La Agencia Española de Protección de Datos ha condenado al titular de los supermercados EROSKI a sendas multas de 100.000€ y 50.000€ por infracción de los artículos 9 y 4.1, respectivamente, de la Ley Orgánica de Protección de Datos. La multa deberá hacerse efectiva de manera inmediata.
Esta semana se ha conocido la Resolución de la Agencia Española de Protección de Datos (en lo sucesivo la «AEPD»), número RESOLUCIÓN: R/00423/2019, en el asunto de las imágenes grabadas a la ex presidenta de la Comunidad Autónoma de Madrid en los supermercados EROSKI cuando, presuntamente, guardaba en su bolso ciertos productos de cosmética que no abonaba en la caja y por la que la apercibían en el supermercado y acudía la policía municipal para resolver el incidente.
Los hechos ocurrieron estando en vigor la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo la «LOPD») y no la actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo la «LOPDGDD»), resultado de la adaptación de la normativa española al Reglamento General de Protección de Datos de la Unión Europea, por lo que, al tratarse de materia sancionadora han de aplicarse las normas en vigor en el momento de ocurrir los hechos.
A los efectos que nos ocupa, el responsable del fichero (en la actualidad el «responsable del tratamiento»), esto es, la empresa titular de los supermercados (CECOSA HIPERMERCADOS, S.L.) y el encargado del tratamiento, era la empresa de seguridad y responsable de las cámaras OMBUDS. Para que se produzca un tratamiento en los términos de la normativa, ésta exige que los encargos del tratamiento—como es la grabación de imágenes de los clientes—estén regulados en un concreto contrato entre responsable y encargado.
Otra cuestión casi evidente pero no menos relevante, es que nos encontramos en un tratamiento de datos toda vez que las imágenes de los usuarios son datos físicos y permiten identificar a un individuo.
Pues bien, tras analizar los hechos ocurridos en una extensa resolución, la AEPD entiende que, pese a que existía un contrato marco entre responsable y encargado, no había un contrato concreto que se ajustara a la realidad de los tratamientos, en los términos del art. 12 LOPD, en materia de videovigilancia ni a nivel general, ni a nivel particular, centro a centro. Por tanto, la AEPD considera acreditado que no existía protocolos de actuación y manejo de datos resultantes del acceso al sistema de videovigilancia entre titular del supermercado y OMBUDS.
También afirma la AEPD que los empleados no eran conocedores y habían sido informados específicamente de sus obligaciones al respecto en cuanto a manejo o deberes concretos resultantes de sus accesos al sistema.
La consecuencia es que CECOSA HIPERMERCADOS era la responsable de los datos de videovigilancia y carecía de justificación legitimo para ceder dichos datos a los vigilantes del establecimiento, tanto a nivel de acceso a las mismas, cuanto para grabar o gestionar extracciones del sistema de videovigilancia.
Ello supone una infracción del art. 9 LOPD[1]. La infracción del artículo 9 de la LOPD se tipifica como grave en el artículo 44.3.h)[2], lo que se concreta en una infracción grave, sancionada con 100.000€ en el presente caso[3].
Por otro lado, también se sanciona a CECOSA HIPERMERCADOS, S.L. por el hecho de disponer de fotografías de personas sospechosas de hurto—las clásicas fotos que muchos comercios disponían para identificar a posibles ladrones—[4]. Ello sin observar los requisitos de la LOPD y su reglamento de desarrollo, razón por la que se imputa a CECOSA HIPERMERCADOS SL una infracción del artículo 4.1) LOPD[5] que implica infracción se tipifica como grave en el articulo 44.3.c) LOPD[6] y entiende la AEPD que en este caso la graduación de la sanción debe derivar en la imposición de una multa de 50.000€.
Los requisitos y sanciones en cuanto a la privacidad y protección de datos se han endurecido y complicado con la LOPDGDD y el RGPD, por lo que es más que recomendable, si uno no quiere tener quebrantos económicos importantes, asesorarse adecuadamente antes e invertir en el cumplimiento normativo.
Por Miguel Ortego
Imagen: RTVE (cedidas OK Diario)
[1] Artículo 9. Seguridad de los datos.
«1. El responsable del fichero, y, en su caso, el encar- gado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no auto- rizado, habida cuenta del estado de la tecnología, la natu- raleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
- No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se deter- minen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
- Reglamentariamente se establecerán los requi- sitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley. »
[2] «Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.»
[3] Art. 45 LOPD: «[…] Las infracciones graves serán sancionadas con multa de 40.001 € a 300.000 € »
[4] Los datos de personas relacionadas con investigación de hurtos pueden ser recogidos y tratados por las Fuerzas y Cuerpos de Seguridad del Estado que, con ciertos requisitos, y entre otras, tienen atribuida dicha función, pasando a integrarse en ficheros policiales. Sobre dichos datos no se contempla su cesión o uso por parte de una entidad privada. Asimismo, imágenes previas del autor de un hurto obtenidas en el mismo supermercado o procedente de otro no deben ser objeto de recopilación almacenamiento o listado para por ejemplo evitar que accedan al establecimiento público. Ello quiebra no solo la obligación de eliminar las imágenes sino que se recogen datos sin habilitación alguna.
[5] «Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.»
[6] «Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.»