Las reuniones celebradas por videoconferencia pueden grabarse con el consentimiento de los participantes, pero ese permiso no da carta blanca a las empresas para utilizar esas grabaciones sin límites.
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 3.000 euros a la gestora Gesconsult por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD) al compartir una grabación con terceros sin contar con un consentimiento específico, informado e inequívoco de los participantes, lo que la autoridad considera un tratamiento ilícito de datos personales.
La difusión de una grabación de una videollamada originó la reclamación
La gestora Gesconsult, encargada de gestionar un fondo de inversión, reunió a el Comité de supervisión de dicha cartera en una videollamada a través de la aplicación de Microsoft Teams.
La empresa avisó a los seis participantes de que iba a ser grabada. Sin embargo, la empresa decidió unilateralmente enviar la grabación (voz e imagen) de la reunión del Comité a dos empresas terceras, partícipes del fondo de inversión, sin que los participantes hubieran consentido previamente la cesión de sus datos personales mediante la difusión del vídeo.
os participantes consideraron que esta actuación vulneraba el RGPD y presentaron una reclamación ante la AEPD.
En el trámite de audiencia, la empresa alegó que la grabación hizo las veces de acta de la sesión y que esta se remitió a los miembros del comité de supervisión y a dos partícipes del fondo que lo solicitaron.
El consentimiento no cubría el uso que hizo la empresa
Sin embargo, la AEPD rechaza la defensa de esta empresa. La autoridad explica que el consentimiento prestado por los participantes de la reunión era específico y vinculado a una finalidad concreta.
«No existe constancia de que los miembros del Comité fueran informados adecuadamente de la finalidad para la que iba a ser utilizada la grabación a fin de obtener un consentimiento informado, específico e inequívoco», señala la AEPD en su resolución.
El artículo 6 del RGPD, sobre la licitud del tratamiento, exige que todo tratamiento de datos personales tenga una base legal válida: consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo. Además, prohíbe el procesamiento sin una base legal específica y asegura la protección.
Gesconsult trató ilícitamente la imagen y voz de los participantes
En este caso, el consentimiento prestado por los participantes no cubría ni que la grabación circulara como acta ni que se entregara a quienes no estuvieron en la reunión.
«No ha quedado acreditado que hubiera un consentimiento para que la grabación de la sesión pudiera ser considerada el acta de la reunión, en los términos del RGPD, ni que pueda aplicarse alguna otra de las bases de legitimación previstas en el artículo 6 del RGPD que ampare el tratamiento de los datos de la parte reclamante con las finalidades anteriormente expuestas», concluye la autoridad.
Por todo esto, la AEPD impuso una sanción a Gesconsult de 5.000 euros por vulnerar el artículo 6 del RGPD, que finalmente se redujo a 3.000 euros tras el reconocimiento de responsabilidad y el pago voluntario de la sanción.
El DPO Alberto Casaseca ha compartido en su red social LinkedIn las tres medidas que pueden evitar las empreas para llegar a esta situación:
- Antes de pulsar el botón de ‘grabar’, definir por escrito todos los usos previstas de la grabación.
- En caso de que la grabación sirva como acta o se quiera compartir con terceros, se debe obtener el consentimiento expreso y separado de cada participante de la videoconferencia para poder cumplir con la legalidad al ejecutar esa finalidad.
- Establecer internamente quien puede acceder a las grabaciones y con qué condiciones.
Porque como bien indica el profesional en su red social, grabar es una práctica habitual. Pero gestionar correctamente el consentimiento informado vinclado a esas grabaciones, todavía no lo es.
