¿Es lícito que el ayuntamiento condicione la participación en actividades públicas a la aceptación de la difusión de imágenes de menores en redes sociales y canales privados?

I Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD, es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.

II Procedimiento

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones, de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

III Cuestiones previas

El artículo 4 “Definiciones” del RGPD define los siguientes términos a efectos del Reglamento:

"1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;”

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;”

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;”

En el presente caso, a tenor del artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que el AYUNTAMIENTO realiza la recogida de, entre otros, los siguientes datos personales de personas físicas: el nombre y apellidos, el número de teléfono o la imagen personal.

El AYUNTAMIENTO realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.

IV Alegaciones al acuerdo de inicio

En respuesta a las alegaciones presentadas por la entidad reclamada se procede a indicar lo siguiente:

1. Base legitimadora del tratamiento de datos personales.

El AYUNTAMIENTO insiste, en su escrito de alegaciones al acuerdo de inicio, que su actuación está amparada en lo dispuesto en el artículo 6.1.c) y e) del RGPD, al estar prevista en el artículo 25.2 de la Ley 7/1985.

En relación con esta manifestación hay que tener en cuenta lo recogido en el artículo 6.3 del RGPD, que establece:

“3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el Derecho de la Unión, o

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.”

Asimismo, el artículo 8 del RGPD dispone:

“1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.”

Así las cosas, cuando el tratamiento se encuentre fundado en una norma de derecho interno, la misma deberá tener rango de ley.

Además, dicha ley deberá respetar en todo caso el principio de proporcionalidad, tal y como recuerda la Sentencia del Tribunal Constitucional 14/2003, de 28 de enero:

“En otras palabras, de conformidad con una reiterada doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan basta con recordar que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si la medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto; SSTC 66/1995, de 8 de mayo [ RTC 1995, 66] , F. 5; 55/1996, de 28 de marzo [ RTC 1996, 55] , FF. 7, 8 y 9; 270/1996, de 16 de diciembre [ RTC 1996, 270] , F. 4.e; 37/1998, de 17 de febrero [ RTC 1998, 37] , F. 8; 186/2000, de 10 de julio [ RTC 2000, 186] , F. 6).”

La misma doctrina sostiene el Tribunal de Justicia de la Unión Europea (TJUE), por todas STJUE de 6 de octubre de 2020, asunto C-623/17, que señala que “Cabe añadir que el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 175 y jurisprudencia citada).”

Es pues, la misma ley que establece la injerencia en el derecho fundamental la que ha de determinar las condiciones y garantías, esto es, el alcance y la limitación, que han de observarse en dichos tratamientos

En definitiva, para que se tengan en cuenta las bases jurídicas previstas en el artículo 6.1.c) y e) del RGPD, deben venir previstas en el Derecho de la Unión o en una norma con rango de Ley. Además, la finalidad del tratamiento debe quedar determinada en la norma que establezca la obligación legal, o ser necesaria para el cumplimiento de la misión realizada en interés público o en ejercicio de poderes públicos, y en todo caso el tratamiento deberá ser proporcional a los objetivos del interés público perseguidos.

Por todo ello, el tratamiento de datos personales que realiza el AYUNTAMIENTO no puede fundarse en las bases jurídicas previstas en el artículo 6.1 letras c) y e) del RGPD, en la medida en que la difusión de imágenes de menores en las redes sociales de acceso público, así como en el canal privado de WhatsApp no se encuentra impuesta en ninguna norma con rango de Ley ni resulta necesaria para el cumplimiento de una misión realizada en interés público derivada de una Ley que defina las garantías y el alcance de la limitación.

Por lo tanto, esta alegación no puede ser tenida en cuenta.

Por otro lado, el AYUNTAMIENTO pone de manifiesto que la publicación de las fotografías estaría relacionada con la necesidad de cumplir con la normativa de transparencia, para que la ciudadanía tenga conocimiento de las actividades que realiza el AYUNTAMIENTO, y que tendría como objetivo:

a) cumplir con las obligaciones municipales

b) realizar tareas de difusión y promoción

c) cumplir con las normativas de transparencia municipal otorgando a todos los ciudadanos la posibilidad de comprobar que su municipio realiza actividades encaminadas a cumplir con los citados objetivos, y poner en conocimiento de la ciudadanía el destino de los recursos públicos.

