Obviar la trazabilidad de la Videovigilancia puede costarte 400.000 €

Sanciones por no gestionar bien la Videovigilancia

La videovigilancia se ha convertido en una herramienta habitual en las empresas, ya sea para el control de accesos, la seguridad de personas y bienes, la prevención de robos… Hasta aquí todo correcto.

El problema empieza cuando se piensa que con que un instalador profesional coloque estratégicamente las cámaras y que el sistema se pueda visualizar bien, es suficiente. Pero no lo es y para muestra sigue leyendo

Caso real de sanción de 400.000 € a Unicaja

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha sancionado a Unicaja con 400.000 euros por una práctica que, siendo claros, sigue siendo muy habitual en muchas organizaciones:

Utilizar un usuario genérico único para acceder al sistema de cámaras de seguridad y visualizar las imágenes. ¿Qué implica esto?

  • Cualquier persona autorizada puede entrar al sistema con el mismo usuario
  • No se puede saber quién accedió a las imágenes
  • No hay registro fiable de accesos (trazabilidad)

Por qué esto vulnera el RGPD

La Normativa de Protección de Datos (art. 32 RGPD) obliga a aplicar medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales tratados corporativamente.

Las imágenes de videovigilancia son datos personales y acceder a ellas también es un tratamiento de datos.

Si no puedes responder a estas preguntas:

  • ¿Quién ha accedido a las imágenes?
  • ¿Cuándo lo ha hecho?
  • ¿Con qué finalidad?

Entonces no estás cumpliendo con la Normativa de Protección de Datos y existe un riesgo de sanción como el comentado de Unicaja.

La utilización de usuarios genéricos vulnera directamente:

  • El principio de integridad y confidencialidad (art. 5.1.f RGPD)
  • El deber de seguridad del tratamiento (art. 32 RGPD)
  • El principio de responsabilidad proactiva  (art. 5.2 RGPD)

Y además, elimina cualquier posibilidad de auditoría interna real.

El error de base: confundir “tener seguridad” con “gestionar la seguridad”

Muchas empresas creen que cumplen porque:

  • Tienen cámaras instaladas
  • Han puesto el cartel informativo
  • Las grabaciones se borran en 30 días
  • O han informado convenientemente a trabajadores

Pero se olvidan de algo crítico: El acceso a las imágenes es el punto más sensible del sistema.

Qué exige realmente la normativa sobre el uso de videovigilancia

Desde un punto de vista práctico (y exigible por la AEPD), un sistema de videovigilancia debe

  1. Tener una Base jurídica correcta

  • Interés legítimo del empleador (art. 6.1.f RGPD)
  • En relación con el art. 20.3 del Estatuto de los Trabajadores (control laboral)

  1. Principio de proporcionalidad

  • Las cámaras deben ser idóneas, necesarias y proporcionadas
  • No vale “por si acaso”

  1. Información previa

  • Cartel informativo (primera capa)
  • Información ampliada (política completa accesible: web, intranet, documento interno)

  1. Limitación de la finalidad

  • Por ejemplo: Seguridad
  • Control laboral (dentro de límites legales)

  1. Ubicación de las cámaras

  • Evitar grabar en lugares lesivos (ej. vestuarios, baños, lugar de reunión de trabajadores)
  • Evitar grabar vía pública (salvo lo imprescindible)
  • Evitar grabar más de lo necesario

  1. Plazo de conservación

  • Máximo 30 días (salvo las excepciones legalmente establecidas y con las medidas necesarias)

  1. Control de acceso a las imágenes

  • Usuarios individualizados (no genéricos)
  • Acceso restringido (solo quien lo necesite)
  • Control de accesos por roles (no todos deben ver todo)
  • Registro de accesos (logs)
  • Control de quién accede, cuándo y por qué
  • Políticas internas documentadas

  1. Medidas de seguridad

  • Contraseñas robustas
  • Control de accesos
  • Cifrado (si aplica)
  • Copias de seguridad

  1. Uso para sancionar a trabajadores

      Es válido si se cumplen condiciones:

  • Se ha informado previamente
  • La medida es proporcional
  • No se vulneran derechos fundamentales

      El Tribunal Constitucional lo ha avalado, pero con límites.

  1. Registro de actividades de tratamiento (RAT)

  • Finalidad
  • Base jurídica
  • Categorías de datos
  • Medidas de seguridad

  1. Evaluación de impacto (EIPD)

      Puede ser obligatoria si se pretende:

  • Hacer una observación sistemática a gran escala
  • Posibles riesgos para los derechos de trabajadores

Business Adapter® a tu servicio 

Si tienes dudas sobre cómo actuar sobre este asunto, contacta a tu consultor para solicitarle asesoramiento personalizado.

Si no eres cliente y necesitas ayuda, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario:

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!