CUANDO LA DESCOORDINACIÓN INTERNA DE UNA EMPRESA CONLLEVA UNA MULTA DE PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos (AEPD) ha impuesto a la cadena de supermercados Mercadona una sanción de 170.000 euros después de que ésta denegara una petición de acceso a las imágenes de videovigilancia por haberlas eliminado.

El afectado había sufrido un accidente en las instalaciones de la organización y, con la intención de reclamar el resarcimiento de los daños sufridos, decidió ejercer el derecho de acceso que le reconoce el Reglamento General de Protección de Datos (RGPD) y solicitar una copia de las imágenes captadas por las videocámaras del supermercado durante los hechos. Pasado un mes, la empresa le informa de que las imágenes han sido eliminadas conforme a su política de supresión de información y, en consecuencia, no pueden atender su solicitud. Tras reclamar a la AEPD, la autoridad española impone una multa de 170.000 euros a Mercadona.

¿Derecho de acceso o eliminar la información en plazo?

El artículo 15 RGPD establece que:

“El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales”

Como se desprende de esta previsión, el derecho de acceso incluye el derecho a conocer y, si es posible, disponer de la información personal en posesión de la organización a la que se aluda. Esta solicitud debe responderse, negativa o afirmativamente, en el plazo máximo de un mes, o dos si se comunica alguna actualización al interesado en el primer mes.

En el caso de los sistemas de videovigilancia, ello supone, evidentemente, el acceso a las imágenes en las que aparezca el interesado, siempre y cuándo ello no menoscabe el derecho a la protección de datos de terceros. Por ejemplo, si en las imágenes aparecen otros clientes junto al interesado, puede ser necesario editarlas para hacer inidentificables a esas personas antes de entregar una copia al interesado. Igualmente, pueden existir otras causas que hagan improcedente la entrega de las grabaciones, como los efectos que tal entrega podría tener sobre la seguridad de las instalaciones; por ejemplo, si ello revela puntos ciegos del sistema.

En el caso que nos ocupa, el supermercado no atendió la solicitud en el primer mes de plazo. Cuando el interesado volvió a interpelar a la empresa insistiendo en su derecho, ésta respondió que no era posible satisfacer su pretensión al haberse eliminado las imágenes. Nótese que las imágenes habían sido eliminadas después de recibir la primera solicitud del interesado.

En principio, la supresión de datos no sólo es lícita, sino que resulta obligatoria conforme al RGPD. El artículo 5.1 establece el “principio de limitación del plazo de conservación”, por el cual los datos han de ser:

“Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”

La conservación indefinida de datos ya ha sido objeto de sanción en múltiples ocasiones. Mercadona, que contaba con sendos procedimientos internos para el cumplimiento de sus obligaciones de privacidad, no coordinó estos aspectos adecuadamente, lo que conllevó la desatención del interesado y, en última instancia, una cuantiosa multa.

La Ley Orgánica de Protección de Datos dispone que las imágenes de videovigilancia no podrán conservarse por más de 30 días. Si una empresa recibe una solicitud de acceso a las grabaciones y tarda un mes responder – recordemos que el RGPD ofrece ese plazo para atender el derecho de acceso –, las imágenes ya habrán sido destruidas y no se podrá satisfacer el derecho del interesado.

En el caso Mercadona, la entidad debió haber atendido el derecho de acceso sin dilación, especialmente si versaba sobre datos sometidos a un plazo de eliminación tan breve. El plazo de un mes previsto por el RGPD es un máximo, pero no quita que el responsable deba tramitarlo diligentemente y sin dilación indebida.

Cómo aplicar las políticas de protección de datos de manera coherente y eficaz

El caso descrito evidencia que no basta con contar con los procedimientos y las políticas formales de cumplimiento en materia de privacidad; es también necesario que dichos instrumentos formen parte de un marco más amplio que garantice la compatibilidad práctica de todas las piezas.

De este modo, los departamentos de la organización deben conocer cómo aplicar los procedimientos señalados de modo que no se produzcan contradicciones o disfunciones que resulten en infracciones de la norma. Para ello, puede ser conveniente:


  • Elaborar e implementar procedimientos internos de cumplimiento normativa, incluyendo aquellos relativos a la protección de datos. Estos incluyen el procedimiento de atención de derechos, el procedimiento de conservación y supresión de datos, y el procedimiento de encargados del tratamiento, entre otros.

  • Garantizar la aplicación coherente y eficaz de dichos procedimientos. Para ello, es conveniente contar con una política o procedimiento matriz que regule la protección de datos de la empresa a nivel general.

  • Formar adecuadamente a sus trabajadores y directivos para minimizar malentendidos y errores que pueden derivar en multas económicas.

En Caberseg podemos ayudarte a gestionar adecuadamente las obligaciones de privacidad de tu sistema de videovigilancia y los ejercicios de derechos aplicables al mismo.

Contacta con Caberseg y te informamos de todo