Siguen imponiéndose sanciones por la Agencia Española de Protección de Datos («AEPD»). Después de un año desde la entrada en vigor del Reglamento General de Protección de Datos («RGPD»), los miles de procedimientos en curso empiezan a resolverse, por lo que será habitual que vayamos conociendo como muchas empresas incurren en infracciones de todo tipo.
El caso que presentamos hoy tiene relevancia, no tanto por la cuantía de la sanción, que sí que supone un gran perjuicio para la entidad sancionada, sino por la práctica constitutiva de infracción, que no es tan poco común como podríamos pensar.
HECHOS
Un restaurante de Barcelona suspende de empleo y sueldo a un trabajador durante 45 días. Al parecer, se argumenta que existe un incumplimiento de las obligaciones laborales por parte de este trabajador.
Para tomar esta decisión, el gerente habría analizado varias grabaciones que otro empleado consiguiera realizar con su teléfono móvil.
En un primer momento, el empleado suspendido reclama con base en que, aunque había cámaras instaladas en el local, su superior no le había hecho firmar nada, además de que se había avisado al personal de que la videovigilancia no estaba operativa. A partir de ahí, la AEPD y el restaurante se remiten diferentes escritos, en donde el restaurante trata de argumentar la legalidad de las cámaras, así como que en las fechas mencionadas dichas cámaras estaban montadas, pero no instaladas. También se adjunta el consentimiento de los trabajadores para el control laboral, aunque no aparece firmado ningún documento por parte del trabajador reclamante.
Finalmente, el restaurante admite que las grabaciones que utilizaron para suspender de empleo y sueldo a su empleado no provenían del sistema de videovigilancia, sino del teléfono móvil de otro empleado, el cual les había trasladado dichas imágenes (que posteriormente habrían sido visionadas para tomar la decisión).
INFRACCIÓN Y SANCIÓN
En la resolución de la AEPD se fundamenta como las imágenes utilizadas por la entidad hostelera constituyen un tratamiento de datos, toda vez que, con las grabaciones del teléfono móvil, se lleva a cabo un tratamiento de datos por un medio técnico análogo a un sistema de videovigilancia, utilizado con la finalidad de control laboral, y el cual no resulta proporcionado.
Por este motivo, y tras un análisis de la legislación vigente, la AEPD decide sancionar al restaurante objeto de la reclamación con una cantidad total de 12.000€ por incumplimiento del artículo 5.1.a) del RGPD, tipificado en el artículo 83.5 de la misma norma.
Al final se ingresaron 9.600 euros por el uso de la reducción prevista en la resolución por pago voluntario (20%).
******************************************
Artículo 5.1. RGPD: «Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); (…)»
Artículo 83.5 RGPD: «5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)«
PROCEDIMIENTO n.º: PS/00401/2018
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).