La Agencia Española de Protección de Datos ha impuesto a un empresario que instaló un sistema de videovigilancia en su local que permitía captar sonido una sanción de 5.000 euros por infringir el artículo 6 del RGPD (licitud del tratamiento).
En este caso, se presentó la reclamación debido a que, con ocasión de una conversación de WhatsApp en la que el reclamado le preguntaba a la afectada por qué no había música en el local (lo que conoció por acceder al sistema de vigilancia y escuchar que estaban puestas las noticias en la radio del local), tuvo conocimiento de que se había instalado un sistema de videovigilancia que captaba imágenes y sonidos sin haber sido previamente informada de ello. Adicionalmente, también se puso de manifiesto por la empleada de que en el ordenador profesional había instalada una aplicación para el acceso remoto al mismo por parte del empresario.
Una vez admitida a trámite la reclamación, la parte reclamada alegó, entre otras cuestiones, que era falso que el sistema recogiese y almacenase datos personales relativos a la voz, puesto que únicamente se contrató el sistema de alarmas y alertas que “permiten escuchar audio, pero no grabar o registrar estos audios”.
En relación con el acceso en remoto al ordenador, la AEPD ha declarado que al ser un ordenador de empresa al que se accede en la condición de responsable de la organización y que únicamente se tiene acceso a una carpeta compartida en la que constan documentos profesionales, “no se deducen indicios de infracción”.
Respecto a la captación de sonidos, la autoridad de control ha indicado que las imágenes y las voces que se captan por un sistema de cámaras son datos personales. Así, si bien la instalación de este tipo de sistemas con fines de videovigilancia es legítima, debe ser proporcional y cumplir los requisitos establecidos, debiendo adicionalmente informarse a los empleados de ello. En este sentido, en relación con la grabación de sonidos, la jurisprudencia del Tribunal Constitucional establece que la “grabación de conversaciones entre trabajadores o entre éstos y clientes no se justifica por la verificación del cumplimiento por el trabajador de sus obligaciones o deberes”, ni tampoco por la mera utilidad o conveniencia para la empresa.
Así, se concluye que, al disponer de un sistema de sonido (la captación de audios, aunque no se proceda a su grabación o almacenamiento, es un tratamiento de datos) y no tener en cuenta lo dispuesto en la Ley Orgánica de protección de datos (que admite esta opción únicamente “cuando resulten relevantes los riesgos y respetando los principios de proporcionalidad e intervención mínima”), ni la doctrina del TC, por cuanto no se ha probado la existencia de estos riesgos relevantes, se entiende desproporcionada la medida, puesto que la captación de conversaciones supone una mayor intromisión. Asimismo, se estima como agravante el hecho de que no se hubiera informado previamente a los empleados del tratamiento.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.