Si tengo que decirte la verdad, las respuestas en estos foros pueden tomarse como una ayuda o guía para proceder en tal o cual sentido, resolver una duda de forma orientativa, aproximarse a un tema, o conocer la existencia de una normativa o doctrina. Pero no para dar solución definitiva a problemas, requisitos, reclamaciones o procedimientos legales.
Las respuestas que ves aquí no están contrastadas; no responden a un servicio profesional contratado, servido y pagado, y con la cobertura de un seguro de responsabilidad civil.
Además, las consultas que has hecho reflejan una mínima parte de la problemática planteada por la operación de un sitio web como el que estás gestionando. Muchas de las cuales no son visibles para ti ni siquiera de forma aparente.
Te enterarías de tal o cual irregularidad en tu página web o el manejo que estás haciendo de ella cuando recibieses la notificación de una denuncia o te lo dijesen tras una inspección.
En este último supuesto, tendrías otro problema (grave) porque la normativa de protección de datos exige un actuación proactiva y responsable basada en la cualificación profesional. Una vez abierto un procedimiento o inspección, surgiría la cuestión de tu capacidad para hacer frente a los requisitos citados en este hilo.
Es decir, la cualificación que tienes para manejar ese sitio web y los datos personales que registra.
¿Qué ibas a responder a la inspección? ¿Que hiciste todo lo que te comentaron en los foros?
El RGPD requiere actuaciones profesionales tanto desde el punto de vista técnico como jurídico.
El considerando 78:
"La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. (...)"
El considerando 81, en referencia a las cualidades del encargado del tratamiento:
"(...) únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente (...)."
El considerando 87:
"Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. (...)."
El propio articulado de este Reglamento:
"Artículo 28
Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado."
Y la LOPD actualmente vigente, en lo que respecta a la figura del delegado de protección de datos:
"Artículo 35. Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos."
Tú no cumples ni puedes cumplir con ninguno de estos requisitos, ni puedes hacerles frente preguntando en foros por las razones que te he indicado al principio.
Le he dado vueltas al asunto, y me gustaría que me dijeses si es posible ir cumpliendo con la legalidad en este tema a base de preguntar en este foro o en otros. Tu por ejemplo me has dado unas repuestas muy completas y profesionales (lo he comprobado por ahí), y me gustaría saber si preguntando y con ayuda de gente como tú no se podría ir poniendo las cosas en orden. En otro caso, tendré que cerrar el sitio web o quitar todas las fotos porque no me voy a arriesgar a denuncias y al multazo que te puede caer ahora con este tema.
Me queda grande sí. Ya lo había pensado. Mucho tomate. Muchas exigencias y el tema de la programación e internet, que cada día está más complicado. Yo empecé con Flash hace muchos años. Ahora hay que hacer una carrera para este tema.
Sí, antes era más fácil, y así ha habido lo que ha habido.
Dices que montaste una web y que has alcanzado varios miles de usuarios que ponen su imagen de perfil - y debo suponer que intercambiarán información entre ellos - en una forma de comunidad virtual.
Dices que "instalaste un WordPress" y hablas de buscar e instalar una aplicación para seudonimizar las imágenes de perfil, de lo que se deduce que no eres programadora ni desarrolladora.
Tampoco tienes nada que ver con el mundo del Derecho.
Si tienes miles de usuarios reconocibles por las fotos de perfil, y seguramente con manejo de otros datos personales, además del tema de cookies y el registro de IPs, seguramente incluso tengas la obligación de nombrar un delegado de protección de datos.
Sin pretender ofenderte querría hacerte ver que en algún momento tendrás que aceptar la realidad de que no estás cualificada para llevar un tema como el que planteas en el nuevo escenario legal sin arriesgarte a un problema serio.
He visto otros casos como el tuyo. Te metes en un proyecto, pasan unos años y por una u otra razón o nuevas circunstancias, queda obsoleto, es inviable, ilegal, demasiado caro de mantener o imposible de gestionar porque te queda grande.
