La respuesta a dos malas reseñas en un restaurante de açai en Barcelona ha acabado con una multa de 4.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD).
El motivo: El responsable de la cuenta del establecimiento en Google Maps respondió a las valoraciones de una estrella difundiendo datos personales de los usuarios, extraídos de sus perfiles en redes sociales, entre ellos su nombre y apellidos, la universidad en la que estudiaron e, incluso, su orientación sexual.
La AEPD recuerda en su expediente nºEXP202408724, difundido en redes sociales por el profesional Alberto Casaseca, que el hecho de que la información esté disponible en redes sociales no legitima su difusión pública sin base jurídica, vulnerando el artículo 6 y 9 del Reglamento General de Protección de Datos (RGPD).
El origen de los hechos: una valoración negativa en Google Maps
PINKGREEN es un restaurante que vende tazones açai (comida de desayuno o merienda saludable, originario de Brasil, hecho a base de pulpa de açai congelada y triturada (una superfruta amazónica) mezclada con otras frutas) en Barcelona.
Dos usuarios decidieron dejar una mala reseña en su cuenta de Google visibles desde al aplicación ‘Google Maps’: calificaron con una estrella su paso por el restaurante, sin ningún tipo de texto adicional.
En respuesta, el restaurante publicó información personal de uno de ellos —incluyendo su nombre completo, universidad en la que estudió, su orientación sexual y el nombre de su pareja—, así como los nombres de las personas que le acompañaban el día que visitó el restaurante.
En el caso del segundo usuario le retó a que mostrara su foto de perfil, así como datos identificativos de su persona.
Los afectados denunciaron los hechos a la AEPD. Por su parte, PINKGREEN alegó que había sacado toda la información a través de la página de Facebook, pagina en la que el interesado puede delimitar la privacidad que quiere darle a sus datos personales y a los datos personales de sus amigos.
Además, objetó que los datos que proporcionó en su respuesta no se enmarcan dentro del tratamiento de datos personales, sino en el ámbito de una relación personal.
No hay base legitima que sustente el tratamiento de datos por PINKGREEN
Sin embargo, la AEPD rechaza sus argumentos. La entidad pública insiste en que todo tratamiento de datos personales debe contar con una base de legitimación de las previstas en el artículo 6 del RGPD para que sea válido.
En este caso, a pesar de que los datos que figuran en redes sociales de las partes reclamantes (nombre y apellidos, universidad de estudio, pareja y orientación sexual) no hay encaje con ninguna de las bases legitimadores de citado precepto para que PINKGREEN los use y difunda.
Estas son, que los reclamantes han dado su consentimiento, el tratamiento es necesario para la ejecución de un contrato, es necesario para el cumplimiento de una obligación legal, para proteger intereses vitales del interesando, para el cumplimiento de una misión realizada en interés público o es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento. En este caso, no hay ninguna.
Incide la autoridad en que su publicación en redes sociales «no implica que cualquiera pueda recopilar datos de internet y publicarlos sin que medie ninguna base legitimadora para ello».
La orientación sexual es un dato sensible
Por otro lado, la AEPD señala que la publicación de datos relativos a la orientación sexual del primer reclamante y la información relevante que permite identificar a las personas con las que acudió al restaurante no figura en la información del perfil de Facebook.
Ello conlleva a que estos datos entrarían dentro de la categoría especial previsto en el artículo 9 del RGPD, «cuyo tratamiento se encuentra prohibido salvo que exista alguna de las excepciones a la prohibición de tratamiento de las previstas en el artículo 9.2 del RGPD».
«Así pues, su tratamiento requiere la concurrencia de alguna de las circunstancias recogidas en el apartado 2 del citado artículo que levante la prohibición general de tratamiento. No obstante, no consta en las actuaciones, y tampoco ha sido justificado por la parte reclamada, que reconoce, por otra parte, la mencionada publicación que concurra alguna de las circunstancias que salven la prohibición de tratamiento de tales datos personales».
De este modo, la AEDP considera que los hechos son constitutivos de una vulneración tanto del artículo 6 y 9 del RGPD, cifrando la infracción del primer precepto en 1.500 euros y la segunda en 2.500 euros.
En total, 4.000 euros por incluir en una contestación de una reseña información ajena y no necesaria para la finalidad, el uso de un canal público (con alta visibilidad y sin control de difusión) y hacer un tratamiento de datos que no eran imprescindibles para contextualizar la respuesta ni para defender los interés de la empresa.