En relación con esta cuestión, la disposición Adicional Segunda de la LOPDGDD, relativa a la “protección de datos y transparencia y accesos a la información pública” establece que “La publicidad activa y el acceso a la información pública regulados en el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679, y en la presente ley orgánica.”

En este sentido, el artículo 5.1 de la Ley 19/2013 establece que se publicará de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública.

Asimismo, en el apartado 3 se establece: “Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos”

Por su parte, el artículo 8 de esa misma Ley recoge la información relativa a los actos de gestión administrativa con repercusión económica o presupuestaria que deberán hacerse públicos, que son:

“a) Todos los contratos, con indicación del objeto, duración, el importe de la licitación y de adjudicación, el procedimiento utilizado para su celebración, los instrumentos a través de los que, en su caso, se ha publicitado, el número de licitadores participantes en el procedimiento y la identidad del adjudicatario, así como las modificaciones del contrato. Igualmente serán objeto de publicación las decisiones de desistimiento y renuncia de los contratos. La publicación de la información relativa a los contratos menores podrá realizarse trimestralmente.

Asimismo, se publicarán datos estadísticos sobre el porcentaje en volumen presupuestario de contratos adjudicados a través de cada uno de los procedimientos previstos en la legislación de contratos del sector público.

Además, se publicará información estadística sobre el porcentaje de participación en contratos adjudicados, tanto en relación con su número como en relación con su valor, de la categoría de microempresas, pequeñas y medianas empresas (pymes), entendidas como tal según el anexo I del Reglamento (UE) n.º 651/2014 de la Comisión, de 17 de junio de 2014, para cada uno de los procedimientos y tipologías previstas en la legislación de contratos del sector público. La publicación de esta información se realizará semestralmente, a partir de un año de la publicación de la norma.

b) La relación de los convenios suscritos, con mención de las partes firmantes, su objeto, plazo de duración, modificaciones realizadas, obligados a la realización de las prestaciones y, en su caso, las obligaciones económicas convenidas. Igualmente, se publicarán las encomiendas de gestión que se firmen, con indicación de su objeto, presupuesto, duración, obligaciones económicas y las subcontrataciones que se realicen con mención de los adjudicatarios, procedimiento seguido para la adjudicación e importe de la misma.

c) Las subvenciones y ayudas públicas concedidas con indicación de su importe, objetivo o finalidad y beneficiarios.

d) Los presupuestos, con descripción de las principales partidas presupuestarias e información actualizada y comprensible sobre su estado de ejecución y sobre el cumplimiento de los objetivos de estabilidad presupuestaria y sostenibilidad financiera de las Administraciones Públicas.

e) Las cuentas anuales que deban rendirse y los informes de auditoría de cuentas y de fiscalización por parte de los órganos de control externo que sobre ellos se emitan.

f) Las retribuciones percibidas anualmente por los altos cargos y máximos responsables de las entidades incluidas en el ámbito de la aplicación de este título. Igualmente, se harán públicas las indemnizaciones percibidas, en su caso, con ocasión del abandono del cargo.

g) Las resoluciones de autorización o reconocimiento de compatibilidad que afecten a los empleados públicos así como las que autoricen el ejercicio de actividad privada al cese de los altos cargos de la Administración General del Estado o asimilados según la normativa autonómica o local.

h) Las declaraciones anuales de bienes y actividades de los representantes locales, en los términos previstos en la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local. Cuando el reglamento no fije los términos en que han de hacerse públicas estas declaraciones se aplicará lo dispuesto en la normativa de conflictos de intereses en el ámbito de la Administración General del Estado. En todo caso, se omitirán los datos relativos a la localización concreta de los bienes inmuebles y se garantizará la privacidad y seguridad de sus titulares.

i) La información estadística necesaria para valorar el grado de cumplimiento y calidad de los servicios públicos que sean de su competencia, en los términos que defina cada administración competente. (…)

3. Las Administraciones Públicas publicarán la relación de los bienes inmuebles que sean de su propiedad o sobre los que ostenten algún derecho real.”

Por lo tanto, de conformidad con lo establecido, la alegación presentada por el AYUNTAMIENTO, en la que se manifiesta que la necesidad de publicar las fotografías de los menores en las actividades organizadas por el AYUNTAMIENTO se realizaba por cuestiones de transparencia, no puede ser tenida en cuenta.

