Multas seleccionadas relacionadas con el control visual en la UE

Mercadona S.A. es una de las principales empresas españolas de comercio minorista y online. En 2022, la Agencia Española de Protección de Datos (AEPD) de España emitió una decisión en virtud de la cual la cadena de supermercados fue sancionada por violar los derechos relacionados con el RGPD: la empresa fue multada con 170.000 euros. La multa se refería a una violación de los artículos 12 y 15 del RGPD al no responder a la solicitud del interesado, así como del artículo 6 al retirar el material de vídeo sin base legal.

En uno de los supermercados Videovigilados de Mercadona, el interesado sufrió un accidente. Con el objetivo de reclamar daños y perjuicios, el particular ha ejercido el derecho de acceso a la imagen de las cámaras de seguridad. Como consecuencia, esta persona solicitó al controlador que proporcionara la grabación del accidente desde el sistema de videovigilancia mediante el formulario de solicitud en el sitio web del controlador. El cliente recibió una respuesta automática diciendo que su mensaje había sido enviado. El siguiente paso del interesado fue presentar una reclamación por correo electrónico al responsable del tratamiento sobre el accidente. El controlador respondió a este mensaje; sin embargo, no respondió a la solicitud de acceso a los datos durante más de un mes.

El abogado del interesado ha enviado un correo electrónico al delegado de protección de datos del responsable del tratamiento en relación con la solicitud de acceso. La respuesta recibida fue que el DPO no tenía conocimiento de ninguna solicitud de acceso y que el vídeo ya había sido eliminado. Tras esta respuesta negativa, un individuo presentó una denuncia ante la DPA.

La autoridad española de protección de datos tomó nuevas medidas y finalmente impuso una multa al supermercado por violar las disposiciones del RGPD antes mencionadas.

Lea la decisión completa (disponible solo en español).

En 2022 se produjo otro caso de infracción del artículo 15 del RGPD en Grecia. La empresa de telecomunicaciones griega WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ no proporcionó al interesado el registro de seguimiento. Por este motivo, la DPA helénica impuso a la empresa una multa de 2.000 euros.

El interesado acudió al punto de atención al cliente para renovar el contrato telefónico. Durante el proceso de renovación del acuerdo, los empleados de WIND no solicitaron prueba de identidad al suscriptor. Como resultó más tarde, gracias a muchos años de cooperación, los empleados confirmaron la identidad del interesado utilizando A.F.M. Además, el interesado no recibió ningún documento para firmar. Los empleados sólo presentaron un formulario con los campos vacíos de firma del cliente, su firma y el sello de la empresa. Debido a un problema del sistema, el suscriptor no pudo firmar. Sin embargo, los empleados aseguraron al interesado que esto sería suficiente para renovar el contrato.

El mismo día, el interesado envió un correo electrónico tanto al punto de atención al cliente como al Delegado de Protección de Datos. El suscriptor solicitó acceso a las imágenes de vídeo grabadas por las cámaras de WIND. Sin embargo, no recibió respuesta. En un correo electrónico al Delegado de Protección de Datos, el suscriptor se quejaba de una brecha de seguridad en el proceso de renovación del contrato y del incumplimiento del derecho de acceso a los datos. Sólo después de la intervención de la DPA, el propietario del punto de atención al cliente respondió que no se podía conceder la solicitud de acceso porque el material registrado había sido eliminado. La DPA consideró que esto era una violación del artículo 15 e impuso una multa a la empresa griega.

Más detalles sobre este caso se pueden encontrar aquí. El material está disponible en griego.

DPA se ocupó del caso del propietario de un vehículo privado al que no se le dio acceso a las imágenes de vigilancia captadas por las cámaras A.E. de la Autoridad Portuaria de Heraklion. Como resultado, la DPA griega multó a la empresa con 30.000 euros por violar los artículos 12(1), 12(2) y 15 del RGPD.

A continuación se ofrece una descripción más detallada del caso. En el territorio de la Autoridad Portuaria de Heraklion A.E., el interesado estuvo involucrado en un accidente de tráfico con otra persona. Un sistema de videovigilancia operado por la organización registró el accidente. Como resultado, el interesado presentó una solicitud solicitando las imágenes de vigilancia por correo electrónico. Sin embargo, la empresa se negó a facilitar el material, afirmando que lo haría por petición expresa de la fiscalía. El interesado reiteró la solicitud, señalando que las imágenes del seguimiento son necesarias para demostrar la culpabilidad del otro implicado en el accidente automovilístico. Sin embargo, no recibió respuesta.