Ten en cuenta que no se trata de consejos prácticos ni modelos de actuación a tener o no en cuenta, sino de exigencias ejercidas directamente sobre los operadores de las páginas web.
En este caso, tu misma.
El RGPD lo expone con toda claridad en su parte introductoria; en su considerando 78 para ser exactos:
"La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto".
"Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales (...)."
Haciendo mención directa a los creadores y desarrolladores técnicos:
"Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, (...)"
Y a los responsables y encargados que gestionen esos mismos sistemas:
"(...) que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño (...)".
Todo ello se plasma en el articulado del este Reglamento:
Artículo 25 ("Protección de datos desde el diseño y por defecto")
"1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. "
Artículo 32 ("Seguridad del tratamiento")
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;"
Bueno pues voy a ver si se puede o no bajándome alguna extensión que lo haga o preguntándo por los foros porque yo no soy programadora. Me instalé un WordPress y he montado una comunidad que ya tiene varios miles de usuarios. Poco a poco, y ahora me veo en este problema legal.
Literalmente según definición del artículo 4 - 5) del RGPD:
"5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;"
El considerando 26, que ya hemos visto un poco, lo describe perfectamente tras indicar que los principio de protección de datos se aplican a la información relativa a persona física identificada o identificable. En su parte final establece:
"(...) los principios de protección de datos no deben aplicarse a la información anónima, (...) que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, (...)."
En tu proyecto, podría conseguirse mediante una extensión que pixele las imágenes o les coloque algún elemento que impida la identificación. Aunque de forma eficiente porque de nada sirve el típico rectángulo negro tapando los ojos que no impide apreciar a la persona, o incluso reconocerla a la vista de conocidos o personas con algún contacto con la misma.
Así, este mismo considerando indica que "(...) Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable (...).
Como puede ser la dirección o al menos ciudad o zona en que tenga su residencia, o cualquier otro dato o detalle que pueda ayudar a identificar a la persona. Siempre respetando un nivel razonable de exigencia en cuanto a los medios de singularización:
"(...) Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos (...).
No obstante, ten en cuenta que existen medios de identificación de imágenes cada vez más sofisticados a disposición de cualquiera, como - por poner un ejemplo - el servicio de localización de imágenes por análisis de elementos gráficos del buscador de Google, mediante el cual puedes encontrar todas las copias de una imagen determinada en todas las páginas indexadas en su sistema. Su utilización permite identificar dos imágenes iguales incluso cuando una de ellas haya sido modificada levemente (el rectángulo sobre los ojos). Mediante este sistema, y siguiendo con el ejemplo, podrías tener la imagen de la persona seudonimizada y otra sin seudonimizar, resultando en una posible identificación de la persona.
Ten en cuenta además que las imágenes mostrando personas físicas identificables no son un elemento ajeno al entorno en que se incluyen. La temática de la página web arroja o puede arrojar conclusiones sobre cuestiones consideradas de especial protección "...ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales..." (considerando 51 del RGPD).
Desconozco la temática de tu sitio web, pero conozco bien el caso de sitios de citas y encuentros, que puede facilitar información sobre las preferencias sexuales de los usuarios.
El considerando 51 citado indica que "(...) El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, (...)".
Lo cual debe entenderse en el sentido que su tratamiento sí podría ser considerado como tratamiento de categorías especiales, que imponen una regulación más estricta:
Artículo 9 ("Tratamiento de categorías especiales de datos personales")
"1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física."
Todo ello puede, y debe, ser tenido en cuenta a la hora de programar el funcionamiento del sitio web en cuestión.
Ya veo. No me voy a librar.... Entonces igual lo de la sedonimización que comentas. ¿Cómo se hace? He leído algo en Interent pero no se dice como hacerlo.
