LOPD (ley orgánica de protección de datos)

LOPD (ley orgánica de protección de datos)

Tabla de contenidos

Introducción a la Ley de Protección de Datos

¿De dónde surge la LOPD-GDD? ¿Por qué?

¿Cuáles son los beneficios de la LOPD-GDD?

Derechos del interesado y sus beneficios

Beneficios para el responsable del tratamiento de los datos

¿A qué empresas afecta la LOPD-GDD?

Aspectos importantes de la LOPD-GDD

Principios básicos

Datos de Carácter Personal, y la Protección de Datos de Carácter Personal (PDCP) como proceso

Figuras clave en el tratamiento de datos personales

Proceso para proteger los datos personales

Deber de información al interesado

Consentimiento para el tratamiento

Tratamiento de datos y la protección de datos personales en contenidos digitales hipermedia

Deber de secreto

Seguridad del tratamiento para los datos especialmente protegidos

Cesión de datos, acceso por terceros y transferencias internacionales

Casos prácticos de protección de datos en comunicación audiovisual

Caso 1: Grabación en la calle con personas no participantes

Caso 2: Retirada del consentimiento

Caso 3: Publicación en RRSS con datos personales expuestos sin querer

Caso 4: Uso de datos de casting para fines no autorizados

Claves para una protección de datos efectiva

Referencias y bibliografía

Decálogo básico para la adaptación de las pymes a la LOPD. (2015, 10 noviembre). La Empresa Familiar. https://www.laempresafamiliar.com/biblioteca/decalogo-basico-para-la-adaptacion-de-las-pymes-a-la-lopd/

Introducción a la ley de protección de datos.

La LOPD-GDD (Ley Orgánica de Protección de Datos y garantía de los derechos digitales) es la ley española que se encarga de proteger la información personal de los ciudadanos, además de garantizar que se use de forma segura y responsable. Su objetivo principal es proteger los datos personales de las personas físicas y respetar sus derechos en un entorno digitalizado.

Pero ¿qué es exactamente un dato personal?
Se trata de cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo, que permita identificar, directa o indirectamente, a una persona física. Ya sea su nombre, correo electrónico, matrícula del coche o dirección de IP… todos estos ejemplos son datos personales.

En el ámbito de la comunicación audiovisual, los datos personales son especialmente relevantes, pues constantemente se manejan datos a través de grabaciones, publicaciones en RRSS, programas de televisión…

En este blog vamos a hablar sobre los aspectos más importantes de la LOPD-GDD, y su importancia en el mundo audiovisual. Además, explicaremos casos concretos para entender cómo se debe actuar según la ley, y por qué es necesario respetar la privacidad en los contenidos que creamos y compartimos.

¿De dónde surge la LOPD-GDD? ¿Por qué?

Con la aparición y crecimiento de las nuevas tecnologías, a mediados del siglo XX surge la necesidad de regular el uso de los datos personales. Se necesitaba proteger el derecho fundamental de los ciudadanos a su intimidad y dejar constado que los datos debían ser tratados de forma clara, sin engaños, y sin dar lugar a confusiones. Es decir, se necesitaba garantizar que la recogida de datos personales tuviera un fin determinado. Además, debía respetar la integridad, intimidad y privacidad de los individuos.

Por lo que diversos organismos internacionales, como la ONU y el Consejo de Europa, comenzaron a idear normas para regular esta privacidad. Así se ha conformado, desde 1987 hasta 2018, la LOPD-GDD.

Es necesario destacar que la protección de datos es un proceso continuo, y se deberá seguir adaptando y legislando según vaya evolucionando la tendencia de las nuevas tecnologías, y según vayan surgiendo nuevas necesidades.

¿Cuáles son los beneficios de la LOPD-GDD? 

Derechos del interesado y sus beneficios. 

