La AEPD analizó una reclamación presentada frente a una entidad bancaria en relación con el sistema de videovigilancia utilizado en sus instalaciones. La denuncia ponía de manifiesto posibles irregularidades en el procesamiento y custodia de las imágenes captadas por las cámaras, en particular en lo relativo a los accesos a las grabaciones y su gestión interna.
En concreto, la entidad bancaria disponía de una Central Receptora de Alarmas (CRA) integrada por once operarios pertenecientes a una empresa del grupo que, además de prestar el servicio de CRA, realizaba funciones de seguridad privada sin estar inscrita en el Registro de empresas de seguridad de la Dirección General de la Policía, requisito necesario para el desempeño de dichas funciones.
Asimismo, los operarios podían acceder a los sistemas desde cualquier puesto sin restricciones ni limitaciones, mediante un usuario compartido, lo que les permitía consultar información especialmente sensible sin un control individualizado.
La AEPD concluye que la entidad bancaria vulneró el artículo 32 del Reglamento General de Protección de Datos (“RGPD”), al no implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento. En particular, la Agencia identifica deficiencias relevantes en el control de accesos a las grabaciones, al constatar que todos los usuarios accedían a las imágenes mediante un único usuario genérico, lo que impedía garantizar la identificación individual de accesos y comprometía la trazabilidad del sistema. Asimismo, la Agencia detecta una ausencia de controles efectivos que aseguraran que el acceso a las imágenes se realizara de forma verificable. En particular, la limitada conservación de los registros de acceso (90 días) y la inexistencia de controles lógicos adecuados impedían auditar a posteriori accesos indebidos o no justificados.
La AEPD recuerda que la videovigilancia, aun siendo una medida legítima para fines de seguridad, implica un tratamiento sistemático de datos personales que requiere la implantación de medidas reforzadas, especialmente en sectores sensibles como el financiero.
En este caso, la investigación pone de manifiesto que, aunque existía una evaluación de impacto que contemplaba medidas específicas de control de accesos, dichas medidas no fueron efectivamente implementadas. Además, el contrato de encargo de tratamiento recogía determinadas garantías que no se trasladaron a la configuración real del sistema.
La Agencia subraya, asimismo, que el principio de responsabilidad proactiva obliga al responsable del tratamiento a supervisar y verificar el cumplimiento efectivo de las medidas de seguridad, incluso cuando el tratamiento se delega en un tercero. Delegar la ejecución no exime de la obligación de control.
Por todo ello, la AEPD impuso a la entidad bancaria una sanción de 500.000 euros por la infracción del artículo 32 del RGPD, al considerar que no se garantizó un nivel de seguridad adecuado en el tratamiento de las imágenes de videovigilancia. Para la determinación del importe, la Agencia tuvo en cuenta, entre otros factores, el elevado número de potenciales afectados, la prolongada duración de la infracción, así como el nivel de diligencia exigible a una entidad del sector financiero, toda vez que “la entidad sancionada es una entidad financiera con gran implantación que dispone de multitud de sistemas de videovigilancia 8.885 cámaras conectadas al sistema”.
No obstante, la entidad se acogió a las reducciones previstas por pago voluntario, abonando finalmente la cantidad de 400.000 euros.