IKEA ha sido sancionada con una elevada multa de 1.5 millones de euros por el Tribunal Federal Administrativo de Austria debido a que, en su tienda ubicada en una estación de la capital, se habían instalado diversas cámaras que permitían grabar tanto a personas que circulaban por la calle (zonas adyacentes al comercio, el cual se encontraba en un lugar muy concurrido a la salida de la estación de tren y del metro, estimándose que más de 10.000 personas pudieron ser grabadas), como a clientes que realizaban pagos con tarjeta, captando el PIN de la misma (al menos una cámara grabó de forma reconocible los dígitos que los clientes tecleaban en el TPV), sin fundamentar este tratamiento en una base legitimadora adecuada.
Así, se declaró que la captación de los clientes al introducir sus contraseñas en los terminales de pago constituía un tratamiento de datos personales, sin que haya una base jurídica que legitime el mismo y sin que IKEA haya dado cumplimiento a los principios del RGPD de legitimación, proporcionalidad, minimización de datos o de transparencia. También se pone de manifiesto que la compañía implementó y puso en funcionamiento este sistema de vigilancia con anterioridad a la realización de la correspondiente evaluación de impacto. Además, se declaraba por el Tribunal que algunas de las cámaras cuya finalidad era la supervisión de la limpieza de la nieve de la entrada o el control del acceso al establecimiento tenían un ángulo de visión excesivo, captando ángulos o zonas que no eran necesarios para ello, sin aplicar adecuadamente medidas de seguridad como, por ejemplo, pixelar la cara de las personas ajenas al establecimiento (a pesar de que IKEA alegase que la ausencia de esta medida se debió a un error humano de un empleado que eliminó este pixelado, por cuanto el Tribunal afirmó que dicho trabajador no tenía la capacidad técnica para eliminar dicha medida de seguridad). La compañía tendrá que reforzar sus protocolos y reevaluar su política de videovigilancia.
A la vista de esta resolución, es recomendable que las compañías que tienen instalados sistemas de videovigilancia, orienten sus cámaras de forma que no se capte la vía pública (o, al menos, se capte únicamente el ángulo del establecimiento, oficina o local) de modo que no se pueda identificar a terceros ajenos al establecimiento. Del mismo modo, no deberán captar datos que podrían considerarse sensibles, como las contraseñas de las tarjetas de los clientes, sin que estos tengan conocimiento de ello.
A fecha de publicación de la presente newsletter no se ha publicado la resolución en la página web del Tribunal austriaco.