S O P L A R

1. Derecho a la Supresión: “Supresión de los datos personales del interesado cuando ya no sean necesarios para su finalidad, se retire el consentimiento, se ejerza el derecho de oposición o sean tratados de forma ilícita”. Es decir, cuando el interesado lo vea oportuno, puede solicitar (y se le debe conferir) la supresión de sus datos.
2. Derecho a la Oposición: “Oposición al tratamiento de sus datos personales o cesión de los mismos”.
3. Derecho a la Portabilidad de los datos: “Posibilidad de solicitar que se faciliten los datos personales en un formato estructurado y claro a otro responsable”. De esta forma, evitamos que las empresas “nos retengan” a base de tener nuestros datos bloqueados, en caso de querer cambiar, por ejemplo, de entidad bancaria.
4. Derecho a la Limitación del tratamiento: “Limitación del tratamiento de los datos cuando el interesado impugne la exactitud de los datos, el tratamiento sea ilícito y el interesado se oponga a la supresión y solicite la limitación de su uso…”. Es decir, el interesado puede pedir que “congelen” sus datos personales por un tiempo, para que no se usen pero tampoco los borren.
5. Derecho de Acceso: “Solicitar información sobre el tratamiento de los datos”.
6. Derecho a Rectificación: “Solicitar la modificación de datos que sean inexactos o incompletos”.

De esta forma, el interesado tiene un mayor control sobre sus datos personales y su privacidad está más protegida; evitando que se haga un uso indebido de sus datos.

También es más sencillo confiar en las empresas, entidades, organizaciones o administraciones, sabiendo que se toman en serio la protección de su información personal.

Beneficios para el responsable del tratamiento de los datos. 

1. Como acabamos de mencionar anteriormente, cumplir con la LOPD-GDD genera confianza con los clientes, demostrando un compromiso verdadero con la privacidad de los interesados.
2. Además, evita sanciones y problemas legales, pues cumplir con la ley asegura que la entidad esté alineada con las leyes y regulaciones vigentes.
3. Facilita la gestión de información, al tener que llevar un sistema claro y ordenado, mejorando la eficacia
4. También favorece la transparencia y la ética profesional, especialmente frente a medios de comunicación.
5. Permite internacionalizar servicios, pues al cumplir con el RGPD es más fácil trabajar con empresas de otros países europeos.

¿Sabías que…?
El RGPD (Reglamento General de Protección de Datos) es europeo, mientras que la LOPD-GDD es su “versión española”

Julio. (2024, 25 julio). LOPDGDD: obligaciones y oportunidades en protección de datos. Actecil. https://actecil.eu/es/lopdgdd-obligaciones-y-oportunidades/

¿A qué empresas afecta la LOPD-GDD? 

Toda aquella empresa, organización, administración o entidad que traten datos personales debe cumplir con la Ley Orgánica de Protección de Datos. Esto incluye tratar desde datos básicos, como el nombre y la dirección de casa, hasta la información más sensible, como pueden ser datos de salud.

Independientemente del tamaño de la entidad (véase grandes corporaciones, PYMES, o personas autónomas) están obligadas a respetar y actuar según los marcadores de la ley.

Aspectos importantes de la LOPD-GDD

Para comprender mejor cómo funciona la LOPD-GDD, vamos a aclarar a continuación una serie de conceptos.

Principios básicos.

Los datos recogidos para su tratamiento deben ser protegidos en todo momento, desde su captación hasta su destrucción. De tal forma, se crea un compromiso con los interesados quienes te confían sus datos.

Los datos deben ser tratados de forma clara, sin engaños y sin dar lugar a confusiones. Deben ser recogidos, siempre, con un fin determinado.

Debe haber licitud, lealtad y transparencia.

Datos de Carácter Personal, y la Protección de Datos de Carácter Personal (PDCP) como proceso. 

Como hemos mencionado antes, un dato de carácter personal puede ser desde un nombre, hasta una dirección IP o la matrícula de tu vehículo. También hemos mencionado que cualquier entidad debe cumplir con la LOPD-GDD, pero ¿cómo lo hacen?

