Multan a un hotel de Ibiza con 10.000€ por excederse en el uso de videocámaras

Escrito por Lara Rebon Gelpi
multa hotel gracion

La Agencia Española de Protección de Datos (AEPD) sancionó a la empresa hotelera ibicenca Casa Gracio Operation, SLU, con una multa de 10.000€. El pago finalmente fue de 6.000 euros tras reconocer la responsabilidad y haber liquidado la sanción en corto plazo. Pero, ¿qué motivó esta multa? Un mal uso de videocámaras de seguridad que incumplía la Ley de Protección de Datos.

En casos como estos se pone de manifiesto la necesidad de saber que se está haciendo una buena gestión de los datos que recaba tu empresa. Un servicio de protección de datos adecuado evita incurrir en una falta o delito, como le ocurrió a este hotel. En Pdatos contamos con un equipo de profesionales con más de 13 años de experiencia que estudiará tu caso de forma individual, recomendándote la mejor opción para tu negocio. ¡No dudes en consultar nuestros servicios!

Un uso indebido de videocámaras fue el error que llevó a Casa Gracio Operation a la situación de verse sancionado. Si quieres saber cúal ha sido ese fallo, descúbrelo en este post.

La reclamación

La comunidad de Propietarios R.R.R. presentó un escrito el 9 de agosto de 2019 ante la Agencia Española de Protección de Datos para formular una reclamación contra Casa Gracio Operation por la instalación de un sistema de videovigilancia en la calle. En el texto explicaron que había indicios de un posible incumplimiento de lo dispuesto en normativa de protección de datos.

Un representante de la Comunidad de Propietarios presentó la reclamación porque en las zonas de acceso al establecimiento cuentan con cámaras domo que pueden captar la vía pública y los accesos a la Comunidad. Las cámaras domo son aquellas que están cubiertas por un elemento opaco que oculta su interior, por tanto no se puede determinar la dirección a la que enfocan cuando graban.

Para argumentar su reclamación, el representante aportó fotografías de las cámaras y pruebas de que el establecimiento no cuenta con carteles informativos en la fachada advirtiendo sobre la presencia de videovigilancia.

Traslado a la entidad reclamada

La AEPD trasladó el caso a la entidad reclamada antes de admitir a trámite la queja, conforme lo establecido en el artículo 65.4 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Ante esta información, Casa Gracio Operation asumió la posesión al 100% del establecimiento hotelero Casa Cook Ibiza. Reconoció la instalación de cámaras de videovigilancia ubicadas en el perímetro del hotel y alegó que su única finalidad no es otra que velar por la seguridad de clientes, empleados e instalaciones del hotel. Aseguró haber tenido en cuenta en todo momento la normativa vigente en materia de protección de datos, tanto en la instalación como en la operación de las cámaras.

Alegaciones ante la reclamación

La sociedad reclamada alegó ser la única encargada de la visualización y el tratamiento de las imágenes captadas por las cámaras, sin solicitar la explotación de las mismas a ningún tercero. Expuso además que las cámaras referenciadas en el requerimiento de información realizado por la AEPD son del tipo AirSpace CCTV y otras dos del tipo Dahua Dome. Estas últimas poseen máscaras de privacidad. Del mismo modo, la sociedad reclamada afirmó que en las zonas videovigiladas sí figuraban los preceptivos carteles de aviso de videovigilancia y que son visibles al acceder a las zonas de grabación.

Casa Gracio Operation facilitó también la Política de Privacidad de Videovigilancia disponible en la recepción del hotel y en el portal de privacidad del grupo Thomas Cook. Además, la empresa aclaró que solo el director del hotel, el ingeniero jefe y el jefe de atención al cliente tienen acceso a las imágenes obtenidas en la videovigilancia. Solo en caso de ser necesario podría acceder alguien más, siempre con aprobación previa y expresa del Data Protection Officer.

Las imágenes obtenidas de las cámaras se almacenan un periodo máximo de un mes, de conformidad con lo dispuesto en el art. 22.3 de la Ley Orgánico 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Pese a todo, la reclamación fue admitida a trámite.

La infracción

La imagen física de una persona es un dato personal y su protección es objeto del RGPD, según figura en el artículo 4.1 y el 4.2, que define el concepto del tratamiento de dichos datos personales. Con base en estos textos, la AEPD llevó a cabo un análisis sobre el sistema de videovigilancia denunciado y su captación de imagen de personas físicas.

