Sanción por no atender el derecho de acceso y borrado de imágenes
¿Necesitamos una base de legitimación para suprimir las imágenes?
Hace unas semanas, una famosa cadena de supermercados era sancionada (PS/00267/2021) por la Agencia Española de Protección de Datos por no haber atendido el derecho de acceso de una clienta a las imágenes captadas por las cámaras de videovigilancia de uno de sus establecimientos, procediendo al borrado de las mismas pasado el mes desde su captación. En el artículo de hoy, vamos a desgranar las infracciones cometidas por la entidad, así como las soluciones que pueden implementarse de cara al futuro.
Poniéndonos en antecedentes, la reclamante, que había sufrido un accidente días antes en uno de los supermercados, se pone en contacto con el Departamento de Atención al Cliente de la entidad solicitando copia de las imágenes captadas por el sistema de videovigilancia del día del siniestro a través del formulario web.
A falta de contestación, reitera la petición a través del canal de denuncias y, semanas más tarde, se pone en contacto a través de su representante con el Delegado de Protección de Datos de la entidad, quien le informa de que las imágenes habían sido borradas por haber transcurrido el plazo máximo de conservación, negando haber recibido la solicitud de acceso pertinente. Tras este hecho, la clienta decide interponer reclamación ante la AEPD, que finalmente sanciona a la entidad por los siguientes quebrantos en la normativa:
- Infracción del artículo 12 RGPD con relación al derecho de acceso contenido en el artículo 15 RGPD: No se atendió la solicitud de acceso.
La entidad señala que la solicitud de acceso de la reclamante no fue gestionada debido a que no llegó a conocimiento del Delegado de Protección de Datos por un error humano involuntario en la gestión de la solicitud, que impidió que la misma llegase a conocimiento del DPD, siguiendo un procedimiento no automatizado para la comunicación de solicitudes de ejercicio de derecho.
A mayor abundamiento, durante la instrucción del procedimiento, la reclamante llegó a un acuerdo con la entidad reclamada, quedando resarcidos los daños y perjuicios sufridos por el accidente y por la no atención del derecho de acceso a sus datos personales, solicitando que se considere atendida su reclamación y se procediese al archivo del procedimiento, entendiendo que así han quedado restaurados las garantías y derechos de la interesada.
La AEPD, por su parte, señala que el desistimiento de quien reclama no es suficiente para proceder al archivo de un procedimiento sancionador incoado, pues la reparación que entiende la entidad que se ha producido tras la satisfacción extrajudicial de lo acontecido, no exonera a la entidad de la responsabilidad derivada de los incumplimientos, pues el acuerdo puede compensar los daños pero no restaura el derecho no atendido, al haberse suprimido los datos.
Es decir, a pesar de la involuntariedad del error y la indemnización por el accidente, la aplicación de la normativa en materia de protección de datos no puede quedar desvirtuada, más si tenemos en cuenta que el propio artículo 12 RGPD establece que el responsable del tratamiento debe de desplegar todas las medidas oportunas y necesarias para facilitar al interesado el ejercicio de derechos, debiendo contestar en todo caso en el plazo máximo de un mes, haciendo alusión a que si el error es provocado por la falta de diligencia en nuestras actuaciones como responsable, el tipo es aplicable.
Por otro lado, debemos tener en cuenta que el interesado que realiza la petición no tiene por qué conocer la jerga técnica o el contenido del clausulado normativo, por lo que habrá casos en los que a pesar de no hacer referencia explícita, por ejemplo, al artículo 15 del Reglamento o al “derecho de acceso”, cuando recibamos dicho mensaje, debemos tener la capacidad de interpretar (siempre dentro de unos márgenes que nos da el sentido común) qué es lo que se nos está pidiendo y, en cualquier caso, consultar al DPD de la entidad si surgen dudas.
- Infracción del artículo 6 RGPD: Falta de legitimación para el borrado de las imágenes.
La entidad reclamada, además de no facilitar el acceso a las imágenes de las cámaras de seguridad, procedió al borrado de las imágenes (que lo tienen establecido en el máximo, esto es, 30 días desde su captación), debido a un error en la cadena de comunicación de la solicitud de acceso, y aduce que en modo alguno puede argumentarse que exista una obligación general de conservación que contradiga el plazo máximo legal de almacenamiento de las imágenes, con independencia de que este salvaguardara un posible derecho a la tutela judicial efectiva de una persona que no ha ejercitado un derecho de acceso, con la consiguiente valoración de si nos encontramos ante un interés legítimo del interesado que pueda justificarla extensión del plazo.
Si tomamos esto en consideración, el supuesto contenido en el artículo 22 LOPDGDD se circunscribe exclusivamente al tratamiento de videovigilancia con base en el cumplimiento de una misión realizada en interés público con la finalidad de proteger los bienes y personas, pero no para aquellos casos en los que concurra una petición de ejercicios basada en el interés legítimo de un particular.
Es decir, dentro de un tratamiento, que en este caso es el de videovigilancia, se realizan varias operaciones de tratamiento que son naturales por el recorrido que realiza el dato desde su recopilación por las cámaras de videovigilancia hasta que el mismo es suprimido, de hecho, dado el tipo de videocámara y finalidad, encontraríamos las operaciones de registro, almacenamiento o conservación, acceso, posible cotejo, extracción y transmisión (en el caso de un acceso), y la supresión.
Cada una de estas operaciones suponen un tratamiento de datos en sí mismo que forman parte de una actividad que las engloba, pero en ningún caso esto implica que haya que buscar una base diferente o adicional a la inicial, siempre que estas sean adecuadas y pertinentes a la finalidad expresada e informada.
La entidad señala que sólo hay que buscar base de legitimación para los tratamientos en positivo, como es la recopilación o el almacenamiento, pero no para los negativos, como sería la supresión, porque al decaer la necesidad (establecida o no por un plazo legal) por la que se llevó a cabo el tratamiento, su licitud también.
Aun tomando esto como punto de partida, la AEPD puntualiza que la supresión no se debía haber producido pues la base de legitimación para la conservación de las imágenes (que impedía el borrado) venía determinada por la solicitud de acceso.
Además, sostiene que en estos casos existe una colisión de derechos entre la protección de datos y la tutela judicial efectiva, y que el primero cede en favor del segundo, de modo que se podría haber extendido el plazo de conservación más allá del máximo establecido puesto que las imágenes captadas constituían una prueba para la defensa de los intereses de la reclamante.
Por todo ello, la AEPD, considera que existe una habilitación legal para el tratamiento de los datos de las imágenes una vez rebasado el plazo establecido para su supresión, siempre que el mismo busque garantizar la tutela judicial efectiva (derivada de lo dispuesto en el artículo 24 CE), resultando esta conservación acorde con los principios de necesidad y proporcionalidad según el caso.
En definitiva, por encima del plazo máximo legal dispuesto en la normativa relativo a la supresión de las imágenes, se encuentra la aplicación de los principios contenidos en el artículo 5 RGPD, de modo que, en cada caso, debemos poner de relieve si es o no pertinente y proporcional la operación de tratamiento. Además, habrá que implementar medidas organizativas claras y concisas que deriven el flujo de las peticiones en materia de derechos al departamento correspondiente o al mismo DPD, para lo que es necesario formar previamente al personal que está en contacto con los interesados, así como la creación de un canal de consultas internas para aquéllos casos en que surjan dudas a la hora de derivar las peticiones de ejercicio de derechos y verificando de forma regular que el procedimiento interno diseñado para la gestión de dicho ejercicios funciona correctamente.
Para más información sobre videovigilancia y protección de datos, no dudes en contactarnos.