Figuras clave en el tratamiento de datos personales. 

Para poder gestionar bien el manejo de datos de carácter personal se dividió el trabajo en roles, para poder cubrir bien todos los ámbitos y no quebrar ningún reglamento:

Por una parte, tenemos al responsable del tratamiento de datos; una persona física o jurídica, privada o pública, que decide sobre el tratamiento de datos. Está sujeto a los requerimientos establecidos por la normativa, claro.

Además de él, encontramos al encargado de tratamiento de datos; persona física o jurídica, privada o pública, que trata los datos personales por cuenta del responsable. Es decir, hace lo que el responsable le mande. Suelen ser terceros externos a la entidad.

EL DPO (data protection officer) es una persona experta en privacidad y protección de datos que asesora, ayuda, supervisa y controla al responsable o al encargado del tratamiento. Cabe destacar que no todas las empresas necesitan un DPO, sólo están obligadas a contar con ello las administraciones públicas, o aquellas entidades que traten datos sensibles a gran escala.

Finalmente, el responsable de privacidad, si bien es más un rol dentro de la empresa más que una figura jurídica; es aquella persona encargada de velar por la privacidad dentro de la empresa.

Procesos para proteger los datos. 

Aclarados los roles, pasemos a ver cómo las empresas cumplen con el RGPD y la LOPD-GDD. Esto lo hacen gracias a la Protección de Datos de Carácter Personal (PDCP) (protección de datos de carácter personal)

1. Análisis de riesgos: Los responsables y encargados del tratamiento realizarán una valoración inicial del riesgo que conlleva su tarea, con el fin de determinar qué medidas aplicar y cómo hacerlo. Esto variará en función del tipo de tratamiento, la naturaleza de los datos, el número de interesados…
2. Evaluación de impacto: Se usa cuando el tratamiento puede suponer un alto riesgo para los derechos de las personas. Sirve para analizar bien ese supuesto riesgo antes de actuar.
3. Registro de actividades de tratamiento: Es un documento utilizado para anotar todos los datos personales que se recogen, por qué, quién los trata, cuánto tiempo se guardan… Están obligadas todas las empresas con más de 250 empleados, cuando se realicen tratamientos que puedan suponer un riesgo para los interesados. Es un “diario” del tratamiento.
4. Documento de seguridad: Si bien parece igual que el registro de actividades de tratamiento, el documento de seguridad recoge todas las medidas técnicas y organizativas que se han tomado para proteger los datos.
5. Contratos con terceros: En caso de que una empresa trabaje con otra externa, se deben firmar contratos para asegurarse de que esta tercera parte también respeta la ley.
6. Política de privacidad con empleados: La empresa está obligada a informar y formar a su personal sobre cómo tratar los datos. Todos deben saber qué pueden hacer y qué no pueden hacer.
7. Incluir textos legales en la página web: ¿Te has fijado alguna vez que en las páginas web saltan mensajes como: “aviso legal” o “política de privacidad”? Es mandatorio incluir apartados así, para que el usuario sepa cómo se usan sus datos.
8. Derechos SOPLAR: La entidad debe garantizar siempre que cualquier persona pueda ejercer los derechos que hemos visto antes, respondiendo en los plazos que marca la ley.
9. Videovigilancia: En caso de que se usen cámaras, deben colocarse avisos visibles, no grabar en zonas privadas y conservar las imágenes solo el tiempo necesario.
10. Consentimiento para el tratamiento: Claro está, que siempre que se recojan datos personales, hay que informar a la persona interesada y obtener su consentimiento claro, libre e informado.

Deber de información al interesado.

Como hemos visto en los pasos número 9 y 10, las entidades están obligadas a informar a los interesados de qué datos va a utilizar, cómo y las opciones que tienen para ejercer sus derechos.

