Protección de Datos

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión («derecho al olvido»), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).

Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento deben adecuar el tratamiento de datos personales que realizan a lo previsto en el mismo. Asimismo, el Reglamento es directamente aplicable, por lo que a, diferencia de la anterior Directiva, no necesita ser transpuesto al ordenamiento jurídico español.

Además del RGPD, se encuentra en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El RGPD, además de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Unión Europea, contempla su aplicación a aquellos responsables y encargados, que si bien no se encuentran establecidos en la Unión, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esa ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

A partir del 25 de mayo de 2018, desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, u registro de la autoridad autonómica competente. Es decir, con el RGPD desaparece la obligación de inscribir ficheros en esta AEPD.

El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, así como que están en condiciones de demostrarlo.

Estas medidas de responsabilidad proactiva son las siguientes:

• Análisis de riesgo.
• Registro de actividades del tratamiento.
• Protección de datos desde el diseño y por defecto.
• Adopción de medidas de seguridad.
• Notificaciones de «violaciones de seguridad de los datos»
• Evaluaciones de impacto sobre la protección de datos.
• Nombramiento del Delegado de Protección de Datos.

Además, el RGPD contempla dos medidas más con la finalidad de contribuir a la correcta aplicación de la norma:

• La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta.
• La creación de mecanismos de certificación y de sellos y marcas de protección de datos.

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

El RGPD requiere que el consentimiento sea «inequívoco», lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines.
• Debe ser prestado de forma libre.
• Revocable.
• El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
• Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

• Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
• Si se recaba el consentimiento para varias finalidades:
  • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
  • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).

Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:

• Tratamiento de datos sensibles
• Adopción de decisiones automatizadas
• Transferencias internacionales

Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente: Respecto a los responsables:

1. el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
2. los fines del tratamiento;
3. una descripción de las categorías de interesados y de las categorías de datos personales;
4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
5. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
6. cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
7. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Respecto a los encargados:

1. el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
2. las categorías de tratamientos efectuados por cuenta de cada responsable;
3. en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
4. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos.

Por ejemplo:

• Deben mantener un registro de actividades de tratamiento.
• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.

Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

Indicar al respecto que la Disposición transitoria quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dice que:

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.

La legitimación que permitiría este tratamiento de datos personales sería, en base a lo dispuesto en el artículo 6 del RGPD, la ejecución de un contrato, teniendo en cuenta, además, que el artículo 20.3 del Estatuto de los Trabajadores establece que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

No obstante, la existencia de esta legitimación, sin necesidad de que preste consentimiento previo el trabajador, no excluye el cumplimiento del derecho de información del artículo 13 del RGPD. De esta forma, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

El tratamiento del dato del correo electrónico y teléfono particulares del trabajador puede ser ignorado por el empresario, dado que ninguna norma exige que el trabajador, para la adecuada perfección de su relación contractual, haya de facilitar estos datos al empresario al que presta sus servicios.

Es decir, dicho tratamiento excedería en cuanto al mismo de lo permitido inicialmente por la normativa de protección de datos, y más concretamente, de la legitimación del artículo 6 del RGPD en base a la ejecución de un contrato. No obstante, si las circunstancias de la prestación de servicios para la empresa conllevara una disponibilidad personal del trabajador fuera de su centro u horario de trabajo, una medida más moderada e igual de eficaz para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición del mismo de un instrumento de trabajo como sería un teléfono de empresa.

En todo caso, sería posible que los afectados facilitaran los datos referentes a su e-mail y número telefónico particulares, si bien la recogida de estos datos habría de ser de cumplimentación voluntaria, previa la obtención del consentimiento del trabajador, que podrá oponerse posteriormente a su tratamiento ejerciendo los derechos de oposición o supresión.

Con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, que en el artículo 34.9 ET establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que, de acuerdo con lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.

Como cuestión preliminar, debe saber que las llamadas con fines comerciales están expresamente previstas en la normativa de protección de datos. En particular, están permitidas cuando concurra un interés legítimo del responsable del tratamiento, especialmente en aquellos supuestos en que exista una relación previa con el interesado, por ejemplo, por su condición de cliente, que le permita prever que pueda producirse el tratamiento de sus datos con tales fines.

