Resolución AEPD, Expediente n.º EXP202500241, de 2026, por la que se sanciona a Dos Mil Palabras, S.L. por infracción del artículo 5.1.c) del RGPD. El documento completo puede descargarse desde el botón de esta página.
La Agencia Española de Protección de Datos ha impuesto una multa de 20.000 euros a un prestador de servicios de comunicación digital por publicar, junto a una noticia de sucesos, un vídeo en el que resultaban identificables tanto la víctima de una agresión como su agresor, menor de edad. La resolución no discute la legitimidad de informar sobre el hecho —la Agencia lo reconoce expresamente— sino la necesidad y proporcionalidad de haber incorporado, sin técnica de anonimización alguna, la imagen y la voz de los protagonistas durante meses. El expediente EXP202500241 ofrece, por ello, un caso de manual sobre un problema que la profusión de contenido audiovisual generado por usuarios y republicado por medios profesionales convierte en recurrente: qué ocurre cuando la libertad de información, principio de raigambre constitucional, se topa con una regla de aplicación estricta —el art. 5.1.c) del Reglamento (UE) 2016/679— frente a un sujeto especialmente protegido, el menor de edad.
La libertad de información como principio y su función en el ordenamiento
El artículo 20.1.d) de la Constitución española reconoce el derecho a comunicar o recibir libremente información veraz por cualquier medio de difusión. Se trata de una libertad institucional, en el sentido de que no protege únicamente un interés individual del comunicador, sino una garantía objetiva de formación de la opinión pública libre, presupuesto de una sociedad democrática. Esa condición explica por qué la jurisprudencia constitucional le atribuye, en abstracto, una posición preferente frente a otros derechos de la personalidad cuando concurren determinados requisitos.
La propia Constitución, sin embargo, fija el límite en el mismo precepto que reconoce la libertad: el respeto a los derechos reconocidos en el título I, «especialmente en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia» (art. 20.4 CE). La resolución objeto de este comentario recuerda con acierto que la prevalencia de la libertad de información nunca opera en abstracto, sino que exige la concurrencia simultánea de dos requisitos acumulativos consolidados por la jurisprudencia civil: veracidad de la información y relevancia pública del hecho divulgado, entendida esta última —y aquí reside el matiz decisivo— no como sinónimo de viralidad o notoriedad social del contenido, sino como necesidad de que su comunicación al público, aun siendo cierta, resulte pertinente en función del interés general del asunto sobre el que se informa. La STS 50/2017, de 27 de enero de 2017 (Sala Primera, recurso 2139/2015), sintetiza esta doctrina al precisar que, en el ámbito de la intimidad, el criterio de legitimidad de las intromisiones no es la veracidad, sino la relevancia pública del hecho divulgado.
Esta distinción entre veracidad y relevancia pública no es un matiz semántico, sino la clave dogmática de todo el expediente. Dos Mil Palabras no discutió en ningún momento la veracidad de lo publicado; su defensa se construyó íntegramente sobre la relevancia pública derivada de la viralidad alcanzada por el vídeo en redes sociales, invirtiendo así la lógica del test constitucional: pretendía deducir el interés público del hecho de su difusión masiva previa, cuando la doctrina exige exactamente el razonamiento inverso —que sea el interés público del asunto el que, en su caso, justifique la difusión de datos personales asociados a él, y no que la difusión ya producida legitime retrospectivamente su repetición por un tercero.
La minimización de datos como regla específica: el artículo 5.1.c) del RGPD
Frente a ese principio general se sitúa una norma de perfil técnico y aplicación exigente: el artículo 5.1.c) del RGPD, que obliga a que los datos personales sean «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». El considerando 39 del Reglamento aclara el criterio operativo: los datos personales solo deben tratarse si la finalidad perseguida no puede lograrse razonablemente por otros medios. No se trata, por tanto, de un principio de proporcionalidad laxo, sino de un test de necesidad estricta que desplaza la carga argumentativa hacia el responsable del tratamiento, quien debe demostrar —y documentar, en aplicación del principio de responsabilidad proactiva del art. 5.2 RGPD— que no existía una alternativa menos invasiva capaz de satisfacer igualmente la finalidad informativa.
