La reciente sanción de 20.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a un supermercado ha reavivado un tema crítico para muchas empresas: el correcto acceso y tratamiento de las imágenes captadas por las cámaras de videovigilancia.
¿Qué ocurrió?
El supermercado permitió que un cliente visionara imágenes grabadas por las cámaras, en las que aparecían otras personas, sin asegurarse de que existiera una base legal para dicho acceso ni aplicar medidas de anonimización. Es decir, no hubo control, ni procedimiento, ni documentación. Y eso, en protección de datos, se paga.
🎯 Lección clave: las imágenes son datos personales
No hay lugar para interpretaciones: las imágenes que permiten identificar a personas físicas son datos personales y, por tanto, están protegidas por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD).
- Mostrar grabaciones sin base jurídica, sin anonimización, o sin registro de acceso es una infracción grave que puede suponer sanciones económicas importantes, además de daños reputacionales.
🛡️ ¿Cómo evitar este tipo de errores?
Para cumplir con la normativa y proteger a tu organización, es fundamental establecer y documentar medidas de seguridad internas en la gestión de las imágenes. Aquí van algunos consejos prácticos:
✅ Establece un protocolo interno de acceso
Define quién está autorizado para acceder a las grabaciones.
Limita el acceso solo a los casos estrictamente necesarios (por ejemplo, incidentes de seguridad, robos o requerimientos judiciales).
Asegúrate de que todo acceso quede registrado (fecha, persona, motivo).
✅ Valida cada solicitud
Si un tercero solicita imágenes (por ejemplo, un cliente), verifica su identidad y la legitimación de su solicitud.
No entregues ni muestres grabaciones sin analizar si es procedente. En la mayoría de los casos, será necesario anonimizar a otras personas que aparezcan en las imágenes.
✅ Forma al personal
Cualquier empleado que gestione o acceda a imágenes debe conocer sus responsabilidades y saber cómo actuar ante una petición de acceso.
Ofrece formación básica en protección de datos al personal con acceso a los sistemas de videovigilancia.
✅ Revísalo con tu DPO o asesor
Un Delegado de Protección de Datos (DPO) puede ayudarte a diseñar un protocolo de actuación específico y adaptado a tu sector.
También puede evaluar si los sistemas que utilizas (grabación, conservación, acceso remoto, etc.) cumplen con el principio de seguridad desde el diseño.
💡 ¿Tienes cámaras en tu local, oficina o almacén?
Si cuentas con un sistema de videovigilancia y no estás seguro de si tu empresa cumple con todos los requisitos legales, es el momento de actuar antes de que llegue una inspección o una reclamación.
Este caso revela un aspecto muchas veces ignorado: la facilidad con la que las buenas intenciones pueden convertirse en vulneraciones graves cuando no se comprende el alcance de la normativa de protección de datos. Desde una perspectiva psicológica, también invita a reflexionar sobre cómo la percepción de seguridad y justicia —en este caso, la intención de mostrar unas imágenes a un cliente— puede nublar el juicio ético y legal de los empleados.
¿Estamos formando adecuadamente al personal no solo en los protocolos técnicos, sino también en la conciencia de que detrás de cada imagen hay personas con derechos que deben ser respetados?
Gracias por tu comentario, aporta una reflexión muy acertada.
Es cierto que muchas vulneraciones no provienen de la mala fe, sino de la falta de formación y de conciencia sobre los derechos que protegen los datos personales. En este caso, la intención de ayudar al cliente llevó a un uso indebido de imágenes de videovigilancia, sin considerar las implicaciones legales y éticas.
Como bien apuntas, no basta con conocer los protocolos: es fundamental fomentar una cultura de protección de datos que haga comprender que detrás de cada imagen hay personas. La formación debe ir más allá de lo técnico y ayudar a tomar decisiones responsables también en lo humano.