Prácticamente todas las empresas e instituciones comparten información personal de empleados, clientes o colaboradores, en sus páginas web sin preocuparse si cabe sobre las repercusiones que ello pueda tener y sin pararse a mirar mucho la normativa. Publicar nombres, fotografías o datos profesionales en páginas web o redes sociales puede parecer inofensivo, pero sin un consentimiento explícito y documentado, estas prácticas pueden generar riesgos legales y sanciones económicas. Una nueva resolución de la Agencia Española de Protección de Datos (AEPD), que impuso una multa de 5.000 euros a una empresa por publicar la imagen y datos de un empleado sin autorización válida, es un claro recordatorio de esta realidad.
El caso comenzó cuando un ex empleado denunció que su nombre, apellidos y fotografía se habían publicado en la web de la empresa sin su consentimiento. La entidad argumentó que el empleado había posado para las fotos y compartido voluntariamente información para su perfil profesional, pero la AEPD recordó que estas acciones no constituyen un consentimiento explícito conforme al RGPD. Este debe ser libre, informado, específico y explícito, algo que no se cumplió en este caso.
Además de la falta de un consentimiento válido, la resolución destaca otro aspecto importante: el impacto de la exposición pública de datos personales. Publicar información en un entorno accesible a terceros, como una página web, conlleva riesgos significativos para la privacidad de las personas. Estos riesgos son especialmente relevantes en el ámbito digital, donde los datos pueden ser utilizados sin control por terceros, multiplicando los posibles perjuicios para los afectados. Esta falta de protección puede considerarse una infracción grave, incluso si el responsable es una microempresa, como en este caso.
La lección principal de esta resolución es que gestionar datos personales requiere algo más que buenas intenciones. Para garantizar el cumplimiento, las organizaciones deben:
- Obtener consentimiento explícito y documentado: No basta con acciones implícitas como posar para una foto o recibir notificaciones previas.
- Informar adecuadamente: Las personas deben saber exactamente cómo se utilizarán sus datos, para qué y durante cuánto tiempo.
- Minimizar riesgos: Tratar solo los datos estrictamente necesarios y evitar exposiciones innecesarias en entornos públicos.
El caso es un recordatorio contundente de que proteger los datos personales no es solo un requisito legal, sino una forma de salvaguardar la privacidad y confianza en la era digital. La exposición pública de información, aunque parezca una práctica cotidiana, puede tener consecuencias graves si no se realiza cumpliendo estrictamente con la normativa. Proteger los datos es una responsabilidad que todas las organizaciones deben asumir, no solo para evitar sanciones, sino también para respetar los derechos fundamentales de las personas.