4/29/2025
L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat amb 10.000 euros una empresa dedicada a la impressió de peces de metall en 3D per comptar amb irregularitats en el seu sistema de videovigilància.
L’entitat sancionada va instal·lar el sistema de càmeres de seguretat però no va formalitzar contracte amb una altra empresa que s’encarregava del tractament de les imatges captades amb aquests dispositius, fet que suposa l’incompliment de la normativa de protecció de dades personals, perquè la imatge física d’una persona és una dada personal i la seva protecció és objecte del Reglament General de Protecció de Dades.
Un treballador de l’empresa va interposar davant la AEPD una reclamació comunicant que, la seva ocupadora havia instal·lat un sistema de videovigilància a la seva seu social, i que podia suposar un possible incompliment del Reglament Europeu 2016/679 (Reglament General de Protecció de Dades - RGPD).
A la reclamació el treballador manifestava que la mercantil havia posat a les seves instal·lacions càmeres de videovigilància que podien captar so, sense que se n’hagués informat als treballadors. Així mateix, assenyalava que hi havia càmeres que estaven orientades a zones de descans dels treballadors i a la via pública. El reclamant va aportar diverses imatges d’ubicació de les càmeres.
A l’escrit de resposta, l’entitat va indicar que operava amb càmeres pròpies destinades al control dels processos productius i va adjuntar diversos documents, entre ells el contracte de presentació de serveis de seguretat de l’empresa i una carta que es va distribuir als treballdor@s on es detallaven els sistemes de vigilància. Aquesta carta recollia la signatura de consentiment de les persones treballadores, denominada “compromís de confidencialitat empleats”, no obstant, no es va aportar aquest document signat pels treballador@s.
En aquesta carta es detallen els sistemes de vigilància, indicant-se expressament al punt 13 que “el treballador ha estat informat i consenteix la gravació mitjançant circuit de videovigilància externa de les instal·lacions”. No obstant, el contacte de prestació de serveis de seguretat aportat per l’entitat és el signat per una altra empresa amb la qual l’entitat actora comparteix seu social, indicant-se en aquest contracte és l’altra mercantil l’encarregada del tractament de dades.
La part reclamada va adjuntar a l’Agència un informe tècnic amb les imatges captades per quatre de les càmeres durant un dia concret, totes elles imatges interiors de l’edifici, indicant que es gravava el vídeo i es guardava durant un període de 31 dies, però que cap d’aquestes càmeres captava àudio. L’empresa també va adjuntar tres fotografies (sense data) dels cartells indicant l’existència de zones subjectes a videovigilància, instal·lats a l’entrada de la nau, la zona de soldadura i la façana exterior de la nau.
L’AEPD va acordar iniciar procediment sancionador a l’empresa per tal de determinar si el tractament de dades personals portat a terme per aquesta, a través del sistema de videovigilància era acord, o no, amb allò establert al Reglament General de Protecció de Dades (RGPD) i a la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD).
L’empresa ha vulnerat l’article 28 del RGPD
D’acord amb allò establert al Reglament General de Protecció de Dades, la imatge física d’una persona és una dada personal i la seva protecció és objecte d’aquest Reglament, per la qual cosa les imatges generades per un sistema de càmeres o videocàmeres són dades de caràcter personal, i el seu tractament està subjecte a la normativa de protecció de dades.
L’AEPD assenyala a la resolució que el contracte de prestació de serveis de seguretat aportat per l’entitat és el signat per una altra empresa amb la qual la mercantil actora comparteix seu social. I és l’actora, “com a responsable del tractament, qui ha de formalitzar un contracte d’encàrrec de tractament, amb el contingut disposat a l’esmentat article 28 del RGPD”, ja que l’altra empresa amb la qual comparteix seu social també tracta dades personals de l’actora, “per la qual cosa és precís aquest contracte i complir amb les obligacions del RGPD”.
La manca de formalització d’aquest contracte o altre acte jurídic escrit amb el contingut exigit a l’article 28.3 del Reglament General de Protecció de Dades amb l’encarregat del tractament suposa la vulneració d’allò establert a l’article citat. En conseqüència, i considerant la gravetat de la infracció, atenent especialment a les conseqüències que la seva comissió provoca als afectats, l’AEPD ha imposat a la mercantil una multa.
10.000 euros de multa
A efectes de determinar la quantia de la multa, l’AEPD, ha tingut en compte la gravetat de la infracció comesa, que en el present cas resideix en què l’entitat actora ha aportat un contracte amb l’encarregat del tractament, una altra empresa, que no ha estat formalitzat per aquesta empresa sinó per una tercera, pel què l’actora ha encarregat el tractament de dades amb l’altra mercantil que comparteix seu social sense la prèvia formalització d’un contracte o un altre acte jurídic escrit amb el contingut exigit per l’article 28.3 del RGPD.
I la no formalització per part de l’actora de contracte o altre acte jurídic escrit “impedeix conèixer amb certesa les obligacions corresponents a cada un dels participants en la cadena de tractament. Aquesta incertesa genera inseguretats des del punt de vista material com, per exemple, respecte a les mesures de seguretat que haurien de ser adoptades específicament per l’encarregat, seguint allò disposat per l’actora, doncs com a responsable del tractament, determina les finalitats i mitjans del sistema de videovigilància instal·lat”, assenyala l’Agència.
“Així mateix, si bé el present procediment sancionador neix d’una reclamació, l’abast dels possibles afectats per aquesta mateixa circumstància afectaria a tots els treballadors i clients o potencials clients” de l’entitat actora.
L’AEPD també ha tingut en compte la intencionalitat o negligència en la infracció del RGPD. En aquest sentit, l’entitat actora està realitzant tractament de dades personals sense haver formalitzat un contracte d’encàrrec amb l’empresa que, de facto, està realitzant aquestes funcions.
“S’aprecia una especial negligència en la mesura en què el compliment de les previsions contingudes a l’article 28 no s’han complert, doncs ni tan sols s’ha formalitzat cap contracte o altre acte jurídic escrit amb el contingut exigit a l’esmentat article”, recull la resolució, “l’existència de contracte d’encàrrec i la seva pulcritud jurídica és un element essencial per tal de garantir el compliment de les obligacions que el RGPD imposa, tant al responsable com a l’encarregat del tractament”.
Per tot l’exposat, s’ha fixat una sanció de multa administrativa de 10.000 euros.
Tens dubtes? Contacta amb nosaltres