El interesado acudió a la HDPA por una violación del derecho de acceso a los datos. La HPA razonó que no había publicado el material porque el interesado realizó la solicitud 37 días después del incidente. La organización citó una directiva según la cual los datos no pueden publicarse después de 15 días. Además, la HPA afirmó que los datos habían sido eliminados.

La investigación encontró que HPA no eliminó los datos y no tenía derecho a negar el acceso al material. HDPA subrayó que el plazo de 15 días previsto en la directiva invocada por la empresa se había ampliado a 30 días. Como consecuencia, la DPA griega multó a la organización por violar el artículo 15 del RGPD. Además, la empresa griega violó el artículo 12, apartados 1 y 2, del RGPD al ni siquiera responder negativamente a una solicitud de acceso a datos.

Resumiendo todas las violaciones, la HDPA impuso a la empresa una multa de 30.000 euros.

Vaya aquí para encontrar información detallada en griego.

El presente caso se refiere a una violación del art. 15 seg. 3 del Reglamento General de Protección de Datos. La Autoridad de Protección de Datos de Croacia impuso una multa de 940.000,00 HRK (124.245 EUR) a una de las gasolineras de la empresa energética (cuyo nombre no se conoce actualmente).

Veamos los detalles de este caso. El interesado utilizó los servicios de una gasolinera en una de las sucursales de la empresa. El cliente no quedó satisfecho con la medida del combustible que se estaba llenando. De conformidad con la legislación de protección al consumidor, el interesado presentó una reclamación. Posteriormente, el interesado solicitó copia del material grabado por las cámaras de vigilancia, precisando la fecha y hora exacta de su estancia en la estación. Lamentablemente, la empresa no aceptó esta solicitud, alegando los siguientes motivos:

• Falta de solicitud por escrito de las autoridades competentes para obtener una copia de la grabación.
• Propósito injustificado
• La obtención de una copia vulneraría negativamente los derechos de los empleados y clientes de la estación de servicio que se encontraban en ese momento en la estación.

Después de que el cliente recibió una opinión general de la DPA, la empresa dijo que no podía publicar las imágenes de vigilancia porque fueron eliminadas después de siete días. La DPA consideró esta conducta una violación del artículo 15 del RODO. Además, se estableció que la empresa, al no brindar acceso a la grabación del seguimiento, evitó indirectamente los daños materiales que podría haber sufrido como consecuencia de un conflicto de consumo con el interesado. La empresa también se deshizo de la grabación, que habría servido como prueba en el caso. En estas circunstancias, el 8 de marzo, la DPA croata emitió una decisión multando a la compañía energética con una suma de 940.000,00 HRK por violar el derecho del interesado a acceder a la grabación.

Puede encontrar más detalles sobre este caso aquí. El material está disponible en croata.

En marzo de 2022, el supermercado rumano Kaufland Rumania SCS recibió una multa de 2.000 euros. La autoridad rumana de protección de datos determinó que la empresa infringía el artículo 15 del RGPD.

Aunque se trata de un caso de multa menor, cabe señalar que Kaufland Rumania SCS fue multada al menos tres veces solo en 2022.

Examinemos los detalles de este caso particular. A raíz de una denuncia presentada por el interesado, la autoridad de protección de datos inició el procedimiento. El administrador no cumplió con la solicitud del interesado de proporcionarle acceso a las grabaciones de seguimiento. Si bien las grabaciones estuvieron disponibles en la fecha solicitada, el administrador no envió copia completa de los materiales registrados por la cámara. No proporcionar datos al interesado es una violación del artículo 15 del RGPD. Por lo tanto, la DPA rumana impuso al supermercado una multa de 2.000 euros. Además, se han tomado medidas correctivas contra el administrador. El supermercado rumano debe proporcionar al interesado todas las imágenes solicitadas, si hubiera alguna disponible. Eso sí, para que el material compartido no repercuta negativamente en los derechos de otras personas, el administrador deberá difuminar las imágenes que lleven a su identificación.

