Muchas son las sanciones que impone la Agencia Española de Protección de Datos (en adelante, AEPD) por el incumplimiento de los principios relativos al tratamiento de los datos personales recogidos en el artículo 5.1. del Reglamento General de Protección de Datos (en adelante, RGPD). En este caso, en este artículo del blog, vamos a analizar una resolución por incumplimiento del principio de limitación de la finalidad, que termina con una multa de 5.000 euros al responsable de un bar por haber grabado con sus cámaras de videovigilancia la caída de uno de sus clientes y haber difundido el vídeo a través de la aplicación de mensajería instantánea de WhatsApp.
Los hechos se reducen a que el reclamante se encontraba en un bar de una pequeña localidad cuando, en un momento dado, sufre una caída accidental en el mismo. Días después, comenzó a circular a través de la aplicación de WhatsApp de los vecinos de la misma localidad, un vídeo procedente de las cámaras de videovigilancia del bar en el que se podía observar, precisamente, la caída que había sufrido el reclamante.
Según el requirente, la difusión, al haberse propagado en una localidad pequeña en la que es muy conocido, le ocasionó un daño y perjuicio que repercutió tanto en el derecho al honor como en el derecho a la propia imagen del mismo y de su familia, reconocidos ambos en el artículo 18.1. de la Constitución Española.
Tal vídeo, además, llegó, incluso, a la prensa, habiéndose difundido mediante su publicación en un periodo digital de tirada nacional.
El reclamante, junto con la reclamación, aporta las fotografías como prueba documental, que acreditaban la existencia de cámaras en el establecimiento hostelero, así como prueba documental de un acta notarial en virtud de la cual se habían protocolizado las páginas de Internet que permitían el acceso a la reproducción del vídeo.
Por su parte, el reclamado no realizó alegación alguna, por lo que la AEPD consideró iniciar procedimiento sancionador al mismo.
En la propuesta de resolución, la autoridad de control acordó la imposición de una sanción cifrada en 3.000 euros por infracción del artículo 5.1.b) del RGPD, por vulneración del principio de limitación de la finalidad (ampliamente analizado en esta entrada del blog), al considerar que se extrajeron sin causa justificada imágenes del sistema de videovigilancia para su ulterior difusión por motivos no justificados en legal forma.
Después de esta propuesta de resolución, se interpuso en tiempo y forma recurso de reposición en el que el reclamado sostenía no ser el principal responsable de la instalación de las cámaras. En este sentido, la parte reclamada negó la autoría de los hechos señalando que cualquier cliente que estuviese ese día en el lugar de los hechos podría ser el autor material de la difusión de dichas imágenes por haberlas captado con cualquier terminal móvil.
Sin embargo, respecto a esto último, la AEPD considera como hechos probados la identificación como principal responsable del sistema de videovigilancia instalado en el bar al reclamado. De hecho, se considera que las imágenes difundidas permiten constatar que no se trata de un teléfono móvil particular desde el que se han obtenido las imágenes acontecidas en el lugar de los hechos, de manera que son insuficientes las explicaciones manifestadas por el reclamado sobre la legalidad del sistema de videovigilancia instalado en el establecimiento que regenta.
Consta, por tanto, acreditado que el establecimiento hostelero dispone de un sistema de cámaras de videovigilancia que permite obtener imágenes del interior del mismo, contando con el preceptivo cartel informativo. Además, la empresa instaladora del sistema confirma la operatividad de las cámaras y reafirma que el principal responsable del tratamiento de las imágenes obtenidas es la persona del reclamado.
Por tanto, nuestra autoridad de control considera que se han utilizado imágenes extraídas del sistema de videovigilancia del establecimiento del bar objeto de reclamación, sin causa legítima para ello, siendo difundidas tanto en redes sociales como en medios de comunicación de carácter público.
En cuanto a la fundamentación jurídica, con carácter previo, la AEPD aclara que la imagen de una persona es un dato personal del artículo 4.1. del RGPD en la medida que sea identificable, imagen que puede ser tratada de diferentes maneras, para distintas finalidades. No obstante, aclara que la finalidad de un sistema de videovigilancia es la seguridad de la propiedad privada y de los moradores frente agresiones externas.
Alega la autoridad de control el artículo 22.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD) en el que se dispone que “las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones”. Igualmente, aduce el apartado 3 de este mismo artículo, que señala que las imágenes deben conservarse solo para su puesta a disposición de la autoridad competente “para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”.
Respecto a esto último, la AEPD dispone que la cesión de las imágenes obtenidas de un sistema de videovigilancia puede producirse en virtud de motivos tasados específicos, no pudiendo difundirse para una finalidad incompatible con la obtención de las mismas, que es la seguridad.
Por tanto, la difusión de las imágenes a través de los distintos medios empleados no encuentra acomodo en una causa legítima para ello, comportando un tratamiento de datos del afectado fuera de los permitidos por la ley, siendo incompatible con la finalidad de seguridad a la que obedece la instalación de las videocámaras. En consecuencia, se ha producido un tratamiento sin la debida reserva exigible en estos supuestos.
De hecho, la AEPD llega a calificar la conducta como de negligente a consecuencia de los amplios indicios expuestos y pruebas aportadas. Esto es así porque se infiere que el reclamado ha obtenido voluntariamente las imágenes del sistema de videovigilancia del bar para la ulterior difusión pública con un ánimo de herir al titular de los datos, en la medida en que la exposición pública no era el medio adecuado para denunciar cualquier hecho que pudiera ser, en su caso, denunciable.
La AEPD concluye que los hechos son constitutivos de una infracción imputable al reclamado por vulneración del contenido del artículo 5.1.b) del RGPD con una sanción que asciende a 5.000 euros.
Una vez más, la AEPD deja claro que los datos, que deben ser recogidos con fines determinados, explícitos y legítimos, no pueden tratarse ulteriormente de manera incompatible con dichos fines, por lo que tendremos que tener cuidado con el uso que damos de las imágenes captadas a través de los sistemas de videovigilancia.
Para saber más sobre la adecuación de las cámaras de videovigilancia a la normativa en materia de protección de datos personales, consultar la Guía sobre el uso de videovigilancia de la AEPD y esta entrada de nuestro blog.