Deben informar el responsable y/o el encargado de tratamiento de los datos. Si la información se obtiene del propio interesado, se informará en el momento en el que se soliciten y recojan los datos. En caso de que no se obtengan del propio interesado (en caso de que, por ejemplo, se reciban de parte de otra empresa), debe ser en un plazo razonable; por lo general alrededor de un mes.

A la hora de informar, debe haber, sobre todo, transparencia. Se debe buscar un equilibrio entre concisión y precisión, evitando el abuso de citas legales o detalles confusos… Vaya, a poder ser, un niño de 10 años debería ser capaz de entender el lenguaje que estemos utilizando. Esta información debe ser accesible, comprensible y fácilmente localizable por el usuario.

Se podrá presentar la información en dos niveles: un primer nivel con información básica y resumida, para poder tener conocimiento general; y un segundo nivel donde se ofrezca el resto de información.
Esto sucede en las páginas web con las cookies. Primero te aparece el pequeño mensaje con una parte resumida, y al lado suele aparecer un recuadro que pone “Más información”.

Consentimiento para el tratamiento.

Una vez informado el interesado, debe dar (o no) su consentimiento a la entidad para que traten sus datos.

Un consentimiento es toda manifestación libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o afirmación, el tratamiento de los datos personales que le conciernen.

Es decir, no servirá como un consentimiento válido una presuposición, la inacción del interesado, o el consentimiento por omisión. El interesado tiene que hacer “algo” de forma expresa para aceptar el tratamiento, y solo ese “algo” será interpretado de tal forma.
Por ejemplo, cuando accedes a una zona videovigilada y ves el cartel que avisa de ello, el interesado está aceptando a que trates sus datos al entrar. En este caso el consentimiento no es explícito, pero se acepta por hecho evidente. Una firma, en todo caso, sí es un consentimiento explícito.

El consentimiento que dé el interesado debe ser verificable. Es decir, se debe poder acreditar que has obtenido el consentimiento. Por ello, no es válido presuponer que el interesado está consintiendo el tratamiento de sus datos por inacción.

Tratamiento de datos y la protección de datos personales en contenidos digitales hipermedia.

Habiendo entendido todo lo anterior, vamos a clarificar qué es el tratamiento de datos personales, y cuál es su importancia en el ámbito audiovisual.

Cualquier operación o conjunto de ellas realizada sobre toda información que permita identificar a una persona física son tratamientos de datos, independientemente de que sean automatizados o no. Esto incluye recabar datos personales, registrarlos, organizarlos, almacenarlos, modificarlos, consultarlos e incluso publicarlos; borrarlos, utilizarlos…

Como hemos repetido ya varias veces, los datos de carácter personal únicamente podrán ser recogidos para su tratamiento para un fin determinado, que debe ser explícito y legítimo. Deben ser adecuados y pertinentes en relación con el ámbito; es decir, no puedes recabar “datos de más” para “por si acaso”. Claro está que no podrán usarse para otro fin distinto al que fueron recogidos.

En el mundo de la comunicación audiovisual, suele ser muy frecuente grabar, editar o manejar simplemente datos personales. Por ejemplo, cuando se graba a una persona en un reportaje, o se publica un vídeo en redes sociales donde aparecen personas identificables.
Pero no solo se limita a grabar imágenes o voces. Es probable que, durante un casting, se recojan los datos personales y, probablemente, sensibles, de los actores dispuestos a participar.

Por ello, es muy importante siempre obtener el consentimiento debido, informar de forma adecuada, proteger los datos que se recaben y usarlos únicamente para la finalidad prevista. En este sector es especialmente importante conocer y aplicar la normativa desde el primer momento; no solo para cumplir la ley, sino también para garantizar una comunicación ética, profesional y, sobre todo, respetuosa.

Laborytax, D. C. A. (2019, 27 marzo). Puntos de la nueva LOPD-GDD que debes conocer. AYCE LABORYTAX. https://www.aycelaborytax.com/blog/puntos-clave-de-la-nueva-lopd-gdd-que-tu-empresa-no-puede-pasar-por-alto/

Deber de secreto.

