Sanción de 150.000 euros
La Agencia Española de Protección de datos ha sancionado a Eroski con 150.000 euros por incumplimiento de la LO 15/1999 de protección de datos de carácter personal (LOPD) y el RD 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LO 15/1999 (RLOPD)
El abril de 2018 se filtra por varios medios de comunicación un vídeo en el que se puede ver a Cristina Cifuentes tras hurtar, supuestamente, unas cremas en un supermercado Eroski. En el mismo momento de la publicación la Agencia Española de protección de datos inició de oficio el procedimiento sancionador cuyo resultado es una multa de 150.000 euros a Eroski.
¿Y por qué se le sanciona?
Las infracciones que sanciona la Agencia son las siguientes:
Vulneración del Art. 9 LOPD, por no establecer medidas de seguridad, de manera más concreta las siguientes:
- No haber elaborado un documento de seguridad en el que se recojan las medidas aplicadas a las imágenes captadas por las cámaras de videovigilancia.
- No tener establecidas funciones y obligaciones de cada uno de los usuarios con acceso a las imágenes.
- No establecer medidas adecuadas para el acceso, tanto a las oficinas en las que se custodian las imágenes, a la que todo el mundo podría acceder cómo en el acceso a los equipos que, si bien disponían de usuarios y contraseñas, éstas estaban anotadas en un papel de manera visible.
Por este incumplimiento la sanción asciende a 100.000€, ya que se ha tenido en cuenta:
- Volumen del tratamiento de los datos: todas las personas que acceden al supermercado.
- Volumen de negocio medio-alto
- Varios elementos que se suman a la falta de medidas de seguridad; falta de documento de seguridad, asignación de claves incorrecta y falta de conocimiento de funciones y obligaciones específicas.
Vulneración Art 4.1 LOPD, calidad de los datos, se vulnera por tener fotografías de personas sospechosas de hurto desde 2005. Estas imágenes deberían ser eliminadas en el plazo máximo de un mes, salvo que sea necesaria su conservación para acreditar la comisión de actos que atenten contra la integridad de personas, bienes e instalaciones.
Multado con 50.000€ por la acción deliberada de recopilación de datos de fotografías con el fin de ser expuestas para su visionado habitual.
¿Y qué pasaría si se hubieran publicado los vídeos un mes después?
Desde el 25 de mayo de 2018, entró en vigor el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD).
El RGPD no dispone de medidas específicas de seguridad, pero establece que el Responsable de tratamiento (Eroski) aplicará las medidas técnicas y organizativas apropiadas para garantizar que el tratamiento es conforme con el reglamento, por lo que será necesario realizar un análisis de riesgo previo para decidir qué medidas de seguridad son las idóneas para evitar sucesos como los de la sentencia.
En LEGITEC asesoramos a nuestros clientes para que implanten procedimientos para evitar o atenuar posibles sanciones de este tipo. Es fundamental estar bien asesorado en esta materia para no incurrir en incidentes irreparables.