La AEPD ha impuesto a la cadena de supermercados Eroski una multa de 150.000 euros por publicar el vídeo donde aparece el presunto robo de unas cremas por la ex presidenta de la Comunidad de Madrid, Cristina Cifuentes. Ese vídeo provocó la dimisión de la presidenta y fue tenido en cuenta para imputarla en el caso del máster.
La AEPD considera que la empresa ha infringido la normativa de Protección de datos.
Incumplimiento de la ley de Protección de datos
Los hechos objeto de la resolución ocurrieron en el año 2011 y el vídeo fue publicado en los medios de comunicación en abril de 2018.
En ese mismo mes, la AEPD decide iniciar las investigaciones sobre esa actuación.
Esta cronología es importante porque en este caso la normativa aplicable es la antigua LOPD de 1999 y porque pasan siete años desde que se grabó el vídeo hasta que fue publicado en los medios de comunicación.
La cadena de supermercados ya ha indicado que recurrirá la sanción debido a que existen muchos intervinientes, son diversas las empresas que han participado en el proceso de recogida, visualización y almacenamiento de esas imágenes. Por eso es fundamental planificar adecuadamente el proceso para controlar la cadena de tratamiento de los datos.
En la resolución se alude a la falta de medidas de seguridad adecuadas sobre ese tratamiento de datos ya que no se han indicado en el documento de seguridad. También se asignaron claves de usuario establecidas lo que dio lugar a su conocimiento por terceros.
Insuficientes medidas de seguridad
En primer lugar, se sanciona a Eroski con una multa de 100.000 euros por infracción del artículo 9 de la LOPD. En este artículo se impone la obligación a responsables y encargados del tratamiento de adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales y evitar su pérdida, modificación o acceso por personas no autorizadas.
Se entiende que el supermercado no adoptó esas medidas de seguridad adecuadas. Aún no se sabe quién filtró ese vídeo siete años después de su grabación, pero la ley que regula las cámaras de seguridad obliga a borrar las grabaciones en un máximo de 30 días.
Las grabaciones pueden mantenerse más de ese plazo solo en caso de comisión de un delito y solo pueden ser comunicadas a las fuerzas y cuerpos de seguridad del Estado. En este caso, la policía no había solicitado esas imágenes.
En la investigación realizada por la AEPD se determina que el supermercado no disponía de un Documento de seguridad ni de un control de acceso al lugar donde se encontraban los monitores de esas cámaras. Tampoco existe ningún documento que recoja el protocolo de los perfiles de acceso a esas grabaciones ni las distintas responsabilidades y funciones del personal.
Falta de legitimación para el tratamiento de las imágenes
Por otro lado, la AEPD considera que se han almacenado fotografías recogidas por las cámaras y estas están expuestas en el puesto de mando para visualizarlas de manera habitual. Esas imágenes proceden del propio supermercado o de otros centros y son usadas para impedir el acceso de esas personas al centro.
Esto se considera una infracción del artículo 4 de la LOPD al entender que no existe ningún tipo de legitimación para tratar esas imágenes. Por ello se impone a Eroski otra multa de 50.000 euros.
Los datos referidos a la investigación de hurtos únicamente pueden ser tratados por las Fuerzas de seguridad, si se cumplen determinados requisitos. Esos datos se incluirán en ficheros policiales pero en ningún caso pueden tratarse por entidades privadas.
Escribe aquí tu comentario