Respetando y cumpliendo así con la LOPD-GDD, cualquier persona que intervenga en el tratamiento de datos de carácter personal está obligado al secreto profesional. Dicho secreto deberá guardarse incluso después de haberse finalizado su relación con el interesado.

Seguridad del tratamiento para los datos especialmente protegidos. 

Los datos especialmente protegidos son aquellos que, debido a su incidencia especial en la intimidad del interesado, necesita una mayor protección que el resto de los datos personales (véase ideología, afiliación sindical, religión, orientación sexual…). Éstos sólo pueden ser tratados con un consentimiento expreso y por escrito.

Para tratar estos datos hay algunas medidas obligatorias a tomar, y otras técnicas y organizativas para facilitar su seguridad:

Respecto a las medidas obligatorias, encontramos el registro de las actividades de tratamiento y la evaluación del impacto, que habíamos mencionado anteriormente. Con estas dos medidas garantizan un uso responsable de los datos especialmente protegidos.

Pasando a las medidas de seguridad restantes, encontramos varias opciones:

• Cifrado de datos: Se deben cifrar los datos en su comunicación y almacenamiento, siendo necesario llevar un registro con fecha y persona que accedió a ellos. Asimismo, se deberá elaborar una lista de personas autorizadas y establecer un procedimiento seguro para su tratamiento.
• Anonimización: Es un proceso mediante el cual podemos eliminar la identidad de una persona a partir de sus datos personales. Es decir, tras anonimizar, no hay forma de saber de quién son esos datos; ni siquiera la entidad que los recogió. Un ejemplo muy claro en el mundo audiovisual es pixelar las caras de la gente que pueda aparecer durante la grabación de una calle, de tal forma que ese dato (las caras) no se pueda relacionar con ninguna persona real.
• Seudonimización: Es una técnica parecida a la Anonimización, a diferencia de que ésta no elimina la identidad real de una persona. Consiste en cambiar los datos personales por, por ejemplo; un código, número o apodo. De esta manera, no se puede saber quién es la persona, a no ser que tengas información adicional por separado para descifrar el seudónimo. Por ejemplo, si durante la grabación de un documental haces entrevistas a personas que quieren mantener su anonimato, en lugar de poner su nombre real puedes poner en pantalla “Participante 018”. Pero, como director, tienes una lista aparte que dice “Participante 018 = Paula García”.
• Otras medidas técnicas: Pueden ser las copias de seguridad, las VPNs, formación para los miembros de la entidad, control de accesos…

Cesión de datos, acceso por terceros y transferencias internacionales.

¿Puede una empresa dar mis datos personales a otra? La respuesta es sí, pero siempre y cuando cuente con mi consentimiento expreso, habiéndome informado previamente de a quién se cederán mis datos y con qué finalidad.

Antes de entrar en el tema, es importante diferenciar entre cesión de datos y acceso a datos por cuenta de un tercero:

• La cesión de datos consiste en comunicarlos datos de clientes de una empresa a otra, para que los utilice por su cuenta y fines propios.
• Sin embargo, el acceso a datos por cuenta de un tercero se hace para la prestación de un servicio. Por ejemplo, en el ámbito de la comunicación audiovisual es muy habitual que una productora de televisión contrate a una empresa externa de postproducción para editar un programa. La empresa subcontratada necesita acceder a todas las grabaciones originales, donde aparecen nombres, imágenes y voces de los participantes. Es decir, datos de carácter personal.

En caso de haber acceso a datos por terceros, se regirá por la relación establecida entre el responsable y el encargado del tratamiento, expresado mediante un contrato.

Pero, y ¿se dan transferencias internacionales de datos en el ámbito audiovisual? De nuevo, la respuesta es afirmativa. Imagina que trabajas con plataformas como Netflix, o Amazon Prime. Muchos de los datos que recogen (usuarios, comentarios…) pueden transferirse a servidores fuera del Espacio Económico Europeo.