Aunque se trata de un caso de multa menor, cabe señalar que Kaufland Rumania SCS fue multada al menos tres veces solo en 2022.

En este enlace encontrará información completa sobre este caso en rumano.

Mediante decisión de 9 de diciembre de 2021, el ayuntamiento y el condado de Limerick fueron multados con 110.000 euros. La pena se impuso por la infracción de:

• Artículo 13, que se refiere a la información proporcionada al recopilar datos del interesado.
• El artículo 12, que trata del escrutinio de esta información.
• Artículo 15, que describe el derecho de acceso del interesado.

Aquí los detalles del caso. Tras una inspección del procesamiento de datos personales, la autoridad de protección de datos irlandesa concluyó que el condado de Limerick infringía una serie de leyes de protección de datos. La investigación reveló que el uso de la vigilancia era ilegal. Sólo 44 de las 401 cámaras CCV cumplían los requisitos de protección de datos. La DPA irlandesa descubrió que muchas de las cámaras instaladas se estaban utilizando para fines distintos a aquellos para los que estaban destinadas. Además, algunos estaban equipados con reconocimiento automático de matrículas sin la debida autorización.

Además, el Ayuntamiento no publicó información en su sitio web sobre las cámaras CCTV utilizadas para la gestión del tráfico. Por tanto, violó el artículo 13 del RGPD. El Ayuntamiento no proporcionó esta información de manera transparente y fácilmente accesible, lo que constituye una violación del artículo 12. Además, el Consejo del Condado violó el artículo 15 al denegar solicitudes de acceso en relación con el procesamiento de datos en el Centro de Gestión del Tráfico. Basándose en estas infracciones, la DPA irlandesa impuso una multa de 110.000 euros al consejo del condado. El comisionado también ordenó apagar estas cámaras por hasta 120 días. En particular, cámaras que leen las matrículas de los vehículos que pasan por la ciudad.

Aquí está la decisión emitida por la DPA irlandesa.

DPA helénica emitió una decisión el 3 de septiembre de 2021, por la que el Transporte Municipal La empresa RODA fue multada con 8.000 euros. El administrador ha violado los siguientes artículos del RGPD:

• El artículo 5, apartado 1, letra c), relativo a los datos personales, que deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan.
• Arte. 12 (3) RGPD art. 12 (3) del RGPD, que establece que el administrador deberá, sin demora indebida, proporcionar al interesado información sobre las acciones tomadas en relación con la solicitud.
• Artículo 15 sobre el derecho de acceso del interesado.

Antiguos empleados de la empresa municipal de transportes RODA presentaron una denuncia contra el responsable del tratamiento. Estas personas estaban en una disputa legal. El caso se refería a una presunta malversación de fondos, de la que el administrador acusó a un ex empleado. En consecuencia, el interesado solicitó copia de las grabaciones registradas por el sistema de vigilancia del autobús el día en que supuestamente se produjo el incidente. Las grabaciones de vigilancia debían utilizarse como prueba para la defensa en procesos penales. Lamentablemente, el administrador de la empresa municipal de transporte no respondió a la solicitud del exempleado, violando los artículos 12 y 15 del RGPD. La Autoridad de Protección de Datos griega ha multado al responsable del tratamiento con 5.000 euros. Además, el administrador entregó un certificado al ex empleado en el que decía:

• el tipo y período de empleo
• el motivo del despido, que supuestamente fue un delito.

La autoridad griega consideró que esto era una violación del art. 5 del RGPD y se le impuso una multa de 3.000 euros.

Aquí está la decisión emitida por la autoridad helénica de protección de datos.

En enero de 2021, la autoridad rumana de protección de datos decidió sancionar al operador de Kaufland Rumania SCS por violar el artículo 15 del RGPD. Debido a que el administrador violó el derecho de acceso a los datos, la autoridad le impuso una multa de 14.846,4 lei (equivalente a 3.000 euros).