No obstante, los afectados tienen derecho a oponerse en todo momento a las llamadas comerciales. Para ello, disponen de los siguientes recursos posibles:

1. Ejercer el derecho de oposición a las llamadas comerciales ante la entidad promocionada: este derecho está expresamente previsto en la normativa específica de telecomunicaciones. Con carácter general, si no se desea recibir llamadas comerciales puede dirigirse a la empresa cuyos servicios o productos se promocionan, sea o no cliente de ella, identificándose como usuario de la línea telefónica en la que no desea recibir las llamadas y manifestando su negativa u oposición al tratamiento de sus datos personales con fines publicitarios. Se deberán utilizar los medios puestos a su disposición para ello, generalmente accesibles en la web de la empresa; de manera que se pueda probar documentalmente la recepción de la oposición a recibir llamadas comerciales. La empresa promocionada deberá, de forma gratuita informar sobre sus actuaciones en el plazo de un mes a partir de la recepción de la solicitud de oposición, que podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
   Más información sobre el ejercicio del derecho de oposición pinchando aquí.
2. Contactar directamente con el Delegado de Protección de Datos (DPD) de la empresa promocionada si se presentasen incidencias o problemas en el ejercicio del derecho de oposición. Se pueden encontrar los datos de contacto del DPD que corresponda, en el siguiente enlace de la página web de la AEPD: Relación de DPD.
3. En el caso de que haya ejercitado el derecho de oposición y el responsable, o en su caso, el encargado del tratamiento, no le ha contestado en el plazo de un mes, o le ha enviado respuesta y la misma es insatisfactoria y no respeta lo establecido en el artículo 21 del Reglamento general de protección de datos (RGPD), puede interponer una reclamación ante la Agencia Española de Protección de Datos (AEPD).
   Para interponer esta reclamación puede:
   • Utilizar la “Sede Electrónica”.
   • Presentar la reclamación dirigida a la Subdirección General de Inspección de Datos en el registro de esta Agencia, calle Jorge Juan, 6-28001-Madrid, o a través de correo administrativo.

Las reclamaciones deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio (puede ser la copia del ejercicio de su derecho, así como la respuesta recibida, en su caso), que permita corroborar los hechos objeto de reclamación.

1. Además, debe saber que, si sus datos personales identificativos figuran en las guías de telecomunicaciones disponibles al público, también se puede ejercer el derecho de oposición ante el operador que le presta el servicio de telefonía, para que le excluya de los ficheros que emplean las entidades autorizadas por la Comisión Nacional de los Mercados y la Competencia para elaborar las guías de abonados, o bien para que se haga constar en las mismas su oposición al tratamiento comercial de los datos. De la misma forma, puede solicitar la omisión en las guías de algunos de sus datos.
2. Adicionalmente, el afectado también puede registrase en los sistemas de exclusión publicitaria, como el gestionado por la Asociación Española de Economía Digital (www.listarobinson.es), con objeto de evitar la publicidad de las empresas a las que no se haya otorgado el consentimiento expreso para el tratamiento de sus datos personales con fines publicitarios. Resulta eficaz en el plazo de dos meses desde la fecha de la inscripción.
3. Así mismo, y sin perjuicio de otras acciones, se puede hacer uso de la funcionalidad que suelen ofrecer los sistemas operativos de los terminales móviles para bloquear de forma automática las llamadas no deseadas, particularmente cuando proceden de una determinada línea telefónica o cuando no figuran en su agenda de contactos. Puede consultar los detalles de esta funcionalidad a través del correspondiente canal de ajustes de llamadas y/o mensajes.
   Más información en la sección de la web de esta AEPD dedicada a evitar la publicidad no deseada.

Los datos deberán ser suprimidos de este tipo de tratamientos cuando se hubieran cumplido cinco años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico, salvo que fuese de aplicación alguna de los supuestos que excepcionan la supresión contemplados en el artículo 17.3 del RGPD.