O, por ejemplo, imagina que eres una productora española que va a contratar a una empresa de subtitulado y doblaje. Quizás su nube está ubicada en otro país. Como estos proveedores manejan datos personales (las grabaciones de voz), estamos ante una transferencia internacional.

En estos casos, ¿cómo se garantiza la seguridad en transferencias internacionales?
Pues, para hacer una transferencia de datos fuera del Espacio Económico Europeo sin autorización previa (pues esto ocurre si el tratamiento de datos cumple con el RGPD), deben respetarse ciertas Normas Corporativas Vinculantes (BCR [Binding Corporate Rules]).

Las BCR son políticas internas que permiten a grupos empresariales multinacionales transferir datos personales más allá de la UE, manteniendo siempre la protección necesaria. Estas normas son aprobadas por la autoridad de control competente (en España, la AEPD), tras ser presentada por el responsable del tratamiento de datos.

Deben explicar cómo se protegen los datos personales, qué derechos tienen los interesados, cómo se vigila el cumplimiento de las normas…

Casos prácticos d protección de datos en comunicación audiovisual.

Una vez habiendo entendido qué es la LOPD-GDD y cómo actuar según ella, vamos a ver algunos ejemplos para clarificar todo por completo.

Caso 1: Grabación en la calle con personas no participantes. 

El primer ejemplo consiste en una productora que rueda una escena para su serie en exteriores. Eligen una calle principal y, aunque las cámaras se fijan en los actores principales, se puede apreciar gente paseando por detrás.

Estas personas, probablemente, no hayan firmado ningún consentimiento, pero sus caras se ven claramente. ¿Qué se debe hacer en este caso?

Bien, como hemos estado viendo, el problema principal es que hemos recabado un dato personal sin consentimiento (recordemos que por dato personal se entiende cualquier información, alfabetización, imagen, audio… con el que se pueda reconocer a una persona física). Por lo tanto, el uso de este dato sin consentimiento puede suponer una infracción de la LOPD-GDD.

Se puede actuar de varias formas ante esta situación. Por ejemplo, antes del rodaje, el equipo de la productora podría colocar carteles visibles en la zona, advirtiendo que se está grabando. De tal manera, aquellas personas que pasen por la calle están dando su consentimiento; pues han quedado advertidas y saben que pueden ejercer sus derechos. (Este ejemplo es parecido al mencionado anteriormente, en las zonas videovigiladas y los carteles).
Durante la grabación se deben evitar primeros planos de las personas no participantes, por supuesto.
Y, en postproducción, se pueden desenfocar o incluso eliminar a las personas que puedan aparecer de forma identificable.

A la hora de enfrentarnos a casos así en la vida real, es muy importante haber planificado previamente cómo proteger la privacidad de los individuos y cómo actuar para ello.

Caso 2: Retirada del consentimiento. 

¿Qué sucedería si he hecho una entrevista a un individuo que inicialmente me ha dado su consentimiento, pero un mes más tarde lo ha retirado? El individuo ha aplicado el derecho de supresión, de tal manera que no puedo utilizar ni su imagen ni sus declaraciones.

Según el RGPD y la LOPD-GDD, el consentimiento puede ser retirado en cualquier momento. Entonces… ¿qué debería hacer? Pueden suceder dos casos:

1. El documental aún no ha sido publicado: En este caso no hay mucho problema. Simplemente se elimina la parte en la que aparezca el individuo, respetando la retirada del consentimiento.
2. El documental ha sido publicado: Si bien la LOPD-GDD recoge que el consentimiento puede ser retirado en cualquier momento, no invalida el tratamiento de datos de carácter personal que se haya hecho antes de la retirada. Por lo tanto, en esta situación deberíamos informar al individuo de que su consentimiento fue válido en el momento del uso.
   Si no quedase contento con esto, podríamos intentar modificar la versión pública para eliminar su imagen o distorsionar su voz. O, en caso de no ser posible, deberíamos argumentar (solo si hay una base legal justificada) la necesidad de conservar esa parte.

