Sanción a una compañía por no formalizar un contrato con la empresa que gestionaba las imágenes de su sistema de videovigilancia: multa de 10.000 euros

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 10.000 euros a una empresa madrileña dedicada a la impresión de piezas metálicas en 3D por no cumplir con los requisitos legales en la instalación de su sistema de videovigilancia.

Todo comenzó tras la reclamación de un empleado que alertó sobre la instalación de cámaras en distintos puntos de la sede de la empresa, ubicada en un polígono industrial de Torrejón de la Calzada (Madrid). En su escrito, el trabajador señaló que algunas cámaras apuntaban a zonas de descanso del personal e incluso a la vía pública, y que además podían grabar sonido, sin que existiera una comunicación previa ni consentimiento por parte de la plantilla. Para respaldar sus afirmaciones, aportó imágenes que mostraban la localización concreta de los dispositivos.

Tras recibir la reclamación, la AEPD dio traslado del expediente a la empresa, que alegó que el sistema de videovigilancia tenía como único objetivo el control de los procesos productivos. Como prueba, remitió a la Agencia un informe técnico con grabaciones de las cámaras, fotografías de la cartelería informativa instalada y una carta genérica dirigida a los trabajadores, bajo el título “compromiso de confidencialidad empleados”, en la que se hacía alusión al uso de videovigilancia. En ella se afirmaba que “el trabajador ha sido informado y consiente la grabación mediante circuito de videovigilancia externa de las instalaciones”. No obstante, la empresa no presentó ninguna copia firmada por los empleados, lo que generó dudas razonables sobre si realmente se había informado de forma adecuada y efectiva.

Más allá de estas deficiencias, la infracción más clara señalada por la AEPD tiene que ver con la falta de un contrato de encargo de tratamiento con la entidad encargada de gestionar las imágenes recogidas por las cámaras. Aunque la empresa aportó un contrato de prestación de servicios de seguridad, este estaba firmado con otra empresa con la que compartía instalaciones, no con la responsable real del tratamiento de los datos. Esto supone una vulneración directa del artículo 28 del Reglamento General de Protección de Datos (RGPD), que obliga a formalizar un contrato por escrito entre el responsable del tratamiento y el encargado, especificando claramente las funciones y responsabilidades de cada parte.

El RGPD establece de forma clara que la imagen de una persona es un dato personal, por lo que cualquier captación de imágenes mediante cámaras debe respetar las garantías previstas en la normativa. La falta de un contrato específico impide delimitar responsabilidades, definir qué medidas de seguridad deben aplicarse y determinar cómo se deben tratar esos datos. Tal y como señala la AEPD en su resolución, “la no formalización por parte de la actora de contrato u otro acto jurídico escrito impide conocer con certeza las obligaciones correspondientes a cada uno de los participantes en la cadena de tratamiento”. Esta falta de claridad, añade, “genera inseguridades desde el punto de vista material como, por ejemplo, respecto a las medidas de seguridad que habrían de ser adoptadas específicamente por el encargado”.

La Agencia también valoró que el alcance del tratamiento afectaba no solo a trabajadores, sino potencialmente a clientes o visitantes. Pese a que el expediente se originó por la denuncia de un empleado, la AEPD consideró que la situación era extrapolable a más personas, lo que agrava el impacto de la infracción. En cuanto al comportamiento de la empresa, se detectó una “especial negligencia” al no haber cumplido con una de las obligaciones básicas del reglamento: la existencia de un contrato claro y con respaldo legal que defina el tratamiento de los datos personales. La multa de 10.000 euros se impone no solo como medida correctiva, sino como recordatorio de que la protección de datos personales es un derecho fundamental que debe garantizarse con el máximo rigor.