Se entregó una denuncia al delegado de protección de datos en la que el interesado afirmaba que el administrador de Kaufland Rumania SCS no le proporcionó una copia completa de la grabación de vigilancia. Según la ley, el responsable del tratamiento está obligado a poner las grabaciones de seguimiento a disposición del interesado. El administrador también está obligado a utilizar una serie de medidas técnicas y organizativas para no vulnerar los derechos de otras personas físicas. Por tanto, se deben difuminar los rostros de todas las personas que aparecen en la grabación. Lo mismo se aplica a las matrículas. Dado que el administrador de Kaufland Rumania SCS no puso la grabación completa a disposición del interesado, éste fue multado. Por violación de lo dispuesto en el art. 15 seg. segundo. El 3 de enero, la DPA rumana (ANSPDCP) impuso una multa de 3.000 euros.

Puede encontrar el material original sobre este caso aquí.

El 23 de octubre de 2020, la Autoridad Nacional Húngara para la Protección de Datos y la Libertad de Información decidió sancionar a una zapatería por violar las disposiciones relacionadas con el RGPD. La tienda fue multada con 20.000.000 FT (54.800 EUR) por infringir los siguientes artículos: art. 12 RGPD, art. 15 RGPD, art. 18 (1) c) del RGPD, y art. 25 RGPD.

El 26 de mayo de 2018 un cliente realizó una compra en la tienda del administrador y no recibió cambio. El interesado solicitó a la empresa que le proporcionara una copia de la grabación de videovigilancia. Justificaron su petición queriendo demostrar que no había recibido cambio tras el pago. En la solicitud, el interesado, refiriéndose a la exclusión del art. 18 seg. 1 encendido. c GDPR pidió al administrador que no eliminara la grabación en cuestión. Sin embargo, la empresa no cumplió con el pedido. El administrador se negó a facilitar las grabaciones, justificando que las imágenes de la cámara podrían estar disponibles a petición de la policía. Esta acción violó el art. 15 del RGPD, y la tienda violó además el RGPD al retirar el vídeo del seguimiento a pesar de la solicitud explícita del interesado.

La autoridad húngara de protección de datos también concluyó que la tienda no tomó medidas organizativas adecuadas para garantizar el derecho de acceso de los interesados, violando el art. 25 RGPD. Además, la autoridad también afirmó que la tienda violó el art. 12 del RGPD al no proporcionar información sobre la negativa a proporcionar la grabación y al no explicar por qué la grabación no se almacenó más allá del período de almacenamiento normal.

Basándose en estas violaciones, la autoridad húngara de protección de datos impuso a la zapatería una multa de 54.800 euros.

Para obtener más información sobre este caso, consulte el material vinculado.

La asociación de viviendas pagó una multa de 900 euros por incumplimiento de la protección de datos personales. La violación se refería al art. 5 RGPD. Aquí los detalles del caso.

La DPA recibió un documento que indicaba una posible violación de las disposiciones de protección de datos personales debido a la instalación de un sistema de videovigilancia. La investigación encontró que había 57 cámaras en el edificio, incluida una desactivada en el gimnasio. Sin embargo, algunas cámaras cubrieron espacios públicos. La autoridad española consideró que esto era una violación del art. 5 del RGPD, es decir, los principios de minimización de datos.

Teniendo en cuenta todas las circunstancias, la autoridad impuso una multa de 900 euros a la asociación de viviendas. Cabe mencionar que las autoridades inicialmente impusieron una multa de 1.500 euros. Sin embargo, fue modificado por pago voluntario y reconocimiento de responsabilidad.

El material original en español está disponible en este enlace.

Con la decisión tomada el 10 de noviembre de 2022, la DPA española sancionó a un particular que violó el artículo 5 del RGPD. El individuo fue multado con un total de 300 euros.

Durante la patrulla, la guardia civil advirtió una cámara en la ventana de un particular que interfería en el espacio público. El individuo afirmó que la cámara funcionaba como un videoportero para controlar el estacionamiento de su vehículo. Sin embargo, la DPA consideró que esto era una violación del art. 5 (1) c) RGPD. Establece que los datos personales serán adecuados, relevantes y limitados a lo necesario en relación con los fines para los cuales se procesan (“minimización de datos”). Al instalar una cámara, es importante proporcionar información sobre los fines previstos y el responsable del procesamiento de los datos personales capturados. Es más, las personas deberían apuntar con cámaras a espacios privados.

Como consecuencia, la DPA española impuso al particular una multa de 300 euros. Además, la DPA ordenó al particular retirar la cámara dentro de los 15 días hábiles siguientes a la recepción del acto administrativo.