En este caso se destaca la importancia de tener los consentimientos por escrito (o verificable). Si la persona hubiera dado su consentimiento de forma oral, y quisiera protestar ante el hecho de que se ha publicado su imagen tras aplicar el derecho de supresión, tendríamos que demostrar de alguna forma que obtuvimos el consentimiento… Si solo fue de palabra, no se tiene cómo probarlo.

Incluso, si la persona decide mentir y decir que nunca consintió, y no tenemos pruebas de que dio su consentimiento; la AEPD podría considerar que hemos tratado sus datos sin base legal y quedaríamos desprotegidos legalmente. Es decir, parecería que nos hemos saltado la ley.

Por lo tanto, siempre se recomienda recoger el consentimiento por escrito o de forma verificable (ya sea un documento firmado o un audio grabado). Hay que intentar, siempre, dejar constancia de alguna forma.

Caso 3: Publicación de RRSS con datos personales expuestos sin querer. 

En un vídeo “detrás de cámaras” que se sube a TikTok, se ve al fondo, en un papel, el número de teléfono de un influencer. El vídeo se hace viral, y la gente comienza a llamar o escribir al número.

El problema aquí es que, aunque haya sido sin querer porque nadie se había dado cuenta de la filtración del número de teléfono, se ha difundido de forma pública un dato personal sin consentimiento. Es decir, la persona que subió el vídeo a TikTok sería responsable de una infracción por no haber revisado el contenido que iba a subir previamente.

Por ello es muy importante siempre revisar tanto el contenido visual como el audio, antes de subirlo a internet o a cualquier plataforma.

Si realmente sucediera el caso hipotético, y el vídeo ya se había publicado, lo primero es borrarlo de inmediato e informar a los afectados. Sin embargo, aunque borres un vídeo, si ha estado público, probablemente la gente haya hecho capturas de pantalla o haya compartido los datos (cosa que podría ser un delito también).

Para evitar que esto suceda, se pueden tomar varias medidas preventivas, como por ejemplo:

1. Formar al equipo para informarles de cómo actuar según la LOPD-GDD.
2. Revisar exhaustivamente el contenido antes de subirlo, creando una checklist para no saltarnos nada.
3. Establecer una norma por excelencia de desenfocar o borrar automáticamente cualquier elemento con información personal.
4. Concienciar sobre la “huella digital”: aunque borres un vídeo que hayas subido, puede haber copias. “Lo que sube a la nube, nunca baja”. Es mejor prevenir que curar.

Caso 4: Uso de datos de casting para fines no autorizados. 

Ahora, imaginemos que una empresa organiza un casting para un cortometraje. Deben recoger datos como el nombre, teléfono, email… Estos son datos de carácter personal. Sin embargo, semanas después, las personas que han asistido al casting reciben publicidad de otros eventos, sin haberlo autorizado.

¿Cuál es el problema? Pues, según la LOPD-GDD y el RGPD, los datos recogidos deben ser para una finalidad concreta, en este caso participar en el casting, por lo que no pueden usarse para otros fines diferentes (como la publicidad) sin un consentimiento específico. Es decir, no se pueden utilizar para enviar publicidad o promocionar distintos servicios.

En esta situación, se hubiera vulnerado el principio de limitación de finalidad, que establece que los datos personales deben usarse única y exclusivamente para los fines específicos para los que fueron recabados. Las consecuencias de esta infracción podrían ir desde reclamaciones ante la AEPD, hasta sanciones administrativas, que podrían llegar hasta múltiples miles de euros. Por no hablar, claro, de la pérdida de confianza y la caída de reputación de la productora.