Tienes que crear una página de privacidad cuyas condiciones deben ser aceptadas de forma afirmativa, clara, consciente, libre e inequívoca con respecto al tratamiento que vas a hacer de las imágenes personales que vayan a ser incluidas en esa página web, tal y como exigen el RGPD 2016/679 y la LOPD 3/2018.
No me voy a extender sobre este punto. Baste decir que tienes que indicar cuál es la base legal y legitimación para el tratamiento de las mismas en cumplimiento del artículo 6 del RGPD citado (entre otros).
En tu caso, podría bastar con citar los párrafos 1 a) y b):
"1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;"
En el caso que comentas, se trata de alta de cuentas de usuario con perfiles en una página web interactiva para el contacto e intercambio de información entre usuarios.
El punto a) se cumple con el consentimiento expresado en la forma indicada anteriormente.
El punto b) haría referencia a la ejecución del contrato perfeccionado con dicha prestación de consentimiento. Un contrato de adhesión, oneroso o gratuito con base en la existencia de un contraprestación inicial o aplazada, para la prestación de una serie de funciones propias de tu página web.
La forma correcta de hacerlo es exponer esta legitimación de forma básica, junto a los otros aspectos relativos al tratamiento de datos personales (responsable, finalidad, destinatarios y derechos de los titulares de datos personales), que debe ser desarrollada completamente en epígrafes titulados.
Todo esto como aproximación muy básica y orientativa al problema.
La otra solución que te ofrezco es la seudonimización; la completa anonimización de las imágenes para que no puedan identificar a nadie.
No obstante, permíteme que dude de la afirmación que haces sobre el proceso de registro en tu página, completamente ajeno a la recogida de "ningún dato personal". Mi larga experiencia en la gestión de este tipo de páginas me lleva a recordarte que para darse de alta hay que introducir una dirección email, cuyo buzón recibirá el enlace de activación. Además, estos sistemas recogen cookies y direcciones IP, que también son datos sujetos a protección de datos puesto que pueden ser utilizados para identificar a la persona física que se está registrando.
Direcciones email, cookies y direcciones IP también son datos de carácter personal que deben ser legitimados.
Gracias por responder. El tema ahora es como manejar este tema. Se trata de una página con un sistema de altas activables por email y la gente se registra y pone la foto que quiere.
Si lo que preguntas es si las fotografías son datos de carácter personal, la respuesta es sí, como es lógico.
El RGPD establece en su considerando 26 que "los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable".
Evidentemente, una fotografía es un elemento de información visual - en tu caso compuesto por datos procesables a través de una página web y el navegador web utilizado para su acceso y visualización - que debe ser considerado objeto de los principios y regulación de esta norma cuando identifique o pueda servir para identificar a una persona física.
Por todo ello, deben cumplirse todos los principios y regulación que determinan el tratamiento lícito de las mismas.
Facebook y las demás redes sociales cuentan con secciones de privacidad complejas - y cada día más - para la normalización del tratamiento de datos personales, incluyendo elementos audiovisuales, incluidas en sus plataformas por sus usuarios.
En tu caso, tienes que tener mucho cuidado en el caso de parejas y/o grupos, que han planteado ya denuncias y reclamaciones, como puedes ver de la lectura de muchos hilos en éste y otros foros legales.
Es un tema con distintas facetas y puntos de acercamiento sobre los que se puede discutir ampliamente.
Si no tienes conocimientos sobre toda esta cuestión, es mejor que busques ayuda profesional.
Fotos de usuarios en página web con comunidad social
He instalado una web con una aplicación para formar una comunidad de usuarios en torno a un tema muy concreto que no viene al caso especificar aquí. El caso es que el registro de usuarios impide meter ningún dato persona: ni nombre, ni dirección ni teléfono, ni nada. Pero sí foto. Y muchos están poniendo su foto personal. Algunos en pareja e incluso los hay que se han colocado junto a amigos o como parte de un pequeño grupo de personas.
Veo muchas fotos en Facebook y otras redes sociales, y no sé qué tratamiento tienen de cara a protección de datos.