Hace unos días el medio Economist&Jurist publicaba en sus noticias de actualidad que Mercadona había sido sancionada nuevamente por parte de la Agencia Española de Protección de Datos, en esta ocasión por no haber facilitado las imágenes de videovigilancia a una clienta que había sufrido un accidente en el interior de uno de sus establecimientos, por un importe total de 170.000 euros.
En concreto la AEPD multó a la cadena de supermercados por dos infracciones de la normativa de protección de datos:
En primer lugar, por infringir el art. 12 de la LOPDGD y del RGPD (transparencia de la información), en relación con el art. 15 del Reglamento General de Protección de Datos, que regula el derecho de acceso del interesado.
De conformidad con lo dispuesto en el art. 12, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD); viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado; así como a expresar sus motivos en caso de que no atendiera la solicitud. En cuanto al derecho de acceso regulado en el art. 15, al igual que el resto de los derechos del interesado, es un derecho personalísimo, que permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como toda la información enumerada en el propio precepto.
Respecto de esto, Mercadona no cuestionó la recepción de la solicitud de derecho de acceso formulada por la reclamante, sino que únicamente alegó la existencia de un error humano involuntario en la gestión de la solicitud, que originó que no llegara a conocimiento del DPD ni de su equipo y la consiguiente falta de atención de la misma. Por ello, la AEPD consideró que debía asumir responsabilidades, en calidad de responsable, y asumir las consecuencias de la infracción de la normativa de protección de datos acreditada, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.c) de la LOPDGDD, y procedió a sancionarla con una multa de 70.000 euros por tal infracción.
En segundo lugar, por infringir el art. 6 del RGPD (licitud del tratamiento), siendo que, además de no facilitar el acceso a las imágenes de las cámaras de seguridad solicitado por la usuaria interesada reclamante, Mercadona procedió a la eliminación de estas por el transcurso del plazo de 30 días desde su captación. Según indicó la AEPD, este borrado constituía un tratamiento de datos personales en sí, sujeto al régimen de legitimación regulado por el artículo 6 del RGPD, que consideró infringido.
La AEPD señaló en su resolución que “una interpretación acorde con el RGPD, que no contempla la cancelación sino la supresión de los datos personales supone que ese plazo máximo de conservación de un mes no será de cancelación sino de supresión, salvo en aquellos supuestos en que se deban conservar para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.”, y en el caso objeto de valoración, consideró que existía un interés de la reclamante que justificaba el tratamiento de las repetidas imágenes más allá del plazo de un mes (fijado por la Instrucción 1/2006), al menos hasta la entrega de las imágenes a la reclamante y con este único fin, dándole prevalencia al derecho fundamental de la reclamante a la tutela judicial efectiva (art. 24 de la Constitución Española).
Por lo expuesto, la AEPD apreció nueva infracción de la normativa de protección de datos, en este caso tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1. b) de la LOPDGDD, y procedió a sancionar a la mercantil con otra multa de 100.000 euros por ello.
Es evidente que existieron fallos internos que derivaron en las anteriores sanciones, y, en concreto podemos señalar, por ejemplo, un error en el procedimiento de ejercicio de derechos, ya sea por un error cometido por un empleado o carencias en la formación del personal, o debido a un error intrínseco del procedimiento interno establecido, en el marco de la adecuación de la mercantil a la normativa de protección de datos, para atender a los derechos de los interesados. Asimismo, también aconteció un error de análisis del caso, junto con el Delegado de Protección de Datos, que hubiera evitado que se suprimieran las imágenes de forma ilegítima.
Desde Albos Law no tan solo ofrecemos servicio de asesoramiento en cuanto a la adecuación de profesionales a la normativa de protección de datos, sino que además prestamos servicio de Delegado de Protección de Datos para que dichos profesionales se mantengan asesorados y actualizados en todo momento. Todo ello, no tan solo por cumplir la normativa y por ofrecer garantías a sus clientes respecto de sus datos personales, preservando su reputación en el mercado, sino también para evitar ser objeto de reclamaciones, así como la imposición de sanciones cuantiosas por parte de la AEPD.
Para terminar, os dejamos enlace para poder acceder a la resolución de la Agencia que ha sido objeto de análisis en el presente artículo.