Multa aplicada à Fundação Trilema por publicação de imagens sem autorização
1. Questões fundamentais relacionadas com o incidente
O procedimento decorre de uma queixa apresentada à AEPD em abril de 2024 contra a Fundação Trilema (doravante, F.T.), entidade gestora de um centro educativo, relativa à publicação de imagens e vídeos de um menor e da sua mãe nas redes sociais e na Internet, sem o necessário consentimento para esse tratamento.
O queixoso, pai de um aluno inscrito no centro educativo gerido pela F.T., declarou que a escola tinha publicado fotografias e vídeos do seu filho em várias redes sociais (incluindo Instagram, YouTube, Facebook e o sítio Web da escola) sem ter obtido a sua autorização. O queixoso afirmou que, depois de pedir uma cópia da autorização, o centro reconheceu que não a tinha.
De acordo com a documentação do processo, as imagens do menor e da sua mãe foram publicadas em pelo menos quatro plataformas e redes sociais entre 2021 e 2024. A AEPD verificou a exatidão das publicações comunicadas em maio de 2024.
F.T. declarou que o centro solicitava o consentimento para a publicação de imagens no início de cada ano letivo. No entanto, reconheceu que, no ano letivo de 2023-2024, não tinha sido recebido qualquer consentimento assinado da mãe ou do pai da criança, pelo que o menor foi classificado como "não autorizado". Relativamente aos anos lectivos anteriores, F.T. admitiu que o consentimento assinado não foi conservado, uma vez que foi aplicada uma política de conservação de um ano. Relativamente às imagens da mãe do menor, a F.T. reconheceu que apenas obteve consentimento verbal, o que foi expressamente negado pelo interessado.
A AEPD analisou vários aspectos do tratamento de dados pessoais efectuado pela F.T., nomeadamente a existência de uma base jurídica válida para a publicação das imagens (artigo 6.º do RGPD), bem como o respeito pelo princípio da limitação da conservação dos dados (artigo 5.º, n.º 1, alínea e), do RGPD), uma vez que a política da organização previa a conservação por tempo indeterminado das imagens publicadas. O processo foi concluído com uma coima total de 6.000 euros, reduzida para 3.600 euros depois de a F.T. ter reconhecido a sua responsabilidade e pago voluntariamente o montante.
2. Incumprimentos do RGPD
Com base nos factos descritos e nas investigações realizadas, a AEPD considerou que a F.T. não tinha cumprido várias obrigações estabelecidas no RGPD e determinou que tinham sido cometidas duas violações diferentes:
1. Legalidade do tratamento - Falta de consentimento válido (artigo 6.1.a do RGPD)
A base jurídica invocada pela F.T. para publicar imagens de alunos e familiares nas redes sociais e na Internet foi o consentimento do titular dos dados (artigo 6.º, n.º 1, alínea a), do RGPD). No entanto, a AEPD considerou que a F.T. não conseguiu demonstrar que esse consentimento tinha sido obtido de forma válida.
Relativamente às imagens do menor, a F.T. admitiu que, durante o ano letivo de 2023-2024, não foi recebido qualquer consentimento assinado pelos pais, embora tenha reconhecido que o menor apareceu em pelo menos uma imagem publicada devido a "erro de identificação". Relativamente aos anos lectivos anteriores, a organização declarou que tinha sido obtido o consentimento assinado, mas que não conservava os documentos, uma vez que aplicava uma política de retenção de um ano. Por outro lado, em relação às imagens da mãe da criança, a F.T. reconheceu ter obtido apenas o consentimento verbal, que não foi documentado por escrito, facto que foi expressamente negado pela interessada.
A AEPD observou que o consentimento, de acordo com o considerando 32 do RGPD, deve ser dado através de um ato afirmativo claro que reflicta uma indicação livre, específica, informada e inequívoca da vontade da pessoa em causa. Consequentemente, a AEPD concluiu que a F.T. não tinha obtido o consentimento válido dos pais para publicar imagens do menor e da sua mãe nas redes sociais e na Internet e considerou que o artigo 6.º, n.º 1, alínea a), do RGPD tinha sido violado, resultando numa coima de 3.000 euros.
2. Princípio da limitação da conservação (artigo 5.º, n.º 1, alínea e), do RGPD)
A alínea e) do n.º 1 do artigo 5.º do RGPD estabelece que os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais os dados são tratados. A AEPD constatou que o formulário de consentimento utilizado pela F.T. até ao ano letivo de 2024-2025 indicava expressamente que os dados seriam conservados "indefinidamente, a menos que o titular dos dados solicite o seu apagamento".
A AEPD considerou que esta prática era excessiva e desproporcionada, na medida em que as imagens de menores e de alunos adultos publicadas nas redes sociais e no sítio Web da escola poderiam permanecer disponíveis mesmo depois de os alunos terem atingido a idade adulta ou de já não estudarem nesse centro, a menos que o titular dos dados solicitasse expressamente a sua eliminação.
Consequentemente, a AEPD identificou uma violação do princípio da limitação da conservação e aplicou-lhe uma coima de 3.000 euros por esse motivo. É de salientar que, após a instauração do processo, a F.T. alterou a sua política de conservação, estabelecendo um prazo máximo de cinco anos, o que foi considerado uma medida corretiva adoptada pela organização, embora não a tenha isentado de responsabilidade pela violaç�ão cometida.
3. Conclusões
Esta decisão evidencia a abordagem particular da AEPD à publicação de imagens e vídeos de menores nas redes sociais e na Internet por parte de instituições de ensino, bem como a necessidade de estas instituições disporem de mecanismos robustos e verificáveis de obtenção e conservação do consentimento.
A AEPD recorda que, quando a base legal para o tratamento de dados pessoais é o consentimento do titular dos dados, este deve ser livre, específico, informado e inequívoco e o responsável pelo tratamento deve poder demonstrar que foi obtido em qualquer altura. Por conseguinte, não é suficiente obter um consentimento verbal ou afirmar a existência de autorizações que não são conservadas ou que não podem ser demonstradas. Além disso, a conservação de dados pessoais - incluindo imagens - deve estar sujeita a prazos definidos e proporcionais, não sendo aceitável uma política de conservação indefinida.
Nota informativa do Departamento de Proteção de Dados da ECIJA Madrid.
