Sanción a Mercadona por negar el acceso a las cámaras de vigilancia
Si el año pasado Mercadona era sancionado con 2,5 millones de euros por la Agencia Española de Protección de Datos (AEPD) por la implantación de un sistema de detección de personas con orden de alejamiento de sus establecimientos, este año la cadena de supermercados valenciana vuelve a recibir una nueva sanción por parte de la AEPD por la vulneración de las leyes de protección de datos.
De menor cuantía que el año pasado, pero elevada, 170.000 euros fue la sanción impuesta por la AEPD a Mercadona tras negarle a una clienta el acceso a las imágenes de videovigilancia. Pero… ¿Cómo ocurrió? ¿Por qué la clienta quería acceder a las imágenes grabadas en el supermercado? ¿Es legal que las empresas tengan instaladas cámaras de videovigilancia? Quédate a leer el post al completo porque te ofrecemos las respuestas a todas estas preguntas.
El caso Mercadona
¿Qué ocurrió?
El problema ocurrido es sencillo. Básicamente, una clienta se encontraba en Mercadona cuando sufrió un accidente dentro del supermercado. Con el fin de reclamar los daños y perjuicios sufridos a Mercadona tras el incidente, la clienta solicitó a la cadena de supermercados las imágenes captadas por el sistema de videovigilancia existente en el supermercado.
Hasta aquí todo correcto. Una clienta sufre un accidente en un establecimiento y solicita las imágenes captadas por las cámaras de seguridad para presentar su denuncia. Pero es en este preciso momento en el que Mercadona incumple la normativa de protección de datos en varias ocasiones, y es que la cadena de supermercados nunca le facilitó dichas imágenes a la clienta, quien llegó a solicitarlas hasta en dos ocasiones.
En la primera ocasión, la solicitud fue ignorada.
En la segunda ocasión, Mercadona sí respondió, pero negándole el acceso a dichas imágenes.
Tras los acontecimientos vividos, la AEPD decide sancionar a Mercadona amparándose en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD/GDD), el Reglamento General de Protección de Datos (RGPD) y una Instrucción de la AEPD.
| Leyes de Protección de Datos |
Argumentación |
|---|---|
| Artículo 12.2 del RGPD |
El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado. |
| Artículo 6 “Cancelación” de la Instrucción 1/2006, de 8 de noviembre, de la AEPD |
Los datos serán cancelados en el plazo máximo de un mes desde su captación. |
| Artículo 22.3 “Tratamientos con fines de videovigilancia” de la LOPD/GDD |
Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación. |
¿Cómo se desarrolló?
La clienta estaba en su derecho y solicitó en tiempo y de forma legal el acceso a las imágenes de su accidente. No obstante, su derecho nunca llegó a ser atendido. Pero si nos ceñimos a la ley, el responsable del tratamiento (el Delegado de Protección de Datos de Mercadona) está en la obligación de responder a todos los ejercicios de derecho en un plazo de un mes (el cual empieza a contar desde el momento en que se recibe la solicitud). La única alegación que Mercadona podía presentar era que no podían identificar a la interesada (como recoge el art. 12.2 del RGPD), pero como no era el caso, no hubo alegación posible.
Cuando la clienta solicitó las imágenes por segunda vez, Mercadona respondió afirmando no tener constancia de haber recibido ninguna petición por medio de los documentos que la protección de datos obliga a utilizar a la hora de solicitar el acceso a cualquier tipo de información. De conformidad con el art. 6 “Cancelación” de la Instrucción 1/2006, de 8 de noviembre, de la AEPD, Mercadona responde que como no había recibido ninguna solicitud, eliminó las imágenes tras haber pasado un mes. Sin embargo, Mercadona sí había recibido una solicitud.
¿Qué ocurrió aquí? Como la clienta utilizó el canal de atención al cliente de la cadena de supermercados y no el ejercicio de derechos de protección de datos, Mercadona se sirvió de ello para alegar que había actuado siguiendo la ley, es decir, eliminó las imágenes transcurrido un mes porque nunca recibió ningún ejercicio de derechos.
Tal y como dice el art. 22.3 de la LOPDGDD, Mercadona no podía eliminar las imágenes por contener información que atestiguaba el incidente ocurrido con la clienta. De hecho, al eliminarlas causó una situación de indefensión de la clienta, que no contaba con la manera de demostrar dicho accidente. Por lo tanto, Mercadona no contaba con base legal para proceder a la eliminación de dichas imágenes.
¿Cómo se solucionó?
La AEPD sancionó a Mercadona con 170.000 euros por el incumplimiento de la normativa de protección de datos.
Tras lo ocurrido con Mercadona, está claro que no importa si la empresa es grande, mediana o pequeña, nadie puede eludir las consecuencias derivadas por no cumplir con la normativa de protección de datos. Por eso, en Pdatos ofrecemos el mejor servicio de protección de datos para tu empresa: auditoría RGPD/LOPD, adaptación a la normativa, mantenimiento y consultoría al RGPD y la LOPD/GDD. Todo lo necesario para que cumplas con la normativa de protección de datos y evites que multas de este calibre terminen en tu tejado. Súmate ya a la protección de datos.
Esta situación puede prevenirse fácilmente, para evitarte sanciones y problemas con la AEPD si cuentas con una empresa especialista en la gestión de la protección de datos. Con Pdatos tienes la oportunidad de adaptarte a RGPD y LOPD a un precio inigualable. ¿A qué esperas? Ponte en contacto ahora mismo y comprueba si cumples con la normativa de protección de datos. Nuestros profesionales cuentan con más de 13 años de experiencia en el sector.