Tampoco las obligaciones de promoción y difusión de las actividades a las que se refiere el AYUNTAMIENTO justifican aquella publicación de las imágenes de los menores que participan en las mismas, por cuanto aquellas obligaciones pueden perfectamente atenderse con pleno respeto a la protección de datos personales de los interesados.

2, y 3. Medidas en materia de protección de datos adoptadas por el AYUNTAMIENTO. Decisiones adoptadas por el responsable del tratamiento derivada reclamación.

En relación con esta cuestión, el AYUNTAMIENTO pone de manifiesto que

- cuenta con un Delegado de Protección de Datos,

- se están realizando gestiones para la implementación del Registro de Actividades de Tratamiento.

-se han adoptado medidas técnicas y organizativas adecuadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD y resto de las normas aplicables.

-la ciudadanía cuenta con un procedimiento en materia de derechos ARSOPL disponible en el sitio web del AYUNTAMIENTO.

- se procederá a una información más exhaustiva de los usos de las imágenes y las consecuencias de la autorización en las actividades en las que sea necesario la difusión de imágenes, así como una mejor información de los derechos de acceso, rectificación, y supresión de los datos.

- el AYUNTAMIENTO va a modificar todos los formularios en los que se exija aceptarlas condiciones de tratamiento de datos para participar en las convocatorias públicas, y esta medida tendrá su reflejo en el resto de las medidas técnicas y organizativas actualmente implantadas.

Y se va a dejar de supeditar la participación en las actividades al consentimiento en el tratamiento de los datos, en el sentido que se recoge en el acuerdo de iniciación, y, en las siguientes actividades enmarcadas en las competencias antes citadas se va a eliminar el requisito de aceptar el tratamiento de imágenes.

En relación con estas manifestaciones es necesario señalar que el hecho de que haya adoptado este tipo de medidas no contradice el hecho de que la infracción no se haya producido, ya que el incumplimiento ha quedado acreditado a lo largo de este documento.

Asimismo, en relación con la manifestación referida a que va a modificar todos los formularios en los que se exija aceptar las condiciones de tratamiento de datos para participar en las convocatorias públicas es necesario señalar que además de adecuar estos formularios a las medidas correctivas recogidas en el acuerdo de inicio, deberá acreditarlo ante esta Agencia, en los términos recogidos en el apartado VII de este documento.

En cualquier caso, interesa señalar que la modificación del repetido formulario para dejar de supeditar la difusión de imágenes en el contexto descrito a la prestación del consentimiento por los interesados, sobre la base de que dicha difusión puede realizarse al amparo de las otras bases de legitimación invocadas por el AYUNTAMIENTO, no respetaría los principios aplicables a la protección de datos personales, según ha quedado indicado anteriormente.

V Contestación a las alegaciones aducidas a la propuesta de resolución

El AYUNTAMIENTO ha presentado un escrito en fecha 4 de julio de 2025 mediante el que adjunta la hoja de inscripción a la actividad “FUN SUMMER” para las sucesivas ediciones, en las que ha establecido el consentimiento de los representantes legales en caso de menores de edad para la publicación de fotografías del evento y en el que no se excluye la participación en caso de no consentir dicho uso.

En lo que respecta a esta manifestación, se procede a estimar la alegación, no considerándose necesario imponer más medidas.

VI Los principios que han de regir el tratamiento se encuentran enumerados en el artículo 5 del RGPS. Principio de licitud

En este sentido, el artículo 5.1.a) establece que

“Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia).”

Por su parte, el artículo 6.1 del RGPD referido a la “Licitud del tratamiento” establece:

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”

El Considerando 40 del RGPD señala que “Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.”

En el caso que nos ocupa, A.A.A. ponía de manifiesto que, en la solicitud de participación en el programa “Fun summer”, que ofertaba el AYUNTAMIENTO, era necesario aceptar la publicación de fotografías con imágenes de los participantes, (menores de edad) en sus redes sociales públicas y en el canal de difusión de privado de WhatsApp, puesto que, si no se aceptaba dicha cláusula, los menores quedaban excluidos del programa en sí.

