El vídeo de Cifuentes: cronología de dos infracciones de privacidad

Esta semana conocíamos que la Agencia Española de Protección de Datos (AEPD) ha impuesto a la cadena de supermercados Eroski una multa de 150.000€ por la difusión del video de Cristina Cifuentes tras la supuesta sustracción de unas cremas. Para comprender esta sanción, La cronología de los acontecimientos es importante: los hechos sucedieron en el año 2011 y la filtración del video a los medios se produjo en abril de 2018. Posteriormente, APED inicia las actuaciones de investigación el 25 de abril de 2018. Las fechas son relevantes tanto por la legislación aplicable, que es la antigua Ley Orgánica de Protección de Datos LO 15/1999 y el Reglamento que la desarrolla RD 1720/2007, como por el tiempo transcurrido entre la grabación del video y el momento en que las imágenes son publicadas (siete años después).

Eroski ya ha anunciado que recurrirá la sanción, ya que es cierto que, en este caso existen multitud de intervinientes, al existir varias empresas en el proceso de captación, monitorización y almacenamiento de las imágenes. Esto pone de manifiesto la importancia tener una correcta planificación del proceso de control de la cadena de tratamiento de datos.

La resolución de la AEPD impone una multa de 100.000€ por infracción del artículo 9 de la LOPD y otra de 50.000€ por infracción del 4.1 de la LOPD.

Respecto a la primera, el artículo 9 de la LOPD indica que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos[…].”

La Agencia considera que el Centro Comercial no ha adoptado las medidas de seguridad ni técnicas ni organizativas. Y aunque no queda claro quién pudo filtrar la información a los medios 7 años después, la normativa sobre cámaras de seguridad exige el borrado de las imágenes cada 30 días como máximo. Sólo se pueden mantener cuando se produzcan delitos, y únicamente podrán ser comunicadas a las fuerzas y cuerpos de seguridad del Estado. A lo largo de la investigación se declaró que no había constancia de que la Policía hubiera solicitado las imágenes.

La Agencia determina que en aquel momento el Centro no contaba con un documento de seguridad, ni con un control de acceso a las instalaciones de las cámaras; que, además, no existe ningún protocolo documentado, ni de los usuarios y perfiles de acceso así como ningún documento firmado en el que se recojan las responsabilidades y aceptación de funciones del personal. Además, se detectó la anotación en un documento en papel con las claves para el acceso.

Por todas estas razones, la AEPD considera que se vulnera el artículo 9 de la LOPD, respecto al RD1720/2007 que desarrolla la LOPD se consideran infringidos los artículo 88.1, 89, 91, 93 y 99 que son los correspondientes a las medidas técnicas necesarias. Así, respecto a esta falta de medidas, la AEPD impone una sanción de 100.000€.

Pero además, la AEPD detecta que existen recopiladas fotografías captadas por las cámaras que están expuestas en el puesto de control para su visionado habitual. Estas imágenes expuestas provienen o bien de otros centros o bien del propio centro y son utilizadas habitualmente para evitar que dichas personas accedan al centro.

Esta acción es considerada como una infracción del artículo 4.1 de la LOPD y sancionada con 50.000€, debido a que no hay habilitación alguna para su tratamiento.

Y es que según la AEPD los datos de personas relacionadas con investigación de hurtos pueden ser recogidos y tratados por las Fuerzas y Cuerpos de Seguridad del Estado cuando se cumplan ciertos requisitos, y entre otras, tienen atribuida dicha función, pasando a integrarse en ficheros policiales, no siendo posible su uso por parte de una entidad privada.

 Álvaro Ramos es director de Nuevas Tecnologías y Protección de Datos de ClarkeModet.