Para evitar esta situación, la productora puede tomar varias medidas, como pueden ser las siguientes:

• Obtener consentimiento explícito y por separado: Al momento de recolectar los datos, si se quieren usar para promocionar futuros proyectos, se podría incluir una cláusula que dijera algo como: “Acepto que mis datos sean utilizados para la promoción de futuros proyectos de la productora”.
• Revisar las políticas de privacidad: Asegurarse de que estén actualizadas y sean accesibles para todos los participantes, para que sepan cómo se usarán sus datos y qué derechos tienen los interesados.
• Comunicación transparente: Siempre, siempre, siempre que se recojan datos personales, debe existir una comunicación clara. Los interesados deben ser informados y dar su consentimiento si más adelante se quiere usar su información personal para otros fines.
• Eliminar o anonimizar datos no utilizados: Si no se van a usar los datos del casting para el propósito original, o no se tiene su consentimiento, lo mejor es eliminarlos de forma segura.

De lo contrario, no solo estaríamos ante una infracción legal, sino que la productora corre el riesgo de perder a confianza de los involucrados y dañar su imagen.

Claves para la protección de datos efectiva. 

A lo largo de este blog hemos explorado y explicado los aspectos clave de la LOPD-GDD, y cómo se aplican luego en el ámbito audiovisual. Hemos analizado los conceptos fundamentales como la anonimización, seudonimización y los derechos SOPLAR, y cómo se deben manejar los datos personales en situaciones cotidianas del sector audiovisual.

También hemos visto ejemplos prácticos, desde retiradas de consentimiento del tratamiento de datos hasta qué hacer si se filtra información de carácter personal; analizando cómo estas acciones pueden violar los derechos de privacidad si no se gestionan correctamente. A través de estos casos, hemos visto que el cumplimiento de la ley previene tanto problemas legales, como proteger la confianza de los individuos.

La comunicación audiovisual, ya sea en cualquiera de sus múltiples formas, juega un papel importante en la sociedad moderna. Hoy en día la producción de contenido genera una enorme cantidad de datos personales, ya sea en forma de imagen, audio, nombres o incluso localizaciones geográficas. A medida que el entorno digital sigue creciendo, la protección de estos datos se vuelve aún más importante; haciendo fundamental que se conozca de primera mano la LOPD-GDD, para asegurar que las personas mantengan el control sobre su información personal. Al fin y al cabo, la LOPD-GDD y el RGPD están diseñados e ideados con el fin de proteger y garantizar la privacidad de los individuos, asegurándose de que el uso de sus datos sea transparente, seguro y justo.

No solo eso, sino que la confianza del público es uno de los rasgos más importantes para cualquier empresa del ámbito audiovisual. Si un creador, productora o plataforma no majea los datos personales de sus clientes de forma adecuada, además de incumplir la ley está perjudicando su relación con el público. Y, sin público, no hay negocio.

A pesar de la claridad que ofrecen las normativas, el cumplimiento efectivo de las mismas es un desafío en muchos casos.
Si bien el consentimiento verbal puede ser válido en muchas circunstancias, es una de las principales debilidades en la protección de datos. No dejar evidencia escrita o verificable puede generar confusión e incluso conflictos legales si una persona decide retractarse o no autorizar el uso de sus datos posteriormente, como hemos visto en el caso práctico 2. Es por ello que el consentimiento explícito por escrito será siempre la mejor de las prácticas.

Cabe mencionar también que las medidas preventivas son fundamentales para reducir riesgos. La revisión exhaustiva del material que tenemos, informar al personal y formarles, y tener un protocolo claro para gestionar toda la información es esencial dentro de una entidad, y más dentro del ámbito audiovisual.

La privacidad de las personas es un derecho fundamental que debe ser protegido sin excepciones. Cada vez que manejamos datos personales estamos, en definitiva, afectando directamente a la vida privada de alguien. Es nuestra responsabilidad, como futuros profesionales del audiovisual, garantizar que esos datos se majean con la máxima seguridad, respeto y transparencia.

La protección de datos, por tanto, no sólo debe verse como una obligación legal, sino como una oportunidad de construir relaciones más fuertes y éticas con el público y clientes.

Referencias y bibliografia.