Tras efectuarse el traslado de esta reclamación al AYUNTAMIENTO, éste ha contestado que dicho tratamiento se encuentra legitimado en virtud de lo dispuesto en el artículo 6.1 apartados c) y e) del RGPD; cuestión esta que ha sido respondida en el punto primero del Fundamento de Derecho IV anterior.

Por tanto, la base jurídica en la que debe basarse este tratamiento es el consentimiento, previsto en el artículo 6.1.a) del RGPD.

En este sentido el artículo 4.11 del RGPD se refiere al consentimiento del interesado, como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

A su vez, el artículo 92 de la LOPDGDD, referido a la protección de datos de los menores en internet, establece:

“Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica.” (el subrayado es nuestro)

En este sentido, el considerando 42 del RGPD recoge: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (1), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

Asimismo, el considerando 43 del RGPD recoge: “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.”

De acuerdo con lo expresado, el tratamiento de datos requiere la existencia de una base legal que lo legitime, como el consentimiento del interesado prestado válidamente, necesario cuando no concurra alguna otra base jurídica de la mencionadas en el artículo 6.1 del RGPD o el tratamiento persiga un fin compatible con aquel para el que se recogieron los datos.

El artículo 4 del RGPD) define el “consentimiento” como sigue:

“11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El consentimiento se entiende como un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernan, prestada con garantías suficientes para que el responsable pueda acreditar que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. Y debe darse para todas las actividades de tratamiento realizadas con el mismo o mismos fines, de modo que, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos de manera específica e inequívoca, sin que pueda supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de sus datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación negocial. A este respecto, la licitud del tratamiento exige que el interesado sea informado sobre los fines a que están destinados los datos (consentimiento informado).

El consentimiento ha de prestarse libremente. Se entiende que el consentimiento no es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato o prestación de servicio sea dependiente del consentimiento, aun cuando éste no sea necesario para dicho cumplimiento. Esto ocurre cuando el consentimiento se incluye como una parte no negociable de las condiciones generales o cuando se impone la obligación de estar de acuerdo con el uso de datos personales adicionales a los estrictamente necesarios.

Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento.

En el presente caso, se entiende que el consentimiento recabado por el AYUNTAMIENTO mediante el formulario de solicitud habilitado para que los menores se inscriban en las actividades que organiza no cumple las condiciones para que la manifestación de voluntad del interesado se considere válidamente prestada, lo que convierte en ilegales los tratamientos de datos que realiza el AYUNTAMIENTO.

La manifestación que realiza el solicitante para prestar ese consentimiento marcando la casilla habilitada para autorizar el tratamiento de datos puede considerarse un acto afirmativo, pero no una manifestación de voluntad libre, específica, informada e inequívoca de aceptar los tratamientos de datos de carácter personal que le conciernan, prestada con garantías suficientes para acreditar que es consciente del hecho de que da su consentimiento y de la medida en que lo hace.

En este caso, el consentimiento no puede considerarse libre porque el AYUNTAMIENTO impone a los interesados aspectos esenciales relativos al tratamiento de sus datos personales, mermando su capacidad de elección, al informar en el propio formulario de solicitud, junto a la casilla dispuesta para autorizar la difusión de imágenes, que “La no aceptación de estas normas implica la no inscripción en ninguna de las actividades referidas”. 

De este modo, se considera que los hechos conocidos son constitutivos de una infracción, imputable al AYUNTAMIENTO, por vulneración del artículo 6.1 transcrito anteriormente en la medida en que la cláusula que tenía establecida en el formulario para la participación en las actividades de “Fun Summer” excluía de la participación en este programa a todos aquellos participantes que no querían ver publicadas las fotografías de sus hijos menores de edad en las redes sociales públicas, y en el canal privado de WhatsApp, por lo que no se estaría obteniendo un consentimiento libre.

VII Tipificación de la infracción del artículo 6.1 del RGPD y calificación a efectos de prescripción

Los hechos conocidos son constitutivos de una infracción, imputable al AYUNTAMIENTO, tipificada en el 83.5 RGPD, bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:

“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;”

A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72 de la LOPDGDD, que califica de muy grave la siguiente conducta:

“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.

VIII Declaración de infracción

El artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD, en su apartado 7, establece:

“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”

El artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.”

Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de la Agencia Española de Protección de Datos: