Volver a Publicaciones
PUBLICACIÓN
La Agencia Española de Protección de Datos sanciona a un establecimiento por la filtración de imágenes de sus cámaras de videovigilancia
4 de octubre, 2019
A la vista de la aparición en medios de comunicación de una serie de imágenes correspondientes a unos hechos presuntamente delictivos, acaecidos hace más de siete años, y procedentes de las grabaciones registradas por el sistema de videovigilancia instalado en un establecimiento comercial de una cadena de supermercados, la Agencia Española de Protección de Datos inicia actuaciones de investigación en relación con la filtración de dichas imágenes, ya que la revelación de dichas imágenes puede contravenir la normativa de protección de datos de carácter personal.
En este caso, la empresa propietaria del establecimiento había contratado el servicio de videovigilancia a una empresa privada de seguridad. El contrato obligaba a la adjudicataria a adoptar las medidas de seguridad exigidas en la normativa de protección de datos, al objeto de garantizar la confidencialidad y seguridad de los datos captados y almacenados en el sistema. Dentro de tales medidas, destacan las de que cualquier extracción de las grabaciones a un soporte distinto, debía autorizarse o supervisarse por el personal descrito en el protocolo definido por la empresa propietaria del establecimiento. Además, los sistemas utilizados para el registro y el almacenamiento debían contar con medidas de seguridad apropiadas para que se garantizase que tal actividad sólo pudiera realizarse bajo la autorización de dicha empresa, en su condición de Responsable del Fichero. Dicho con otras palabras, el principio de seguridad de los datos impone la obligación de adoptar las medidas técnicas y organizativas adecuadas que eviten el acceso no autorizado, por parte de terceros, a los datos personales.
En el caso analizado, durante la visita de la inspección al centro comercial en el que se captaron las imágenes controvertidas, quedó acreditado que no existía un contrato con la empresa de seguridad privada en el que se recogieran las obligaciones de protección de la información que debían cumplirse, por lo que los empleados de la compañía de seguridad no deberían —por la naturaleza del propio contrato— tener acceso a los datos grabados, sino sólo a los que se visualizaban en tiempo real.
Además, tampoco en este caso se pudo aportar un protocolo interno donde quedase regulado el tratamiento de los datos derivados de las tareas de videovigilancia, ni donde se identificaran los perfiles de acceso o los usuarios del sistema, ni donde se aceptaran las condiciones exigibles en materia de protección de datos por parte del personal.
Antes, al contrario, destaca la Inspección, las claves de acceso al sistema se encontraban anotadas en un papel pegado a la pantalla del ordenador, lo que también supone una infracción de las medidas de seguridad exigidas por la normativa aplicable.
Todo lo anterior nos lleva a concluir la importancia que tiene para cualquier empresa el celebrar con sus proveedores —especialmente en el caso de que estos vayan a tratar información personal de la misma— un contrato donde se regulen de manera adecuada a la normativa y a la realidad de la actividad del tratamiento, las obligaciones de implantar medidas técnicas y organizativas adecuadas y efectivas.
Además de lo anterior, también puede afirmarse la necesidad de prever, por vía contractual, la realización de auditorías y controles que permitan acreditar, no sólo la efectiva implantación de esas medidas, si no el cumplimento real y eficaz de los protocolos y procedimientos desarrollados. En efecto, el cumplimiento de esta previsión debe ser de exigencia obligatoria para el proveedor, pues tal actuación permitirá al responsable modular la responsabilidad ante una eventual fuga de información.
En este caso, la empresa propietaria del establecimiento había contratado el servicio de videovigilancia a una empresa privada de seguridad. El contrato obligaba a la adjudicataria a adoptar las medidas de seguridad exigidas en la normativa de protección de datos, al objeto de garantizar la confidencialidad y seguridad de los datos captados y almacenados en el sistema. Dentro de tales medidas, destacan las de que cualquier extracción de las grabaciones a un soporte distinto, debía autorizarse o supervisarse por el personal descrito en el protocolo definido por la empresa propietaria del establecimiento. Además, los sistemas utilizados para el registro y el almacenamiento debían contar con medidas de seguridad apropiadas para que se garantizase que tal actividad sólo pudiera realizarse bajo la autorización de dicha empresa, en su condición de Responsable del Fichero. Dicho con otras palabras, el principio de seguridad de los datos impone la obligación de adoptar las medidas técnicas y organizativas adecuadas que eviten el acceso no autorizado, por parte de terceros, a los datos personales.
En el caso analizado, durante la visita de la inspección al centro comercial en el que se captaron las imágenes controvertidas, quedó acreditado que no existía un contrato con la empresa de seguridad privada en el que se recogieran las obligaciones de protección de la información que debían cumplirse, por lo que los empleados de la compañía de seguridad no deberían —por la naturaleza del propio contrato— tener acceso a los datos grabados, sino sólo a los que se visualizaban en tiempo real.
Además, tampoco en este caso se pudo aportar un protocolo interno donde quedase regulado el tratamiento de los datos derivados de las tareas de videovigilancia, ni donde se identificaran los perfiles de acceso o los usuarios del sistema, ni donde se aceptaran las condiciones exigibles en materia de protección de datos por parte del personal.
Antes, al contrario, destaca la Inspección, las claves de acceso al sistema se encontraban anotadas en un papel pegado a la pantalla del ordenador, lo que también supone una infracción de las medidas de seguridad exigidas por la normativa aplicable.
Todo lo anterior nos lleva a concluir la importancia que tiene para cualquier empresa el celebrar con sus proveedores —especialmente en el caso de que estos vayan a tratar información personal de la misma— un contrato donde se regulen de manera adecuada a la normativa y a la realidad de la actividad del tratamiento, las obligaciones de implantar medidas técnicas y organizativas adecuadas y efectivas.
Además de lo anterior, también puede afirmarse la necesidad de prever, por vía contractual, la realización de auditorías y controles que permitan acreditar, no sólo la efectiva implantación de esas medidas, si no el cumplimento real y eficaz de los protocolos y procedimientos desarrollados. En efecto, el cumplimiento de esta previsión debe ser de exigencia obligatoria para el proveedor, pues tal actuación permitirá al responsable modular la responsabilidad ante una eventual fuga de información.
