La AEPD sanciona a un bazar de alimentación por permitir la grabación y difusión no autorizada de imágenes de un menor. Descubre las implicaciones y medidas para proteger la privacidad.
La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente con 1.000 euros, posteriormente reducidos a 600, a un establecimiento de alimentación por permitir la grabación y difusión no autorizada de imágenes captadas a través de sus cámaras de seguridad. Las imágenes, en las que aparecía un menor de 16 años, fueron utilizadas posteriormente para amenazarlo a través de mensajes en WhatsApp. Esta resolución pone en evidencia las deficiencias en la gestión de sistemas de videovigilancia y destaca la necesidad de implementar medidas adecuadas para proteger los datos personales, especialmente cuando se trata de menores.
El origen del caso: una cámara mal ubicada y accesible. El litigio se inició cuando la madre del menor presentó una denuncia ante la Guardia Civil y una reclamación ante la AEPD, después de que su hijo fuera amenazado con imágenes obtenidas de las cámaras de seguridad del bazar. Estas imágenes mostraban al joven, acusado falsamente de un robo, y fueron difundidas en un grupo de WhatsApp por otros dos menores. Los mensajes incluían amenazas explícitas, acompañadas de datos personales extraídos de las imágenes.
El problema principal residió en la ubicación del sistema de videovigilancia del establecimiento. Las grabaciones se mostraban en un monitor visible al público, situado cerca de la caja de pagos. Esta disposición permitió que cualquier persona, sin control alguno, pudiera grabar directamente la pantalla con su teléfono móvil y utilizar las imágenes de manera indebida.
La madre del menor expresó en su reclamación su preocupación por la difusión de las imágenes, afirmando que su hijo había sufrido amenazas y que temía por las consecuencias de la circulación de su imagen entre redes sociales y personas físicas. Según sus declaraciones, el establecimiento no solo permitió la captura de las imágenes, sino que también facilitó su distribución al no tomar medidas para proteger la privacidad de los clientes.
Infracciones del reglamento general de protección de datos (RGPD)
La AEPD inició una investigación basada en una posible vulneración del principio de confidencialidad recogido en el artículo 5.1.f) del RGPD, así como en el artículo 32, que obliga a los responsables del tratamiento de datos a garantizar la seguridad mediante medidas técnicas y organizativas adecuadas.
El artículo 5.1.f) establece que los datos personales deben ser tratados de manera que se garantice su seguridad y confidencialidad, protegiéndolos contra accesos no autorizados. En este caso, la accesibilidad del monitor de videovigilancia a personas ajenas al establecimiento constituyó una clara infracción. La falta de control permitió que terceros grabaran las imágenes, lo que facilitó su posterior uso ilícito.
Por otro lado, el artículo 32 del RGPD exige que los responsables del tratamiento de datos evalúen los riesgos y adopten las medidas necesarias para proteger la información. La ubicación incorrecta del monitor, junto con la ausencia de mecanismos de seguridad, evidenció que el bazar no implementó las precauciones necesarias.
La respuesta del bazar y la resolución de la AEPD: En su defensa, el establecimiento alegó desconocer la difusión de las imágenes y explicó que las grabaciones de las cámaras de seguridad se almacenaban durante un mes antes de ser eliminadas automáticamente. Asimismo, afirmó haber colaborado con la Guardia Civil, entregando los sistemas de videovigilancia para su investigación.
Sin embargo, la AEPD consideró insuficiente esta defensa. La Agencia determinó que la configuración y ubicación del sistema de videovigilancia no garantizaban la protección de los datos personales, especialmente tratándose de menores. Como consecuencia, el bazar fue sancionado con una multa de 1.000 euros, reducida a 600 euros por la colaboración del establecimiento y la inexistencia de infracciones previas.
Implicaciones y riesgos asociados a la videovigilancia mal gestionada: Este caso pone en relieve las graves implicaciones de una gestión inadecuada de sistemas de videovigilancia. Las imágenes captadas por cámaras de seguridad contienen datos personales sensibles y deben ser protegidas con estrictas medidas de seguridad. Cuando se permite su acceso no autorizado, surgen riesgos significativos como:
- Amenazas y extorsiones: Las imágenes pueden ser utilizadas para intimidar o chantajear a las personas captadas, como ocurrió en este caso.
- Suplantación de identidad: La difusión de imágenes facilita el robo de identidad, especialmente cuando se combina con otros datos personales obtenidos.
- Vulnerabilidad de menores: Los menores son especialmente vulnerables a estos abusos, lo que requiere un nivel de protección aún mayor por parte de las empresas.
Tecnologías y medidas recomendadas para proteger sistemas de videovigilancia
Para evitar situaciones similares, es imprescindible que los establecimientos implementen tecnologías y medidas de seguridad avanzadas en sus sistemas de videovigilancia. Entre las más recomendadas se encuentran:
- Encriptación de grabaciones: Las imágenes captadas deben ser cifradas para evitar accesos no autorizados. Herramientas como AES-256 garantizan una protección robusta.
- Acceso restringido y controlado: Los monitores de videovigilancia deben situarse en áreas privadas y protegidas, fuera del alcance de clientes y terceros. El acceso debe estar limitado al personal autorizado mediante sistemas de autenticación biométrica o contraseñas seguras.
- Monitoreo remoto seguro: Implementar plataformas de gestión de videovigilancia que ofrezcan acceso seguro y cifrado a las grabaciones. Ejemplos de software incluyen Milestone XProtect y Avigilon Control Center.
- Auditorías regulares: Realizar auditorías periódicas para verificar el cumplimiento de las normativas de protección de datos y detectar posibles vulnerabilidades en el sistema.
- Formación del personal: Es necesario capacitar a los empleados sobre la importancia de proteger los datos personales y cómo gestionar adecuadamente los sistemas de videovigilancia.
Ciberseguridad y protección de datos en el contexto actual: La Agencia Española de Protección de Datos ha reiterado en numerosas ocasiones la importancia de cumplir con las disposiciones del RGPD para garantizar la privacidad y seguridad de los datos personales. Según estadísticas recientes, más del 30% de las sanciones impuestas por la AEPD están relacionadas con la gestión incorrecta de sistemas de videovigilancia.
El caso del bazar de alimentación no es aislado. En otros países europeos, se han registrado incidentes similares que han generado sanciones y consecuencias legales para los responsables. Estos casos reflejan la necesidad de un mayor control y la adopción de soluciones tecnológicas que permitan garantizar la confidencialidad de las grabaciones.
La sanción impuesta al bazar de alimentación por la AEPD destaca las consecuencias de una gestión inadecuada de los sistemas de videovigilancia y subraya la importancia de proteger los datos personales, especialmente cuando involucran a menores de edad. La combinación de tecnologías avanzadas, auditorías periódicas y formación del personal resulta clave para garantizar la seguridad y evitar situaciones similares en el futuro.
El cumplimiento del Reglamento General de Protección de Datos no solo es una obligación legal, sino también una garantía para la protección de los derechos individuales y la privacidad de las personas.