La AEPD ancla esta exigencia en la sentencia del Tribunal de Justicia de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C-708/18), que había vinculado expresamente el art. 5.1.c) con el principio de proporcionalidad reconocido en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, exigiendo que las restricciones a la protección de datos no sobrepasen los límites de lo estrictamente necesario. Aplicado al periodismo digital, este estándar tiene una consecuencia práctica que la resolución explicita sin ambages: la disponibilidad actual de herramientas de pixelado, distorsión de voz o edición selectiva de fotogramas convierte la publicación de imagen y sonido sin anonimizar, cuando existen alternativas técnicas razonablemente accesibles, en una opción que ya no puede presumirse necesaria por el mero hecho de acompañar una noticia veraz. El artículo 85 del RGPD, que ordena a los Estados miembros conciliar el derecho a la protección de datos con la libertad de expresión e información mediante exenciones «solo si son necesarias», opera aquí como bisagra normativa entre ambos regímenes: no suprime la ponderación constitucional, pero la subordina a un juicio adicional de necesidad tecnológica que la doctrina civilista clásica, formada en un entorno analógico, no siempre incorpora con el mismo rigor.
Conviene precisar la naturaleza del reproche que formula la Agencia, porque el expediente lo aclara con una precisión que a menudo se pierde en el debate mediático sobre estas resoluciones: no se cuestiona la legitimidad del tratamiento —la cobertura periodística de un suceso violento es, en sí misma, una finalidad legítima amparada por la libertad de información— sino la necesidad y proporcionalidad de los concretos datos personales incorporados a esa cobertura. Es la distinción, presente en toda la parte dispositiva de la resolución, entre licitud del fin y minimización de los medios empleados para alcanzarlo.
El caso Dos Mil Palabras: hechos y calificación jurídica
Los hechos probados fijan una secuencia relativamente simple. El medio digital, identificado como responsable del tratamiento con arreglo al art. 4.7) RGPD por determinar los fines y medios de la publicación, difundió una noticia de sucesos acompañada de un vídeo —grabado originalmente por acompañantes del agresor y viralizado por ellos en redes sociales— en el que podían verse, sin ninguna técnica de ocultación, tanto a la víctima como al agresor menor de edad. La AEPD adoptó una medida cautelar de retirada el 13 de enero de 2025; el medio interpuso recurso de reposición alegando la relevancia pública del asunto y aportó, con posterioridad, una versión pixelada que la propia Agencia consideró insuficiente porque el rostro de uno de los afectados seguía siendo identificable en el primer fotograma. Solo tras un nuevo requerimiento se logró una anonimización razonablemente completa, constatada el 27 de febrero de 2025.
El iter procedimental es relevante porque desmonta uno de los argumentos centrales de la defensa: que la tecnología no permitía anonimizar sin vaciar de contenido la noticia. Los propios hechos probados evidencian lo contrario —el medio anonimizó, aunque tarde y de forma inicialmente defectuosa—, lo que la Agencia utiliza como prueba de que la alternativa menos lesiva no solo era teóricamente disponible, sino efectivamente implementable por el propio responsable sin renunciar a la noticia. Este dato fáctico resulta decisivo para la calificación de negligencia del art. 83.2.b) RGPD: no cabía alegar imposibilidad técnica cuando el propio infractor demostró, con su conducta posterior, que la medida menos invasiva era viable.
