Sancionan a una academia por publicar fotografías de los alumnos sin contar con una base legal

Una academia madrileña es sancionada por captar y publicar fotografías de sus alumnos, menores de edad, sin contar con un consentimiento válido. Si bien el centro captaba el consentimiento para la toma y publicación de fotografías en el contrato de prestación de servicios, este consentimiento no era válido, pues estaba vinculado a la aceptación del contrato de tal manera que el interesado no tenía verdadera libertad de elección.

Con la firma del contrato de prestación de servicios, el interesado autorizaba “la toma y uso de fotografías y grabaciones de los alumnos que podría ser utilizada para […] nuestra página web, blogs y canales de vídeo […], presentarlas en trabajos de investigación educativa por el centro y/o […] Publicarlas en diferentes medios de comunicación por parte de los distintos organismos oficiales que realizan una actividad concreta para dar constancia que se ha desarrollado en nuestro centro.”

Por todo ello, la Agencia Española de Protección de Datos (AEPD) ha determinado que el consentimiento captado por la academia es contrario a la normativa de protección de datos, al no permitir autorizar por separado las distintas operaciones de tratamiento. Para que la captación y publicación de las imágenes hubiesen sido legítimas, debería de haber al menos tres solicitudes de consentimiento diferenciadas para:

  • la propia formalización del contrato;
  • la toma de fotografías; y
  • la finalidad publicitaria de las mismas.

¿Cómo captar un consentimiento válido?

El Reglamento General de Protección de Datos nos ofrece las claves para determinar la validez del consentimiento:

  1. Manifestación de voluntad libre. Es decir, el interesado debe tener verdadera elección en el momento de prestar el consentimiento, que debe ser tan sencillo como retirarlo. Se presume que el consentimiento no se ha dado libremente cuando no permite autorizar por separado las distintas operaciones de tratamiento.
  2. Específico e informado. Si existen distintas finalidades del tratamiento, se debe prestar el consentimiento para cada una de ellas de forma individual. El interesado debe ser informado de forma previa de las finalidades del tratamiento, así como de sus características principales.
  3. Acto afirmativo e inequívoco. El consentimiento no puede derivar del silencio o la inacción del interesado, sino de una afirmación inequívoca.
  4. Carácter probatorio. Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento.

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.