Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Sistema de videovigilancia. Derecho de acceso a las imágenes

Uno de los artículos de este blog que más visitas acumula es el que se refiere a la regulación de la videovigilancia, que dejo enlazado aquí. Dado el interés, vamos a retomar el tema con un ejemplo de solicitud de acceso a las grabaciones por un afectado.

Pongamos por caso que el cliente de una empresa cualquiera sufre una caída dentro de uno de sus establecimientos y que, con el propósito de reclamar los daños sufridos, ejercita su derecho de acceso a las imágenes de las cámaras de seguridad, utilizando para ello el formulario de solicitud disponible en la página web de la empresa, recibiendo un mensaje sobre la conformidad del envío. Las imágenes se convierten en un elemento probatorio esencial para el éxito de la reclamación.

Transcurrido un mes, sin haber recibido respuesta a la solicitud, el cliente recibe un correo electrónico del Delegado de Protección de Datos (DPD) de la empresa. En dicho correo, el DPD responde negando la recepción de la solicitud de acceso. También, informa al cliente que las imágenes reclamadas han sido borradas, dado que ha transcurrido el plazo máximo de conservación. No obstante, la empresa le ofrece un acuerdo para reparar los daños y perjuicios sufridos por el accidente y los derivados de la no atención del derecho de acceso a los datos personales.

El cliente decide presentar una reclamación a la Agencia Española de Protección de Datos. Iniciado el oportuno expediente, la empresa responde a la AEPD con los siguientes argumentos:

  • Que el envío de la solicitud de acceso a las grabaciones, a través del formulario disponible en la página web, no genera un acuse de recibo, simplemente muestra un mensaje de respuesta que dice: «El mensaje se ha enviado correctamente».
  • Que de la comunicación realizada, a través del canal de denuncias, no se puede desprender que se trataba de una solicitud de ejercicio del derecho de acceso.
  • Que la comunicación no llegó a manos del DPD por un error humano involuntario.
  • Que se adoptaron medidas técnicas, organizativas e, incluso, disciplinarias para que evitar que se repita el error humano.
  • Que la empresa no ha sido sancionada con anterioridad por la AEPD en materia de derechos de los interesados y que no consta ninguna reclamación sobre la no contestación o no recepción de solicitudes de los interesados.
  • Que se contactó con la reclamante y se llegó a un acuerdo que repara los daños y perjuicios sufridos por el accidente y los derivados de la no atención de la solicitud de acceso a sus datos personales, de manera que el error en la atención del derecho no le ha ocasionado ningún daño y/o perjuicio.

Los argumentos de la empresa pueden parecer razonables, pero no a ojos de la AEPD, que sancionó a la empresa (el caso es real y afecta a Mercadona) con dos multas, cuya suma asciende a 170.000 € por dos infracciones: una por vulnerar los artículos 12 y 15 del RGPD, que se refieren a la transparencia de la información, la comunicación y las modalidades de ejercicio de los derechos del interesado, que fue calificada como leve. El importe de la multa fue 70.000 €. La otra multa fue de 100.000 €, por incumplir el artículo 6 del RGPD, relacionada con la licitud del tratamiento de datos personales, calificada como muy grave.

Para la AEPD, el hecho de que un error humano impidiera conocer al DPD la existencia de la solicitud de acceso no es motivo para justificar la desatención de la solicitud, más aún cuando las imágenes se reclamaban como prueba para formular la reclamación por el accidente. 

Por otro lado, que la empresa llegara a un acuerdo para reparar los daños y perjuicios sufridos por el accidente y los derivados de la no atención del derecho de acceso a los datos personales, así como el hecho de que a nivel interno se adoptaran medidas técnicas, organizativas e incluso disciplinarias para evitar que se repitan errores similares, no son suficientes para poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.

Además, está el hecho de que la empresa gestiona múltiples centros en los cuales ha establecido un sistema de videovigilancia que capta, de forma indiscriminada, la imagen de los usuarios. El número de afectados por dicho sistema se cuenta por miles. Esta circunstancia determina un mayor grado de exigencia y profesionalidad, por tanto, de responsabilidad en relación con el tratamiento de los datos.

Haciendo clic aquí pueden consultar la resolución de la AEPD.

Conclusión 

Como DPD he tenido que responder a varias solicitudes de ejercicio de derechos. La preocupación radica en responder en plazo y hacerlo de forma completa y precisa. En caso contrario, asumimos el riesgo de que la autoridad de control nos sancione.  

La suma de las multas impuestas a Mercadona es elevada, porque hablamos de una gran empresa, con una facturación importante, pero, igualmente, de vernos en la misma situación, las multas serían cuantiosas, dada la calificación de las infracciones (leve y muy grave).  

En el año 2020, Mercadona fue multada con 2.520.000 euros por la puesta en marcha en varios de sus establecimientos de una red de cámaras de videovigilancia dotadas de un sistema de reconocimiento facial. El fin era identificar a personas con sentencias firmes y órdenes de alejamiento en vigor contra Mercadona o sus trabajadores. Haciendo clic aquí pueden consultar la resolución de la AEPD.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).