Sanción a Fundación Trilema por publicación de imágenes sin consentimiento
1. Cuestiones principales sobre el incidente
El procedimiento tiene su origen en una reclamación presentada ante la AEPD en abril de 2024 contra la Fundación Trilema (en adelante, F.T.), entidad gestora de un centro educativo, por la publicación de imágenes y vídeos de un menor de edad y de su madre en redes sociales y en internet, sin contar con el consentimiento necesario para dicho tratamiento.
La parte reclamante, el padre del alumno matriculado en el centro educativo gestionado por F.T., puso de manifiesto que el colegio había publicado fotografías y vídeos de su hijo en diversas redes sociales (incluyendo plataformas como Instagram, YouTube, Facebook y la propia página web del centro), sin haber obtenido su autorización. El reclamante manifestó que, tras solicitar la copia de la autorización, el centro reconoció no disponer de la misma.
Según la documentación obrante en el expediente, las imágenes del menor y de su madre fueron publicadas en, al menos, cuatro plataformas y redes sociales, correspondientes a los años 2021, 2023 y 2024. La AEPD verificó la veracidad de las publicaciones denunciadas en mayo de 2024.
F.T. manifestó que el centro solicitaba el consentimiento para la publicación de imágenes al inicio de cada curso escolar. No obstante, reconoció que, respecto del curso 2023-2024, no se había recibido el consentimiento firmado del progenitor del menor afectado, por lo que el menor fue clasificado como “no autorizado”. En relación con cursos anteriores, F.T. admitió que el consentimiento firmado no se conservaba, al aplicarse una política de retención de un solo año. Por lo que respecta a las imágenes de la madre del menor, F.T. reconoció que solo había recabado un consentimiento verbal, el cual fue negado por la interesada.
La AEPD analizó diversos aspectos del tratamiento de datos personales llevado a cabo por F.T., en particular la existencia de una base de legitimación válida para la publicación de las imágenes (artículo 6 RGPD), así como el cumplimiento del principio de limitación del plazo de conservación (artículo 5.1.e RGPD), dado que la política de la entidad preveía la conservación indefinida de las imágenes publicadas. El procedimiento concluyó con una sanción total de 6.000 euros, reducida a 3.600 euros tras el reconocimiento de responsabilidad y el pago voluntario por parte de F.T.
2. Infracciones del RGPD
Partiendo de los hechos descritos y las investigaciones que se llevaron a cabo, la AEPD consideró que F.T. había incumplido diversas obligaciones establecidas en el RGPD, declarando la comisión de dos infracciones diferenciadas:
1. Licitud del tratamiento – Ausencia de consentimiento válido (artículo 6.1.a RGPD)
La base jurídica invocada por F.T. para la publicación de imágenes de alumnos y familiares en redes sociales y en internet era el consentimiento del interesado (artículo 6.1.a del RGPD). Sin embargo, la AEPD constató que F.T. no fue capaz de acreditar la obtención de dicho consentimiento de forma válida.
En relación con las imágenes del menor, F.T. admitió que durante el curso 2023-2024 no se recibió el consentimiento firmado de los progenitores, si bien reconoció que el menor apareció en al menos una imagen publicada debido a un “error de identificación”. Respecto de cursos anteriores, la entidad alegó que existió consentimiento firmado, pero que no conservaba dichos documentos al aplicar una política de retención de tan solo un año. Además, en relación con las imágenes de la madre del menor, F.T. reconoció que únicamente contaba con un consentimiento verbal, no documentado por escrito, el cual fue expresamente negado por la interesada.
La AEPD recordó que el consentimiento, conforme al Considerando 32 del RGPD, debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca. En consecuencia, la AEPD concluyó que F.T. no había aportado al expediente el consentimiento válido de los padres para publicar imágenes del menor y de su madre en redes sociales e internet, apreciando una vulneración del artículo 6.1.a) del RGPD, por la que se impuso una sanción de 3.000 euros.
2. Principio de limitación del plazo de conservación (artículo 5.1.e RGPD)
El artículo 5.1.e) del RGPD establece que los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. La AEPD constató que el documento de consentimiento utilizado por F.T. hasta el curso 2024-2025 establecía expresamente que los datos se mantendrían “de forma indefinida en tanto el interesado no solicite su supresión”.
La AEPD consideró que esta práctica resultaba excesiva y desproporcionada, en la medida en que las imágenes de menores de edad y mayores publicadas en redes sociales y en la página web del colegio podrían permanecer disponibles incluso hasta cuando los alumnos fuesen mayores de edad o ya no cursaran estudios en dicho centro, salvo que el interesado solicitara expresamente su supresión.
En consecuencia, la AEPD apreció una vulneración del principio de limitación del plazo de conservación, imponiendo por este concepto una sanción de 3.000 euros. Cabe destacar que, con posterioridad a la apertura del procedimiento, F.T. modificó su política de conservación, estableciendo un plazo máximo de cinco años, lo cual fue valorado como una medida correctiva adoptada por la entidad, si bien no eximía de responsabilidad por la infracción cometida.
3. Conclusiones
Esta resolución pone de manifiesto la especial atención de la AEPD a la publicación de imágenes y vídeos de menores de edad en redes sociales y en internet por parte de centros educativos, así como la necesidad de que dichos centros cuenten con mecanismos robustos y acreditables de obtención y conservación del consentimiento.
La AEPD recuerda que, cuando la base de legitimación para el tratamiento de datos personales sea el consentimiento del interesado, este debe ser libre, específico, informado e inequívoco, y el responsable del tratamiento debe poder acreditar su obtención en todo momento. No basta, por tanto, con obtener un consentimiento verbal ni con alegar la existencia de autorizaciones que no se conservan ni pueden demostrarse. Asimismo, la conservación de datos personales —incluidas las imágenes— debe estar sujeta a plazos proporcionados y definidos, sin que resulte admisible una política de retención indefinida.
Nota informativa del área de Protección de Datos de ECIJA Madrid.