La calificación jurídica final imputa la infracción al art. 5.1.c) RGPD, tipificada como muy grave en el art. 72.1.a) LOPDGDD por remisión al art. 83.5 RGPD, con un plazo de prescripción de tres años. La cuantía de 20.000 euros, fijada tomando como referencia el volumen de negocio de la entidad —13.194.895 euros en 2023, según el informe de la herramienta Axesor incorporado al expediente—, resulta llamativamente modesta si se compara con el límite legal del art. 83.5 RGPD, que permite multas de hasta 20 millones de euros o el 4% de la facturación anual global. La Agencia no explicita en la resolución un desglose numérico de la graduación, más allá de remitir genéricamente a los criterios del art. 83.2 RGPD y del art. 76.2 LOPDGDD, entre los que destaca como agravante expreso la afectación a los derechos de los menores (art. 76.2.f LOPDGDD). Esta economía argumentativa en la fase de cuantificación —frente al detalle dogmático desplegado en la fase de calificación— es, como se razonará más adelante, uno de los puntos más discutibles del expediente.
La ponderación aplicada por la Agencia: relevancia pública, accesoriedad y consentimiento del menor
El núcleo dialéctico de la resolución se sitúa en la respuesta a las alegaciones del medio sancionado, que pueden agruparse en tres bloques argumentativos recurrentes en este tipo de litigios.
El primero invoca la doctrina de la accesoriedad, formulada por la STS 241/2003, de 14 de marzo, según la cual una imagen puede difundirse sin consentimiento cuando la persona representada aparece de manera meramente incidental respecto del contenido informativo principal. Dos Mil Palabras invirtió el argumento: sostuvo que, en su caso, el vídeo era la noticia, de modo que lejos de ser accesorio, resultaba indispensable. La AEPD rechaza esta lectura recordando el segundo supuesto de la doctrina de la accesoriedad —formulado con nitidez en la STC 117/1994, de 25 de abril— conforme al cual, cuando la participación de una persona inicialmente anónima en el hecho noticiable es principal o protagonista, su derecho a la imagen «deberá ceder frente al derecho a la información, precisamente debido al papel no accesorio que ha asumido el propio sujeto». Se trata, sin embargo, de una doctrina construida para sujetos adultos que, por su propia conducta, se erigen en protagonistas de un acontecimiento de relevancia pública —el ejemplo paradigmático de la jurisprudencia es el de la persona que ejerce un cargo público—; su extrapolación mecánica a un menor de edad, precisamente el punto que separa este expediente de sus precedentes, es lo que la resolución impide.
El segundo bloque alegatorio, el más audaz de la defensa, sostenía que el propio menor había prestado un consentimiento tácito a la difusión al ser consciente de que estaba siendo grabado y al no oponerse a ello, invocando la edad de catorce años que el art. 7 LOPDGDD fija como umbral general para consentir tratamientos de datos en el entorno de los servicios de la sociedad de la información. La Agencia desactiva este argumento en dos planos. En el plano fáctico, señala que no está acreditado que el vídeo se difundiera por el propio agresor, sino por sus acompañantes, de modo que falla la premisa misma del argumento. En el plano jurídico, y este es el punto doctrinalmente más sólido de la resolución, recuerda que el consentimiento —cuando existiera— solo ampara el acto concreto de utilización de la imagen y los fines para los que se otorgó, sin extenderse a actos posteriores de difusión por terceros ajenos a esa declaración de voluntad, tal como precisa la STC 117/1994. La eventual tolerancia de un menor a ser grabado por sus acompañantes en el momento de los hechos no equivale, ni jurídica ni lógicamente, a un consentimiento para que un medio de comunicación profesional reproduzca esa misma grabación meses después ante una audiencia masiva e indeterminada.
El tercer bloque, el de mayor calado sistémico, apelaba a la primacía de la libertad de información invocando el precedente de archivo E/03409/2018, en el que la propia AEPD había reconocido la prevalencia del derecho a la información sobre la protección de datos. La resolución diferencia ambos supuestos con un criterio limpio: aquel expediente afectaba a una persona de notoriedad pública —un político—, sin intervención de menores ni de personas en situación de vulnerabilidad; el juicio de ponderación, advierte la Agencia, «ha de resultar considerablemente disimilar» cuando cambia el sujeto afectado. Este distingo es, en realidad, la aplicación de un principio más general y bien asentado en la jurisprudencia constitucional: la ponderación entre libertad de información y derechos de la personalidad no admite reglas de prevalencia abstracta trasladables de un caso a otro, sino que exige recalcularse en función de las circunstancias concretas de cada supuesto, entre las que el estatuto del sujeto afectado —persona pública o persona anónima, adulto o menor— ocupa un lugar central.
