La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.800 euros a la propietaria de un restaurante por compartir en un grupo de WhatsApp de hosteleros locales la imagen de unos inspectores que realizaron una visita a su local. A raíz de esta filtración, las autoridades constataron que el establecimiento grababa de forma desproporcionada zonas de ocio como las mesas de los comensales y la terraza, carecía de la señalización obligatoria adecuada en el interior y exterior del negocio, y no acreditó haber informado correctamente a sus empleados sobre el tratamiento de sus imágenes.
El procedimiento se inició a raíz de tres reclamaciones idénticas interpuestas el 26 de julio de 2024 por tres inspectores contra la dueña del restaurante. En todas se denunciaba que, durante una visita de inspección en abril de 2024, el sistema de videovigilancia del local captó imágenes de los inspectores, reconociendo la propia propietaria haber enviado una de estas capturas a un grupo de WhatsApp integrado por hosteleros del municipio.
En inspecciones posteriores, se constató que el restaurante contaba con 8 cámaras activas (interiores y exteriores), cuyas imágenes en directo podían ser vistas por el encargado y la dueña desde sus teléfonos móviles. Además, se comprobó la inexistencia de carteles informativos adecuados sobre las cámaras en el interior y exterior del local, y que, según declararon los empleados, solo habían recibido advertencias verbales y genéricas.
Todas las infracciones en materia de protección de datos
La AEPD concluyó que la titular del restaurante cometió tres infracciones muy graves del Reglamento General de Protección de Datos (RGPD). La primera fue la vulneración del Principio de Minimización de Datos (artículo 5.1.c), ya que la instalación de las cámaras resultó desproporcionada.
Se verificó que algunas cámaras enfocaban directamente a las mesas de los comensales en el interior, a la barra y a la terraza exterior. Al respecto, la agencia señaló que estos son espacios de ocio y esparcimiento donde los clientes pasan un largo rato, por lo que la captación permanente de imágenes en esas zonas no es una medida adecuada, pertinente ni limitada para los fines de seguridad o control laboral.
También existió una vulneración del Principio de Integridad y Confidencialidad (artículo 5.1.f del RGPD). La propietaria carecía de las medidas técnicas y organizativas necesarias para proteger los datos captados y la difusión no autorizada de la imagen de los inspectores a través de WhatsApp evidenció una clara pérdida de confidencialidad de los datos personales.
En último lugar, hubo un incumplimiento del deber de Información (artículo 13 del RGPD y artículo 22 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales). La agencia determinó que se vulneró el principio de transparencia al no contar con los preceptivos carteles amarillos de “zona videovigilada” en el interior y exhibir un cartel deficiente en el exterior (que solo avisaba de una alarma). Igualmente, la responsable no informó de manera expresa, clara y por escrito a sus trabajadores sobre el tratamiento de las imágenes y sus derechos antes de recabarlas.
Por estas irregularidades, la AEPD propuso una multa administrativa de 1.000 euros por cada una de las tres infracciones, sumando un total inicial de 3.000 euros. Tras reconocer su responsabilidad y acogerse al pago voluntario, se le aplicó una reducción del 20% por reconocimiento de responsabilidad y otro 20% por pago voluntario. Así pues, la cuantía definitiva de sanción se quedaba en 1.800 euros.
Medidas correctivas
La agencia también obligó a la titular a corregir las deficiencias para ajustar su negocio a la legalidad. Así, le concedió un plazo de 3 meses para acreditar que ha retirado o reorientado las cámaras que captaban un espacio desproporcionado (especialmente las enfocadas a las mesas y la barra); que ha adoptado medidas de seguridad técnicas y organizativas para evitar futuras fugas de información o pérdidas de confidencialidad de las imágenes; y que ha adecuado los carteles de zona videovigilada, para que informen correctamente de la existencia del tratamiento, la identidad del responsable y cómo ejercer los derechos de privacidad.