Asimismo, el pago o cumplimiento de la deuda determinará la supresión inmediata de todo dato relativo a la misma, salvo que al igual que en el supuesto anterior fuese de aplicación lo dispuesto en el artículo 17.3 del RGPD.

La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.

En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.

Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que:

• Resulte imprescindible para la finalidad que se pretende.
• Resulte imposible evitarlo por razón de la ubicación de las cámaras.

En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.

Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:

• Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
• Mantener a disposición de los afectados el resto de información referida en el artículo 13.

También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.

Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones. Por tanto, la implementación de las medidas de seguridad cuando se lleve a cabo un tratamiento de datos mediante el uso de la videovigilancia dependerá del análisis de riesgo llevado a cabo previamente.

No obstante, cuándo se trate de tratamientos de videovigilancia que entrañen un escaso riesgo, como podría ser el caso de uso en comunidades de propietarios o pequeños establecimientos, puede utilizarse la herramienta de esta AEPD denominada FACILITA_RGPD.

Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.

La captación y grabación de imágenes de la vía pública con fines de seguridad es una función reservada a las Fuerzas y Cuerpos de Seguridad. Únicamente se permitirá la grabación de aquel espacio de la vía pública que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras.

En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma.

Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.

Al tratarse de cámaras simuladas, no captarían imágenes de personas físicas identificadas o identificables, por lo que, al no quedar acreditada la existencia de un tratamiento de datos personales, la cuestión se encuentra al margen de la normativa de protección de datos.

Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.

Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.

Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.

Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.

Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse «gestión de la comunidad de propietarios» o «propietarios»,en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.

Pueden existar además otro tipo de tratamientos como el de «videovigilanica» o «camaras de seguridad».

Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.

El Reglamento General de Protección de Datos (RGPD) en su artículo 37 establece una serie de supuestos en que en relación a determinados tratamientos debe nombrarse un delegado de protección de datos. Entre estos supuestos no se encuentran las comunidades de propietarios, por lo que no es obligatorio su nombramiento.

Para la instalación de videocámaras en las comunidades de vecinos, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.

Las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.

Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Para más información consulte la página web de la Agencia Española de Protección de Datos, apartado videovigilancia.

Tras la publicación de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el artículo 7 se establece que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela.

Cuando se trate de eventos organizados por el centro escolar hay que distinguir:

• Si se trata de un evento al margen de la función educativa que cumple el centro escolar:
  1. Si es el propio centro escolar el que procede a la grabación de la imágenes deberá informar a los interesados, los propios menores si tienen más de 14 años y, si fueran más pequeños, a sus padres o tutores, de la finalidad de la grabación de las imágenes y de la difusión que de ellas se pretende hacer, si van a ser publicadas en páginas web, en redes sociales, o en cualquier otro tipo de publicación y solicitar su consentimiento.
  2. Si la toma de imágenes se realiza por los familiares de los alumnos, estaría fuera del ámbito de aplicación del Reglamento General de Protección de datos según el art. 2.2.c) ya que se establece que, no se aplica dicha normativa al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
     No obstante, la divulgación fuera de ese ámbito de imágenes de personas sin su consentimiento a terceros, por ejemplo, la publicación de las imágenes en redes sociales “en abierto” constituye un tratamiento de datos que sí necesitaría del consentimiento de los afectados, pues en ese caso le sería de aplicación la legislación de protección de datos
• Si el evento responde al  ejercicio de la función educativa de los centros la utilización de los datos para dicha finalidad se entendería amparada en la Ley Orgánica de Educación.

Se recomienda que el centro educativo, al solicitar permiso a los padres para la participación de los menores en eventos escolares, informe de la posibilidad de que familiares y amigos del alumnado podrían tomar imágenes del evento para un uso doméstico. Igualmente, constituiría una buena práctica si se procediera a informar antes de empezar el evento (por ejemplo mediante carteles) de que su grabación sólo es factible para uso doméstico (actividades privadas, familiares y de amistad).