Artículos sobre los supuestos casos
en que consideran lícito el tratamiento
de datos personales
Texto legal

Artículo 6.1 del RGPD
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus
datos personales para uno o varios fines específicos

b) el tratamiento es necesario para la ejecución de un contrato en el
que el interesado es parte o para la aplicación a petición de este de medidas
precontractuales

c) el tratamiento es necesario para el cumplimiento de una obligación
legal aplicable al responsable del tratamiento

d) el tratamiento es necesario para proteger intereses vitales del
interesado o de otra persona física

e) el tratamiento es necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos
al responsable del tratamiento

f) el tratamiento es necesario para la satisfacción de intereses
legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la
protección de datos personales, en particular cuando el interesado sea un
niño.

Artículo 5.1c) del RGPD
1. Los datos personales serán:

c) adecuados, pertinentes y limitados a lo necesario en relación con
los fines para los que son tratados («minimización de datos»)

Art. 22 de la LOPDGDD sobre
Tratamientos con fines de videovigilancia
1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo
el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con
la finalidad de preservar la seguridad de las personas y bienes, así como de
sus instalaciones.

2. Solo podrán captarse imágenes de la vía pública en la medida en que resulte
imprescindible para la finalidad mencionada en el apartado anterior. No
obstante, será posible la captación de la vía pública en una extensión
superior cuando fuese necesario para garantizar la seguridad de bienes o
instalaciones estratégicos o de infraestructuras vinculadas al transporte,
sin que en ningún caso pueda suponer la captación de imágenes del interior de
un domicilio privado.

3. Los datos serán suprimidos en el plazo máximo de un mes desde su captación,
salvo cuando hubieran de ser conservados para acreditar la comisión de actos
que atenten contra la integridad de personas, bienes o instalaciones.

Otras claves legales que la AEPD tuvo en cuenta a la hora de estudiar esta reclamación y resolverla fueron:

●      El tratamiento de imágenes a través de un sistema de videovigilancia debe respetar el principio de proporcionalidad y ser solo instalado por una empresa que reúna los requisitos del artículo 5 de la Ley 5/2014 de Seguridad Privada. El responsable deberá llevar un registro de actividades de los tratamientos efectuados bajo su responsabilidad en el que se incluya la información que referencia el artículo 30.1 del RGPD.

●      En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación, no pudiendo afectar a espacios públicos ni edificios o vehículos contiguos. Por ello, conforme a las evidencias de las que dispuso la AEPD, la agencia consideró que se incumplió con lo establecido en el artículo 5.1c) del RGPD.

●      La infracción cometida es considerada muy grave, según el artículo 72.1 de la LOPDGDD, y prescribe a los tres años. La multa impuesta fue de 10.000 euros, pero al ser abonado por pago voluntario se aplica una reducción del 20% de la cuantía. Del mismo modo, al haber reconocimiento de responsabilidad dentro del plazo concedido por la AEPD, el importe de la sanción resultó finalmente de 6.000 euros.

Si quieres conocer todos los datos al detalle sobre este caso, puedes hacerlo consultando la resolución del procedimiento sancionador instruido por la AEPD.

¿Ahora te han quedado dudas sobre si tu empresa cumple con todos los requisitos de las leyes de protección de datos, incluidas las grabaciones de personas? ¡También tenemos la solución! Con este test que completarás en 2 minutos serás capaz de conocer si tu empresa incumple algunos de los requisitos más básicos que estas leyes exigen a toda empresa que gestione datos de carácter personal. Y recuerda: las imágenes de personas físicas también son datos y pueden costarte 10.000 euros, como en este caso.

Otra de las causas más comunes por las que las empresas son multadas por la AEPD es por no contar con los textos legales en sus webs, pero… ¡Tenemos la solución! Pdatos te da la posibilidad de conseguir los textos legales para tu web GRATIS. Haz clic en el banner y déjanos tus datos, evaluaremos cómo es tu tratamiento actual de datos, redactaremos los textos y te los enviaremos por email. ¡Así de simple!

Y si quieres conocer otros casos similares para saber otros errores que llevaron a sus empresas a tener que hacer frente a grandes multas, te recomendamos la lectura de estos posts:

●      5.000€ - Bufete de abogados

●      30.000€ - Hotel Islas Baleares

●      170.000€ - Mercadona

Lara Rebon Gelpi
Anterior

Guía sobre la ley LSSI-CE, ¿qué es y cómo cumplirla?
Siguiente

Registro de actividades de tratamiento: ¿qué es y quién es el encargado?