La superprotección del menor: jurisprudencia constitucional, civil y europea
La resolución construye su ratio decidendi definitiva sobre un cuerpo jurisprudencial consolidado que atribuye a los menores de edad un estatuto de protección reforzada frente a intromisiones en su esfera privada, incluso cuando concurre interés público en la información. La STS 1003/2008, de 23 de octubre de 2008 (Sala Primera, recurso 174/2005), es especialmente ilustrativa al recoger la doctrina constitucional según la cual, tratándose de menores, existe un «ámbito de superprotección que obliga a ser sumamente cautelosos en cuanto a la información que de los mismos se suministra, aunque ésta tenga interés público»; el interés legítimo del menor a que no se divulguen datos de su vida familiar o personal opera como «límite infranqueable» tanto a la libertad de expresión como al derecho a comunicar información veraz, sin que la veracidad de lo revelado exonere de responsabilidad por la intromisión, incluso cuando la noticia merezca el calificativo de información neutral.
Esta doctrina se refuerza con la STS 777/2021, de 11 de noviembre de 2021 (Sala Primera, recurso 6775/2020), que trae a colación tanto la Convención de las Naciones Unidas sobre los Derechos del Niño de 1989 —cuyo artículo 16 garantiza el derecho de los niños a la protección legal frente a injerencias arbitrarias o ilegales en su vida privada— como la Resolución del Parlamento Europeo relativa a la Carta europea de los derechos del niño, y recuerda que el consentimiento de un menor para la captación, reproducción o publicación de su imagen debe prestarse por él mismo únicamente si sus condiciones de madurez lo permiten, exigiéndose en caso contrario la intervención de sus representantes legales con puesta en conocimiento previo del Ministerio Fiscal, conforme al art. 3 de la Ley Orgánica 1/1982.
El estándar europeo apuntala esta lectura. La sentencia del Tribunal Europeo de Derechos Humanos de 19 de junio de 2012 (recurso 1593/2006), citada extensamente en la resolución, resulta particularmente pertinente porque desactiva de raíz el argumento de la viralidad como generador autónomo de relevancia pública: el Tribunal de Estrasburgo precisa que la publicación de contenido cuyo único propósito es satisfacer la curiosidad del público respecto de la vida privada de una persona —aun siendo esta conocida— no contribuye a ningún debate de interés general, exigiendo en tales condiciones una interpretación más estricta de la libertad de expresión; y concluye, respecto de un menor involucrado en una disputa de custodia, que la preservación de su esfera más íntima «merecía una protección particular debido a su posición vulnerable». La STC 27/2020, de 24 de febrero de 2020, cierra el círculo doctrinal al declarar ilícita la ilustración de una crónica periodística sobre un acontecimiento violento con una imagen de la víctima tomada de una red social sin recabar su consentimiento, reafirmando que el aspecto físico constituye el elemento configurador básico de la esfera personal de todo individuo.
De este entramado jurisprudencial se extrae un principio con vocación de generalidad que la resolución aplica correctamente al caso: la relevancia pública de un hecho no se transmite automáticamente a los datos personales de todos los sujetos implicados en él, y esa transmisión resulta especialmente restringida cuando el sujeto es menor de edad, con independencia de la gravedad penal del hecho en que se haya visto involucrado o del grado de madurez que exhiba en su conducta. La alegación de la reclamada sobre la «gestualidad desafiante» y la supuesta madurez del agresor menor —que, a su juicio, le haría «susceptible de ser protagonista de una noticia»— es rechazada por la AEPD con un argumento que merece destacarse: la ponderación del interés superior del menor, exigida por el ordenamiento con independencia de la conducta del propio menor, no puede quedar condicionada retroactivamente a la valoración moral de esa conducta. Dicho de otro modo, ni siquiera la comisión de un hecho reprobable por parte del menor rebaja el estándar de protección de sus datos personales; son cuestiones jurídicamente inconexas que la reclamada pretendía fusionar.
