Sancionado un bazar de alimentación por permitir la grabación y difusión no autorizada de las imágenes de una cámara de seguridad

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.000 euros —reducidos a 600— a un establecimiento dedicado a la venta de productos alimenticios que no impidió la grabación de las imágenes de unas cámaras de seguridad, próximas a la caja de cobros y visibles al público, en la que aparecían varios menores de edad, uno de los cuales fue posteriormente amenazado por WhatsApp. Una sanción que responde a una supuesta infracción de los artículos 5.1 f) y 32 del Reglamento General de Protección de Datos (RGPD).

Según consta en el fallo (cuyo contenido puede consultarse pinchando en ‘descargar resolución’), el litigio en cuestión se originó después de que la madre del menor afectado, de 16 años, presentara una denuncia ante la Guardia Civil y una reclamación ante la Agencia Española de Protección de Datos. La denuncia se basaba en que su hijo había sido amenazado por otros dos jóvenes, quienes utilizaron imágenes extraídas de las cámaras de seguridad del bazar para intimidarlo.

En concreto, a través de un grupo de WhatsApp los dos denunciados le acusaban de ser el autor de un presunto robo y le comunicaban que tenían sus datos personales al completo, así como imágenes de su rostro. El mensaje rezaba así: «O me das mis cosas que me has robado o vuelvo a ir al cuartel a denunciar que estamos investigando tus fotos de Instagram… ahora tengo más información sobre ti. […] Habla conmigo que mi denuncia con fotos y vídeos las tengo así que hay dos caminos o llegamos a un acuerdo o voy y denuncio ya que tengo todos tus datos”.

Dado que las grabaciones de la cámara de seguridad eran propiedad del establecimiento —y a estas no deberían haber tenido acceso personas ajenas al negocio— la madre del menor presentó una reclamación ante la AEPD, en la cual exigía que se condenase al bazar por haber facilitado la grabación de su hijo a dos personas no autorizadas. Unos hechos que tachó de ilegales y denunció que vulneraban los derechos de imagen, expresando que «tenemos miedo de las imágenes que circulan por redes y personas físicas, mi hijo ha sufrido amenazas entre una de ellas que tienen su imagen gracias al establecimiento que se lo facilito incluso en el momento de ponerles las imágenes les dejo grabar desde su teléfono».

Frente a estos hechos, la mujer también presentó una denuncia ante la Guardia Civil por un presunto delito de amenazas. Escritos en los que la madre demandaba que tales grabaciones habían sido captadas por el sistema de videovigilancia de la instalación del establecimiento, habiéndose
distribuido a terceros una grabación procedente de dicho sistema en la que aparecía el adolescente. No obstante esto, no tenía en cuenta que dichas imágenes habían sido extraídas —no con el consentimiento de los empleados o dueños del bazar— sino porque las grabaciones de las cámaras se encontraban expuestas cerca de la caja donde se realizaban los pagos, por lo que eran de fácil accesibilidad.

Agencia Española de Protección de Datos. (Imagen: AEPD)

Las imágenes fueron grabadas y difundidas sin la debida autorización

En este contexto, la AEPD inició una investigación, teniendo como base una posible infracción del principio de confidencialidad establecido por el Reglamento General de Protección de Datos (RGPD). Según los informes, las imágenes del menor, tomadas por las cámaras de seguridad del bazar, fueron grabadas y difundidas sin la debida autorización. En particular, se destacó que el sistema de videovigilancia estaba mal ubicado, permitiendo que personas ajenas al establecimiento pudieran grabar directamente desde el monitor visible al público, lo que facilitó la fuga de las imágenes.

El bazar, en su defensa, alegó que las imágenes captadas por sus cámaras de seguridad eran almacenadas únicamente durante un mes y que se eliminaban automáticamente tras ese periodo. Además, el establecimiento negó tener conocimiento sobre la difusión de las grabaciones ni sobre los mensajes amenazantes recibidos por el menor, apuntando que había entregado la cámara de videovigilancia a la Guardia Civil para su investigación. Sin embargo, esta respuesta no ha sido suficiente para la AEPD, que ahora ha considerado que el establecimiento no había adoptado medidas de seguridad adecuadas para proteger los datos personales de los menores.

Con esta aserción, la Agencia ha subrayado que el artículo 5.1.f) del RGPD exige que los datos personales sean tratados de manera que se garantice su seguridad y confidencialidad, protegiéndolos contra accesos no autorizados o ilícitos. En este caso, el hecho de que el monitor del sistema de videovigilancia fuera visible al público constituyó una vulneración de este principio, ya que permitió que un tercero, sin ningún tipo de control, pudiera capturar las imágenes con un teléfono móvil. De esta forma, las imágenes fueron difundidas por WhatsApp, generando un riesgo para la privacidad y seguridad del menor afectado.

Además, la AEPD ha considerado que el bazar no aplicó las medidas técnicas y organizativas necesarias para proteger los datos personales de los clientes, especialmente de los menores que frecuentan el establecimiento. En su fallo, la Agencia ha destacado que el responsable del tratamiento de datos debía haber evaluado los riesgos asociados al tratamiento de imágenes y tomar las precauciones adecuadas para evitar situaciones como la que ocurrió, en la que un tercero obtuvo acceso no autorizado a datos personales de los menores.

Como resultado de la investigación, la AEPD ha impuesto una sanción económica al establecimiento por una supuesta infracción del artículo 5.1.f) y el artículo 32 del RGPD, relacionados con la falta de medidas de seguridad y confidencialidad en el tratamiento de datos personales. La multa inicial de 1.000 euros fue posteriormente reducida a 600 euros, considerando ciertos atenuantes en el caso, como la cooperación del bazar con la investigación y el hecho de que no se trataba de una infracción repetida.