la afectada, suponía una vulneración de la normativa sobre protección de datos, dado que la imagen personal se considera un dato de carácter personal y había sido tratado sin su consentimiento.

Interpuso la denuncia correspondiente ante la AEPD, pero cometió el error de no preconstituir la prueba, esto es, asegurarte, antes de hacer nada, la prueba de lo que vas a denunciar, no vaya a ser que a los pocos días eliminen esa prueba ya que tú no tienes el control sobre ella.
Como quiera que fuese, la denunciante aportó como prueba una captura de pantalla donde se vía la dichosa fotografía, sí, pero de un tamaño de 2 centímetros.

Cuando le toca a la AEPD examinar el asunto, solo tiene como prueba para valorar los hechos la aportada por la denunciante, esto es, una foto de 2 centímetros, declarando la AEPD que es demasiado pequeña y no se ve lo suficiente como para poder entender que en efecto nos encontramos ante un «dato de carácter personal» o no.

Porque sí, la imagen es un dato de carácter personal, pero, recordemos, siempre que identifique a la persona o la haga identificable. Por ejemplo, si la foto viniera acompaña de su nombre y apellidos, no cabría duda de que esa foto es un dato de carácter personal, pero si viene ella sola, habrá que ver si la hace o no identificable, y este es el motivo por el que la AEPD archiva la denuncia, porque no puede determinar si nos encontramos ante datos personales o no.

La mujer recurre ante la Audiencia Nacional, y ésta, en cosa de un párrafo ventila el asunto, indicando que:

«…en atención a la regulación y jurisprudencia expuesta, en esta litis, consta sólo una imagen de 2 cm, y sobre la misma no se puede predicar la condición expuesta del carácter identificable, sin perjuicio de que existiera una versión original hoy no disponible para la Agencia, sobre la que basar, en su caso, la infracción. No existiendo más prueba, y constando que ya no existe la mencionada fotografía, como ha comprobado la Agencia, no resulta procedente que la
Agencia realice más diligencias. La existencia de copia de la foto unido a los testimonios de las jefas de prensa, confirman que la fotografía existió en la red, pero no consta su posible ampliación, que permitiera el carácter identificable, por lo que se trata de una actuación cuya investigación y sanción no resulta de la competencia de la Agencia.»

Este es un caso similar al que sucedió hace unos años contra la SGAE, en la que se libró de una multa porque la calidad de las grabaciones que estaba realizando aparentemente ilícita eran de tan mala calidad que no permitían identificar a nadie de los que allí aparecían, aquí lo comenté: La SGAE se libra de una multa gracias a la mala calidad de sus videograbaciones

Sirva este caso de ejemplo y lección para todos aquellos que quieran denunciar algo ante la AEPD: debemos recabar todas las pruebas posibles para al menos sembrar la duda de la ilicitud en la AEPD y que puedan iniciar diligencias para llegar al fondo de la cuestión.

La Sentencia de los 2 centímetros, aquí.