Protección de Datos empieza a multar a empresas por subir fotos al perfil de sus trabajadores sin permiso

El regulador de privacidad sanciona con 5.000 euros a un despacho de abogados por este motivo, a pesar de que el empleado se sacó la fotografía y no expresó su negativa a la publicación
— Sanción de 250.000 euros a Cetelem por cargar 10 recibos de una deuda sin cobrar en la cuenta de un total desconocido

28 de noviembre de 2024 22:30 h

Se ha convertido en una costumbre habitual que empresas de todo tipo, sobre todo aquellas que ofrecen servicios especializados, suban a sus páginas web imágenes de sus empleados junto a los datos de su perfil profesional y el puesto que ocupan en el organigrama. Una práctica que, pese a extendida, va contra la normativa de privacidad si la organización no cuenta con el permiso expreso de los trabajadores para mostrar su, ha zanjado la Agencia Española de Protección de Datos (AEPD) en una reciente resolución.

El organismo ha multado por este motivo con 5.000 euros a un despacho de abogados con sede en Barcelona, Madrid y Andorra. Este publicó en la sección “Equipo” de su web una imagen de cada uno de sus trabajadores, uno de los cuales denunció esta acción ante la AEPD un mes después de abandonar la empresa. Tras un año de proceso, el regulador de la privacidad ha terminado dándole la razón y sancionando a su ex bufete.

El despacho de abogados alegó que el extrabajador había dado su consentimiento tácito a la publicación. Basaba este argumento en hechos como que el reclamante fue informado mediante un correo electrónico de que se iba a realizar la sesión de fotografías, posó para la foto, se le dio la oportunidad de “revisarlas” posteriormente para escoger la que más le gustara y además publicó una de ellas en su perfil de LinkedIn.

El bufete añade también que fue el propio extrabajador el que suministró los datos acerca de su trayectoria profesional que se incluyeron después en el apartado sobre él de la sección de “Equipo” que luego denunció.

La AEPD, sin embargo, ha rechazado este argumento. El regulador establece que las condiciones para la publicación de la imagen de los trabajadores deben incluir un “consentimiento informado, libre, específico, y prestado de manera inequívoca” para el uso de su fotografía con dicho fin. Un permiso “tácito o presunto”, derivado de la participación del trabajador en la sesión de fotos o del hecho de que no se opusiera expresamente a la publicación cuando fue informado por correo electrónico no bastan para mostrar su imagen, zanja la Agencia.

El regulador recuerda que el responsable del tratamiento debe poder demostrar que el interesado ha prestado su consentimiento de forma válida. Destaca que, en este caso, la firma legal no ha podido aportar ninguna prueba de que su exempleado así lo hiciera, pese a que participara en todas las actividades que dieron lugar a la publicación de su imagen en la web y no se opusiera expresamente a ello durante el proceso.

En este sentido, apunta que el correo para informar a los empleados de la realización de las fotografías solo expresaba que “mañana sacaremos fotos a los nuevos que lo deseen”, sugiriéndoles que visitarán la página de “Equipo” del despacho “para ver el estilo que usamos y elegís la que más se os ajusta”. Lo cual no puede considerarse una aceptación de la publicación.

“Un consentimiento prestado libremente significa que el interesado ha de tener una opción real para no otorgarlo. En consecuencia, no puede considerarse otorgado el consentimiento libremente cuando el sujeto no puede negar su otorgamiento sin sufrir algún tipo de consecuencia negativa, extremo que deberá probar el responsable del tratamiento”, afirma el regulador en la resolución.

Además de los 5.000 euros de sanción, la AEPD ha dado tres meses al bufete para recabar ese consentimiento específico e informado del resto de los trabajadores cuya imagen aparece en su web. Una recomendación que podría hacerse extensible a todas las empresas que traten la imagen de sus empleados de esta manera. La resolución reseña que la regulación de privacidad no presenta “una forma concreta de registrar el consentimiento”, por lo que corre a cargo de cada organización recabarlo “de tal manera que pueda probar que el interesado ha prestado de manera válida el citado consentimiento”.

El regulador de la privacidad español se ha mostrado inflexible en los procesos que afectan al uso de la imagen en fines para los que estos no han dado su consentimiento expreso. Otro de los procesos más sonados en este sentido se cerró en 2023, cuando la Agencia multó con 20.000 euros a una fábrica de plásticos de Alicante por usar la fotografía de un empleado en un sistema de fichaje por reconocimiento facial sin contar con el consentimiento expreso para ello.