Balance crítico: aciertos, tensiones y cuestiones abiertas
La resolución acierta en el eje central de su razonamiento: distinguir con nitidez entre la legitimidad del fin informativo —nunca cuestionada— y la necesidad de los concretos medios de tratamiento empleados, y anclar esa distinción en el estatuto reforzado del menor de edad. Acierta también al introducir, como elemento de contexto normativo más que como fundamento autónomo de la sanción, una referencia a los riesgos que la inteligencia artificial plantea para la reconstrucción de identidades a partir de fragmentos mínimos de imagen o voz; se trata de una consideración de política regulatoria razonable —coherente con el espíritu del art. 25 RGPD sobre protección de datos desde el diseño y por defecto— aunque su valor probatorio en este expediente concreto sea limitado, puesto que no consta que se haya acreditado un riesgo real y actual de reidentificación mediante herramientas de IA en el caso enjuiciado; la mención tiene más de obiter dictum orientador para el sector que de ratio decidendi estricta.
La resolución presenta, no obstante, tres puntos de fricción que un análisis doctrinal riguroso no puede eludir. El primero afecta a la motivación de la cuantía. El art. 83.1 RGPD exige que la multa sea, en cada caso individual, efectiva, proporcionada y disuasoria; sin embargo, la resolución se limita a enumerar los criterios de graduación del art. 83.2 RGPD y del art. 76.2 LOPDGDD sin ponderar explícitamente su peso relativo ni justificar por qué la suma de una infracción calificada como muy grave —con posibilidad legal de multa de hasta 20 millones de euros o el 4% del volumen de negocio, que en este caso habría superado ampliamente el medio millón de euros— se resuelve en una cifra fija de 20.000 euros. La ausencia de un desarrollo aritmético o metodológico transparente en la fase de cuantificación —frente al rigor dogmático de la fase de calificación— es una debilidad estructural recurrente en la práctica sancionadora de las autoridades de control europeas, no exclusiva de este expediente, pero que aquí resulta especialmente visible por el contraste de calidad argumentativa entre ambas fases.
El segundo punto de tensión concierne al tratamiento del argumento de la fuente ya viral. La AEPD sostiene, con razón, que «cada difusión contribuye más a dicha difusión y amplía sus efectos», rechazando así que la previa viralización en redes sociales exima de responsabilidad al medio que republica el contenido. Se trata de una tesis correcta en el plano de los principios —la responsabilidad de cada responsable del tratamiento es autónoma respecto de infracciones cometidas por terceros— pero que convive en tensión no resuelta con el hecho de que, conforme a los propios antecedentes del expediente, el vídeo ya circulaba con millones de visualizaciones en plataformas de terceros en el momento de la publicación de la noticia, sin que conste que la AEPD haya dirigido actuación alguna contra esas plataformas o contra los usuarios originales que subieron y difundieron el contenido. La resolución no tenía por qué pronunciarse sobre sujetos ajenos al procedimiento, pero la asimetría de resultados —sanción al medio profesional, silencio regulatorio sobre la difusión primigenia en redes sociales— ilustra una limitación estructural del modelo de responsabilidad individualizada del RGPD frente a fenómenos de viralización distribuida, cuestión que excede el caso concreto pero que este tipo de expedientes pone sistemáticamente de manifiesto.
