Hola buenas tardes , mi consulta sobre el tema de la ley de protección de datos es la siguiente: di consentimiento por escrito a una clínica donde me hice una intervención quirúrgica sobre mis datos personales, en el que estaban incluidas fotografías .Ahora voy a revocar dicho consentimiento a la clínica por escrito, mi pregunta es, después de que yo revoque dicho consentimiento de mis datos personales , puede la clínica mostrar en su página web o en redes sociales suyas dichas fotografías donde sale mi rostro pero este está pixelado y aunque yo me reconozco (aunque esté pixelada) quizás otras personas que no me conocen no me reconocieran? gracias
El ámbito objetivo de la normativa de protección de datos es "toda la información relativa a una persona física identificada o identificable" (considerando 26 RGPD).
Si se aplican procedimientos de seudonimización que impidan completamente la identificación de la persona para nadie, es decir, convirtiéndola en datos anónimos, se elimina el vínculo y con ello desaparece la necesidad misma de protección.
El artículo 4 - 5) del RGPD define la seudonimización en este sentido:
"5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;"
El considerando 26, ya citado, establece en su parte final:
"(...) los principios de protección de datos no deben aplicarse a la información anónima, (...) que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, (...)."
Con ello, la clínica podría mostrar esos gráficos e imágenes sin incurrir en ninguna responsabilidad.
Muchas gracias por su concisa respuesta. Si tenemos en cuenta que un correo electrónico o un número de móvil son datos que pueden identificar a una persona , y que son datos que no se pueden dar sin el consentimiento explícito , aunque dichos datos, el correo electrónico o el número de móvil de determinada persona , ni a usted ni a mí nos permitirán identificar de forma inmediata a la persona que los tuviera , quisiera preguntar : si en las fotografías que he citado antes , elementos como "la ropa" ( personal y que se ve en la foto) o una partes de la cara como son la frente y el pelo (ya que el resto está pixelado) si usted consideraría que son "elementos que pueden identificar a una persona" como en el caso del correo electrónico, o no? Si con esos elementos citados de la ropa, la frente y el pelo (que sí salen dichas fotografías) aunque el resto de la cara esté pixelada, dejarían de tener seudonimizacion ? , gracias de nuevo
Si quieres podemos profundizar más en el tema, volviendo al considerando 26 del RGPD:
"(...) Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.(...).
Es decir, la labor de contraste y comparación que pueda realizarse entre los datos disponibles y otros razonablemente al alcance del encargado del tratamiento o tercera persona, como por ejemplo los accesibles a través de Internet, que pudieran identificar a la persona, sin que sea precisa la inmediatez que comentas.
Direcciones email, número de teléfono móvil, datos de matriculación de vehículos, número de DNI o pasaporte, número de Seguridad Social y un largo etcétera de datos pueden relacionarse con una determinada persona mediante la indagación en Internet o consulta a registros públicos, como es el caso de los ficheros de la Dirección General de Tráfico, o registros de actividades profesionales y empresariales o el mismo Registro Mercantil, sirviendo para identificar a la persona y resultando con ello en datos de carácter personal a efectos de la actual - y anterior - normativa.
Por supuesto cuando dicha indagación sea razonable en términos de tiempo, coste y técnica a emplear "teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos" en contraposición a las técnicas y labores propias de la investigación profesional llevada a cabo por detectives o miembros de cuerpos de policía o seguridad del Estado.
Los elementos que comentas - "ropa, la frente y el pelo (que sí salen dichas fotografías)" - solo pueden ser considerados datos personales cuando sirvan para identificar en la forma indicada a la persona tras la pixelación, ya sea simple vista por personas que te conozcan, como suele ser el caso de ocultaciones que solo impiden la identidad de la persona a terceros totalmente ajenos a la misma, como en el caso de aplicación de sistemas de infografía que puedan hacer un cotejo e identificación positiva entre la imagen pixelada y otras en Internet.
Si solo tú te reconoces en la imagen porque sabes que eres tú, la misma no puede ser considerada como dato de carácter personal. Por el contrario, si otros pudieran llegar a la imagen a través de búsqueda simple e identificarte en ella de forma razonablemente en los términos expuesto, sí debería de considerarse en tal sentido.