Información detallada en español la podéis encontrar en este enlace.

El siguiente asunto se refiere a la empresa española Lorent 2013 SL. El responsable del tratamiento fue multado con 600 euros por la Agencia Española de Protección de Datos por violar la ley del RGPD. Lorent 2013 SL infringió el artículo 5 del RGPD, que se refiere, entre otros, al principio de minimización de datos.

El Ayuntamiento de Murcia envió un escrito indicando que el responsable del tratamiento disponía de vídeo seguimiento sin facilitar la información adecuada. Además, las cámaras CCV se dirigen a un espacio público sin un permiso administrativo previo para tal actuación.

Según la ley, la videovigilancia debe estar dirigida a espacios privados. Está prohibido cubrir espacios públicos sin motivo justificado. Además, es obligatorio que la vigilancia CCTV cuente con un cartel informativo visible donde se muestren los objetivos y el responsable del tratamiento de los datos personales involucrados.

Del procedimiento se desprende que Lorent 2013 SL infringió el artículo 5 (1) c) en materia de minimización de datos. Por ello, la DPA española impuso una sanción a la empresa de 600 euros. Además, el responsable del tratamiento se vio obligado a colocar un cartel informativo indicando que se trataba de una zona de videovigilancia. Además, la desactivación de la cámara cubrió el espacio público.

Para obtener más información, consulte este enlace. Esta es una decisión original emitida por la DPA española.

El 29 de noviembre de 2022, por decisión de la APD española, un particular fue multado con 500 EUR. Este caso se refiere a una infracción del artículo 5 del RGPD.

El 1 de abril de 2022 la Agencia Española de Protección de Datos recibió una solicitud de la guardia civil. La denuncia iba dirigida contra un particular. El escrito indicaba que el individuo había instalado un sistema de videovigilancia cuyas cámaras cubrían el espacio público. Además, el particular no disponía de autorización administrativa alguna. Además, el responsable del tratamiento publicó el vídeo grabado en la red social Facebook. Un controlador justificó que instalaron las cámaras, entre otros, por la situación de maltrato animal.

Según las disposiciones legales, los particulares tienen prohibida la instalación de sistemas de videovigilancia destinados a obtener imágenes de zonas públicas, salvo en los casos permitidos por la ley. Del proceso se demostró que el responsable del tratamiento adquiere imágenes del espacio público, procesa datos de terceros y los difunde en redes sociales.

La DPA española consideró esto una violación del principio de minimización de datos (Art. 5 (1)c)). Por tanto, impuso al particular una multa de 500 euros.

Se puede encontrar más información en esta decisión original de la DPA española.

El 18 de diciembre de 2018, la NAIH impuso una multa de 3.200 EUR a un responsable del tratamiento. Esta sanción se ha dictado por infracciones de:

• Artículo 12 (4) GDPR al no notificar al individuo sobre su capacidad para presentar una queja ante el órgano rector.
• El artículo 13 del RGPD al no facilitar al interesado toda la información en el momento de obtener datos personales.
• El artículo 15 del RGPD al no poner las grabaciones de seguimiento a disposición del interesado.
• Artículo 18, apartado 1, letra c) al no almacenar las grabaciones para su uso posterior por el interesado.

La Autoridad Húngara de Protección de Datos (NAIH) ha recibido una solicitud de que el responsable del tratamiento no ha cumplido con las solicitudes de ejercicio de los derechos del interesado. El individuo se dirigió personalmente al interventor para obtener acceso a la grabación de audio de la junta general. Además, el interesado ha solicitado no borrar las grabaciones de las cámaras. Indicaron que el controlador tuvo que bloquear las grabaciones y proporcionar copias de las mismas para el proceso judicial y el proceso sobre la situación jurídica de los valores. Sin embargo, el responsable del tratamiento no cumplió con ninguna de las solicitudes. En relación con lo anterior, el interesado presentó una denuncia ante la NAIH. La investigación demostró que el responsable del tratamiento violó los derechos del RGPD. Por lo tanto, se le impuso una multa total de 1.000.000 FT, lo que equivale a 3.200 euros.

Los detalles de este caso se pueden encontrar en esa decisión.

