La autoridad de control ha sancionado con 7.000 euros a un restaurante por la infracción del artículo 5.1.f) del RGPD (principio de integridad y confidencialidad) y con 3.000 euros por vulnerar el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento).
Las cámaras del sistema de seguridad de un restaurante captaron las imágenes de la cena de empresa que se estaba desarrollando en su interior, en la que uno de los comensales mostraba su torso parcialmente desnudo. Estas imágenes fueron enviadas a través de WhatsApp por un empleado del restaurante a uno de los compañeros de trabajo del afectado, solicitándole ayuda para identificarle “debido a las quejas que se habían producido por parte de ciertos clientes que se encontraban en el restaurante el día que sucedieron los hechos”. Este último, se las remitió a la persona que aparecía en dichas imágenes para que tuviera conocimiento de ellas. Habida cuenta de lo anterior, el afectado interpuso la reclamación ante la Agencia Española de Protección de Datos.
La autoridad de control declara, respecto a la infracción del principio de confidencialidad, que debido a la difusión de estas grabaciones captadas por las imágenes de seguridad (en las que aparece el reclamante) a un tercero ajeno al responsable evidencian la falta de aplicación de medidas de seguridad que permitan garantizar la confidencialidad de los datos. De este modo, se acredita la filtración de un video captado en el local titularidad de la reclamada y en el que aparece el reclamante con el torso parcialmente desnudo, “habiendo tenido acceso a dicha grabación compañeros de trabajo de ésta”, lo que prueba la vulneración del principio de confidencialidad.
La AEPD ha tenido en consideración, como agravante, la gravedad de la infracción, por cuanto el contenido de las imágenes (en las que aparece el torso semidesnudo del afectado) “supone un mayor perjuicio que si se tratase de grabaciones donde no concurrieran dichas circunstancias”.
Respecto a las medidas de seguridad, afirma la autoridad de control que, debido a que el RGPD no establece un listado de las medias de seguridad que los responsables deben aplicar, son estos los que deben evaluar el riesgo y, en función de dicho análisis, decidir cuáles son las medidas adecuadas a implementar.
No obstante, en este supuesto, existen indicios evidentes de que la compañía no aplicó medidas de seguridad apropiadas. Y ello es así, por cuanto se permitió que cualquier trabajador del restaurante accediese a las grabaciones de las cámaras de seguridad, pudiendo difundirlas con posterioridad (debido a que las imágenes captadas por este tipo de sistemas en establecimientos abiertos al público suelen enfocar directamente a los comensales, se debe garantizar la implementación de medidas adecuadas por el responsable). En este sentido, se indica que el “incumplimiento tendría lugar aun en el caso de que no se hubiera difundido a terceros el contenido de las imágenes captadas”.
La AEPD ha tenido en consideración, como agravante, la intencionalidad o negligencia en la actuación, puesto que la no aplicación de medida alguna que impidiese el acceso por parte de un trabajador a las imágenes captadas y su posterior difusión a través de WhatsApp “denota una grave negligencia”.
Esta resolución permite apreciar la importancia de establecer medidas que permitan impedir que cualquier empleado del responsable del tratamiento tenga acceso a las imágenes captadas por las cámaras del sistema de seguridad. En este sentido, debe estar estipulado quién puede tener acceso a las mismas, siendo plenamente conscientes de que está prohibida su posterior difusión, a través de cualquier medio, a terceros ajenos a la compañía.
Puede acceder a la resolución sancionadora aquí.