La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.000 euros -600 por reconocer los hechos y realizar el pago voluntario- al Hotel Villa Soro situado en San Sebastián, Guipúzcoa, por tener dos cámaras de videovigilancia que enfocaban a la calle sin señalar.
Según la reclamación a la que ha tenido acceso Confilegal, una ciudadana manifestó que el hotel tenía instaladas dos cámaras junto a una valla metálica que, por su ubicación y orientación, eran susceptibles de captar imágenes de la vía pública.
Asimismo, la persona que interpuso la reclamación manifestó que no existía ningún tipo de señalización de videovigilancia y que sólo había un cartel pegado en la puerta del establecimiento, pero no en los aledaños.
La AEPD trasladó la reclamación al hotel para que diese explicaciones de los hechos y, semanas después, recibieron un escruto de respuesta en el que facilitaban información del sistema de videovigilancia.
Según explicó el hotel, el sistema estaba compuesto por 18 cámaras interiores que se encontraban activas, las cuales están identificadas, pero con una información desfasada porque la norma que menciona, la LO 15/99 está derogada y no incluye la información exigida por el Reglamento General de Protección de Datos (RGPD).
También explicaron que tenían en el exterior instaladas tres pero que eran falsas y, por tanto, no estaban señalizadas.
Qué dice la ley
Partiendo de esta base, la AEPD ha explicado en la reclamación que la imagen física de una persona, a tenor del artículo 4.1 del RGPD, es un dato personal y su protección, por tanto, es objeto de dicho Reglamento. Y, en este caso, las imágenes generadas por un sistema de cámaras son datos personales.
En cuanto al tratamiento con fines de videovigilancia, el artículo 22 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establece que las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
Y el artículo 12.1 del RGPD indica que quien lleve a cabo un tratamiento de datos personales, como es la captación de imágenes mediante un sistema de videovigilancia, deberá suministrar a los interesados la información necesaria.
«Información por capas»
Con la finalidad de que el deber de información previsto en el artículo 12 del RGPD se cumpla de manera concisa y comprensible para el afectado, el citado artículo 22 de la LOPDGDD prevé en relación con la videovigilancia un sistema de «información por capas».
La primera capa se refiere a la identidad del responsable y, la segunda, es que la información debe estar disponible en un lugar fácilmente accesible al afectado, ya sea una hoja informativa en una recepción o en un cajero colocada en un espacio público visible.
Este deber de información se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible, y como mínimo, en los accesos a las zonas vigiladas ya sean interiores o exteriores.
Y es que, salvo que exista autorización gubernativa, no se pueden colocar cámaras que enfoquen al exterior ni a otras zonas privadas.
Por ello, la AEPD finalmente le ha sancionado con 1.000 euros por infringir el artículo 13 del RGPD, pero como se han acogido a las dos reducciones, la multa ha quedado en 600 euros.