El 21 de mayo de 2019, la Autoridad Húngara de Protección de Datos y Libertad de Información emitió una decisión imponiendo una multa de 2000 EUR a un banco local. El responsable del tratamiento ha violado los siguientes artículos del RGPD: art. 12 (3), (4), (5) del RGPD, art. 15 RGPD y art. 18 RGPD.

El interesado era cliente de un banco local. Pidieron permiso para ver grabaciones de llamadas telefónicas y material de vigilancia. El controlador proporcionó copias de las grabaciones de las llamadas telefónicas y la oportunidad de revisar las grabaciones de CCTV en el sitio. Aunque el banco permitió el acceso a las grabaciones in situ, se negó a proporcionar una copia del material. El responsable del tratamiento justificó su negativa por el hecho de que la grabación contiene datos personales de terceros. Cabe mencionar que esto no es legal, ya que se pueden borrar los datos de otras personas. En consecuencia, la NAIH consideró que se trataba de una violación del art. 15 RGPD. Además, el banco también violó el art. 12 por no responder en plazo, así como el art. 18 al vulnerar el derecho a limitar el tratamiento de datos.

Teniendo en cuenta todas estas infracciones, la NAIH multó al banco con 2.000 euros.

Los detalles de este caso están disponibles en este enlace.

La Autoridad Nacional Húngara para la Protección de Datos y la Libertad de Información (NAIH) emitió una decisión concediendo una multa de 5.800 euros. El administrador ha violado el art. 6 y art. 15 RGPD.

El personal de seguridad del bar agredió al interesado causándole daños leves a su salud. El hecho fue captado por las cámaras instaladas en el edificio. En consecuencia, el interesado solicitó conservar las grabaciones hasta que la policía tomara nuevas medidas. También pidieron acceso al vídeo de vigilancia. Sin embargo, no recibieron ninguna respuesta. Además, el interesado afirmó que las cámaras vigilaban ilegalmente lugares públicos. Durante la investigación, el administrador descubrió que las grabaciones habían sido bloqueadas. La verdad es que no avisó a nadie sobre esto. Como el administrador no recibió ninguna solicitud de la policía ni del interesado para continuar con el procedimiento, eliminó las grabaciones previamente bloqueadas. El administrador eliminó las grabaciones después de treinta días, de acuerdo con la normativa vigente en ese momento. Informó al interesado sobre este hecho.

El administrador también justificó que las cámaras monitorean la entrada al edificio, y las partes del espacio público no son completamente visibles.

En la investigación, la NAIH consideró como circunstancia atenuante que, durante el período en cuestión, todavía existían normas que no se ajustaban al Reglamento General de Protección de Datos y que el administrador nunca había sido sancionado por incumplimiento del RGPD antes. .

Finalmente, la NAIH impuso una multa de 5.800 euros por violar:

• Arte. 15 del RGPD: El administrador no puso las grabaciones a disposición del interesado.
• Arte. 6 del RGPD: El administrador no ha podido demostrar que el tratamiento de datos sea lícito.

Más información sobre este asunto la puedes encontrar aquí.

Por decisión de la APD española (AEPD) de 3 de diciembre de 2022, una comunidad de propietarios fue multada con 300 euros por vulnerar derechos relacionados con el RGPD. El responsable del tratamiento violó el artículo 5 (1) c) del RGPD en relación con la minimización de datos.

En mayo de 2022, la Dirección General de Inspección de Datos (SGID) recibió una carta. El interesado ha manifestado que el presidente de esta comunidad ha instalado una cámara de videovigilancia en las zonas comunes del edificio donde vive. El particular agregó además que el seguimiento no está debidamente señalizado.

La investigación demostró que la vigilancia por CCTV cubre un área pública. Además, aunque se colocó un cartel informativo sobre el seguimiento, no incluía información sobre el responsable del tratamiento y la forma de ejercer los derechos según el RGPD aplicable. La autoridad española de protección de datos consideró que esto era una violación del principio de minimización de datos. Como resultado, teniendo en cuenta todas las circunstancias, impuso una multa de 300 euros. Además, el responsable del tratamiento se vio obligado a modificar el cartel informativo y a aportar pruebas a la DPA al respecto.

Se puede encontrar más información en la decisión original. El enlace está aquí.