Dos claves de Protección de Datos para entender el 'Caso Eroski'

El pasado 2 de octubre, la Agencia Española de Protección de Datos (AEPD) hizo pública la sanción impuesta a CECOSA HIPERMERCARDOS, S.L, empresa perteneciente al Grupo Eroski, por un importe de 150.000 euros.

El motivo que originó la inspección que posteriormente ha dado lugar a la sanción es la publicación de un video del año 2011 extraído del CCTV (Circuito Cerrado de Televisión) de esta cadena de supermercados y que se hizo público el pasado 25 de abril de 2018. En ellos se puede ver a la entonces presidenta de la Comunidad de Madrid, Cristina Cifuentes, sustrayendo cremas del citado establecimiento.

A pesar de lo mediático de la decisión y de sus repercusiones políticas, desde el punto de vista de los profesionales de la protección de datos, esta Resolución resulta muy interesante ya que muestra una serie de prácticas que deben evitarse por las compañías.

La AEPD basa su decisión en la infracción del supermercado del Artículo 9 de la antigua LOPD (principio de seguridad de los datos), por el que impone 100.000€ de multa y del Artículo 4.1 de la antigua LOPD (principio de calidad de los datos) por el que impone 50.000€ de multa.

El principio de seguridad de los datos hace referencia al establecimiento de las medidas de seguridad que deberá adoptar el responsable de tratamiento (el supermercado) y en su caso, el encargado (la seguridad a la que se encargó la videovigilancia del establecimiento) con el fin de garantizar la seguridad de los datos de carácter personal.

En particular, la AEPD justifica su pronunciamiento sobre este principio, en que, si bien se había establecido un deber de confidencialidad en el contrato firmado entre el supermercado y la empresa de seguridad, no se habían establecido las medidas de seguridad técnicas y organizativas que regularan los accesos por parte de los vigilantes de seguridad al sistema de videovigilancia y la gestión de esas imágenes.

En concreto, durante la inspección, el personal de la AEPD identificó que Eroski incurría en los siguientes defectos: (i) todos los cuartos se encontraban con las puertas abiertas, incluido el centro de control, (ii) no se realizaban auditorías sobre el sistema de grabaciones de imágenes, (iii) no existía sistema de registros de los soportes de entrada y salida de las imágenes, (iv) no existían protocolos de actuación y manejo de datos resultantes del acceso al sistema de videovigilancia, (v) los empleados no eran instruidos sobre cómo actuar en cuanto al tratamiento de estas imágenes ni habían sido informados específicamente de sus obligaciones al respecto en cuanto a manejo de sus accesos al sistema y (vi) las grabaciones eran extraídas mediante un dispositivo externo tipo USB. En la Resolución se narra que incluso en el momento de la inspección, se comprobó que sobre uno de los monitores estaba pegado un post-it® con el código de usuario administrador y la contraseña que permitía el acceso al CCTV.

El segundo motivo de la sanción, calificado por la AEPD como muy grave, es el incumplimiento del principio de calidad de los datos ya que, en el momento de la inspección, en el centro de control del supermercado se encontraron en las paredes numerosas fotografías de personas "sospechosas" de cometer ilícitos tanto en ese establecimiento como en otros de la misma cadena, algunas de las cuales datan del año 2005.

En este sentido la AEPD establece que los datos de personas relacionadas con investigación de hurtos solo pueden ser recogidos y tratados por las Fuerzas y Cuerpos de Seguridad del Estado en base a la función que tienen atribuida como garantes del orden público. Por ello, este tipo de imágenes no deben ser objeto de recopilación, almacenamiento o listado para, por ejemplo, evitar que un supuesto delincuente acceda a un establecimiento público. Esto supondría una quiebra de la obligación de eliminar las imágenes, lo cual se debe realizar a los treinta días de su captación, e implicaría que se han recogido datos sin la debida habilitación.

La conclusión que podemos extraer de esta Resolución es que, en relación con la seguridad de sus sistemas e instalaciones, corresponde a las empresas como responsables del tratamiento de datos, evitar situaciones similares a las sucedidas mediante la implementación de, entre otras, las siguientes medidas proactivas:

- Suscripción de un contrato de encargado de tratamiento cuando se decida subcontratar la videovigilancia a un tercero.

- Implementación de protocolos internos.

- Establecimiento de políticas de conservación y borrado de datos.

- Realización de formaciones a los empleados.

- Realización de auditorías periódicas.

En definitiva, esta Resolución puede suponer una guía a través de la que las empresas pueden mejorar la gestión de sus tratamientos de datos, siendo conscientes de las consecuencias negativas que puede suponer no ser diligente a este respecto.