El tercer punto, de naturaleza más técnica, atañe a la articulación entre el art. 85 RGPD y las exenciones periodísticas del ordenamiento español. La LOPDGDD no contiene un desarrollo específico y autónomo del art. 85 RGPD para la actividad periodística comparable, por ejemplo, al que existe en otros ordenamientos de nuestro entorno; la resolución suple esa laguna acudiendo directamente a la jurisprudencia constitucional y civil sobre el art. 20 CE, en una suerte de integración por vía interpretativa que resulta funcionalmente correcta pero que evidencia, una vez más, la necesidad —de lege ferenda— de una norma de desarrollo que fije con mayor precisión los términos de la exención periodística en materia de protección de datos, dotando de mayor seguridad jurídica tanto a los medios de comunicación como a los sujetos cuyos datos son tratados con fines informativos.
Conclusión doctrinal: hacia un estándar de minimización tecnológica en el periodismo digital
El expediente EXP202500241 confirma una línea interpretativa que cabe considerar consolidada en la práctica de la AEPD: la disponibilidad tecnológica de herramientas de anonimización eleva, de facto, el estándar de diligencia exigible a los medios de comunicación digitales bajo el principio de minimización de datos, de modo que la mera concurrencia de veracidad y relevancia pública deja de ser condición suficiente para legitimar la difusión de imagen y voz sin ningún tipo de tratamiento protector, cuando el afectado es menor de edad. La resolución no establece una prohibición general de ilustrar noticias de sucesos con material audiovisual —ni podría hacerlo sin invadir el núcleo de la libertad de información— pero sí desplaza la carga de la prueba: corresponde al responsable del tratamiento acreditar, documentar y aplicar de forma proactiva las medidas técnicas menos invasivas disponibles, sin que la excusa de la accesoriedad, el consentimiento presunto del menor o la viralidad previa del contenido operen como cláusulas de exoneración automática.
Para la práctica profesional del sector, la lección operativa es directa: todo tratamiento periodístico de contenido audiovisual que incluya a menores de edad —con independencia de si estos son víctimas, testigos o presuntos autores de un hecho— debe incorporar, como estándar mínimo de diligencia, la valoración documentada de alternativas de anonimización antes de la publicación, y no como reacción a un requerimiento posterior de la autoridad de control. La distancia entre ambos momentos —anonimización ex ante como ejercicio de responsabilidad proactiva, frente a anonimización ex post como respuesta a una medida cautelar— es, en último término, la que separa el cumplimiento normativo genuino de la mera gestión reactiva del riesgo sancionador.
Nota de la Firma: este comentario se basa en la Resolución de la Agencia Española de Protección de Datos, Expediente n.º EXP202500241, cuya versión íntegra puede descargarse en el enlace incluido al inicio de este artículo. Los datos identificativos de las personas físicas afectadas se mantienen anonimizados conforme a la propia versión pública de la resolución.
Artículos relacionados
Directrices 02/2026 del EDPB sobre anonimización: el nuevo test de tres criterios que sustituye al Dictamen 05/2014
El EDPB adopta el 7 de julio de 2026 un marco renovado para evaluar la anonimidad: perspectiva relativa, tres criterios técnicos y dos enfoques de análisis.
La caída de Humphrey's Executor y el futuro de las transferencias transatlánticas de datos: Trump v. Slaughter y el Marco de Privacidad UE-EE.UU.
Trump v. Slaughter anula Humphrey's Executor y deja a la FTC sin inamovilidad: impacto en la Decisión de Adecuación y riesgo de un Schrems III.
Transparencia algorítmica: límites del derecho a saber
Análisis comparado de la transparencia algorítmica en RGPD, AI Act, DSA y marcos internacionales. La investigación de Anjos (2026) revela que la 'transparencia performativa' legitima asimetrías de poder sin corregirlas.
Vigilancia omnipresente, libertad sitiada: el dilema entre seguridad y privacidad en los espacios públicos del siglo XXI
Análisis comparado de los modelos de videovigilancia chino, estadounidense y europeo: fundamentos éticos, marcos jurídicos y propuestas para articular un sistema de vigilancia compatible con los derechos fundamentales.