La Agencia Española de Protección de Datos (AEPD) ha sancionado con 10.000 euros a una empresa dedicada a la impresión de piezas de metal en 3D por contar con irregularidades en su sistema de videovigilancia.
Concretamente la entidad sancionada instaló el sistema de cámaras de seguridad pero no formalizó contrato alguno con otra empresa que se encargaba del tratamiento de las imágenes captadas con esos dispositivos, lo que supone el incumplimiento de la normativa de protección de datos personales, por cuanto la imagen física de una persona es un dato personal y su protección es objeto del Reglamento General de Protección de Datos.
La resolución imponiendo la multa administrativa a la mercantil (disponible en el botón ‘descargar resolución’) llega a raíz de que la Agencia decidiera iniciar un procedimiento sancionador contra la citada empresa después de que un trabajador de la misma interpusiera ante la AEPD una reclamación comunicando que, su empleadora había instalado de un sistema de videovigilancia en su sede social, ubicada en un polígono industrias de Torrejón de la Calzada (Madrid), y que podía suponer un posible incumplimiento del Reglamento Europeo 2016/679 (Reglamento General de Protección de Datos- RGPD).
En la reclamación el empleado manifestaba que la mercantil había puesto en sus instalaciones cámaras de videovigilancia que podían captar sonido, sin que se hubiese informado de ello a los trabajadores. Asimismo señalaba que había cámaras que estaban orientadas a zonas de descanso de los trabajadores y a la vía pública. El reclamante aportó varias imágenes de ubicación de las cámaras.
La imagen es un dato personal
La Agencia Española de Protección de Datos dio traslado de dicha reclamación a la mercantil. En el escrito de respuesta, la entidad indicó que operaba con cámaras propias destinadas al control de los procesos productivos y adjunto varios documentos, entre ellos el contrato de prestación de servicios de seguridad de la empresa y una carta que se distribuyó a los trabajadores en la que se detallaban los sistemas de vigilancia. Esa carta recogía la firma de consentimiento de las personas trabajadores, denominada ‘compromiso de confidencialidad empleados’, no obstante, no se aportó dicho documento firmado por los trabajadores.
En esa carta informativa distribuida a los trabajadores se detallan los sistemas de vigilancia, indicándose expresamente en el punto 13 que “el trabajador ha sido informado y consciente la grabación mediante circuito de videovigilancia externa de las instalaciones”. No obstante, el contrato de prestación de servicios de seguridad aportado por la entidad es el firmado por otra empresa con la que la entidad actora comparte sede social, indicándose en dicho contrato es la otra mercantil la encargada del tratamiento de datos.
La imagen es un dato personal
La Agencia Española de Protección de Datos dio traslado de dicha reclamación a la mercantil. En el escrito de respuesta, la entidad indicó que operaba con cámaras propias destinadas al control de los procesos productivos y adjunto varios documentos, entre ellos el contrato de prestación de servicios de seguridad de la empresa y una carta que se distribuyó a los trabajadores en la que se detallaban los sistemas de vigilancia. Esa carta recogía la firma de consentimiento de las personas trabajadores, denominada ‘compromiso de confidencialidad empleados’, no obstante, no se aportó dicho documento firmado por los trabajadores.
La empresa ha vulnerado el artículo 28 del RGPD
De acuerdo con lo establecido en el artículo 4.1 del RGPD, la imagen física de una persona es un dato personal y su protección es objeto de dicho Reglamento, por lo que las imágenes generadas por un sistema de cámaras o videocámaras son datos de carácter personal, y su tratamiento está sujeto a la normativa de protección de datos.
Asimismo, conforme a lo dispuesto en el artículo 4.2 de dicho Reglamento, el concepto de tratamiento de datos personales se define como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales”. Mientras que el artículo 4.7 RGPD define al responsable de ese tratamiento como aquel que determine los fines y medios del tratamiento.
En el presente caso, la mercantil dedicada a elaborar piezas de metal en 3D realiza un tratamiento de datos personales en su condición de responsable del tratamiento, de conformidad con el artículo 4.7 del RGPD, ya que determina los fines y medios del sistema de videovigilancia instalado, como la propia empresa ha reconocido a la Agencia Española de Protección de Datos al indicar que opera con 4 cámaras propias destinadas al control de los procesos productivos, aportando un documento explicativo de la disposición de dichas cámaras y su campo de visión (monitoreo) en el documento denominado ‘cámaras videovigilancia’.
No obstante, la AEPD señala en la resolución que el contrato de prestación de servicios de seguridad aportado por la entidad es el firmado por otra empresa con la que la mercantil actora comparte sede social. Y es la actora, “en cuanto responsable del tratamiento, la que debe formalizar un contrato de encargo de tratamiento, con el contenido dispuesto en el citado artículo 28 del RGPD”, ya que la otra empresa con la que comparte sede social también trata datos personales de la actora, “por lo que es preciso dicho contrato y cumplir con las obligaciones del RGPD”.
La falta de formalización de ese contrato u otro acto jurídico escrito con el contenido exigido en el artículo 28.3 del Reglamento General de Protección de Datos con el encargado del tratamiento supone una vulneración de lo establecido en el artículo citado. En consecuencia, y considerando la gravedad de la infracción, atendiendo especialmente a las consecuencias que su comisión provoca en los afectados, la AEPD ha impuesto a la mercantil una multa.
10.000 euros de multa
A efectos de determinar la cuantía de la multa, la AEPD ha tenido en cuenta la gravedad de la infracción cometida, que en el presente caso reside en la entidad actora ha aportado un contrato con el encargado del tratamiento, otra empresa, que no ha sido formalizado por dicha empresa sino por una tercera, por lo que la actora ha encargado el tratamiento de datos con la otra mercantil que comparte sede social sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del RGPD.
Y la no formalización por parte de la actora de contrato u otro acto jurídico escrito “impide conocer con certeza las obligaciones correspondientes a cada uno de los participantes en la cadena de tratamiento. Esta incertidumbre genera inseguridades desde el punto de vista material como, por ejemplo, respecto a las medidas de seguridad que habrían de ser adoptadas específicamente por el encargado, siguiendo lo dispuesto por la actora, pues en cuanto responsable del tratamiento, determina los fines y medios del sistema de videovigilancia instalado”, señala la Agencia.
“Asimismo, si bien el presente procedimiento sancionador nace de una reclamación, el alcance de los posibles afectados por esta misma circunstancia afectaría a todos los trabajadores y clientes o potenciales clientes” de la entidad actora.
La AEPD también ha tenido en cuenta la intencionalidad o negligencia en la infracción del RGPD. En este sentido, la entidad actora está realizando tratamiento de datos personales sin haber formalizado un contrato de encargo con la empresa que, de facto, está realizando dichas funciones.
“Se aprecia una especial negligencia en la medida en que el cumplimiento de las previsiones contenidas en el artículo 28 no se han cumplido, pues ni siquiera se ha formalizado contrato u otro acto jurídico escrito con el contenido exigido en el citado artículo”, recoge la resolución, “la existencia de contrato de encargo y su pulcritud jurídica es un elemento esencial para garantizar el cumplimiento de las obligaciones que el RGPD impone, tanto al responsable como al encargado del tratamiento”.
Por todo lo expuesto, se ha fijado para la mercantil una sanción de multa administrativa de 10.000 euros.
Información e Imágen: https://www.economistjurist.es/actualidad-juridica/legislacion/cloud-summit-2025-retos-y-oportunidades-que-presenta-la-proteccion-de-datos/
