Microlab Hard S.L.

La Agencia Española de Protección de Datos (AEPD) ha decidido imponer una sanción de 5.000 euros a un restaurante por instalar cámaras enfocadas directamente al comedor, captando así la imagen de los comensales durante la comida. En su escrito, la AEPD ha determinado que incumple el principio de minimización de los datos, al resultar desproporcionado e innecesario para preservar la seguridad de las personas, bienes e instalaciones, finalidad última de la videovigilancia.

La denuncia de una trabajadora del establecimiento ha motivado un procedimiento sancionador que ha finalizado con la imposición de una cuantiosa multa contra el establecimiento. La AEPD fundamenta esta sanción en que “la zona de las mesas del comedor se trata de una ubicación en que los afectados por el tratamiento pueden permanecer largo tiempo, y en una situación en que puede verse afectado su derecho fundamental a la protección de datos de carácter personal, así como otros derechos y libertades, tales como su intimidad o el libre desarrollo de su personalidad, de manera especial, ya que suele acudirse a estos lugares en momentos de ocio.”

En este sentido y de acuerdo con el criterio de la AEPD, la captación de imágenes del comedor y las mesas no cumpliría con el principio de minimización de datos, que obliga al responsable a realizar un tratamiento de datos personales “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

A mayores y según afirmaba la denunciante, el restaurante carecía de los carteles informativos de videovigilancia necesarios para suministrar a los interesados la información indicada el Reglamento General de Protección de Datos.

Garantías de un sistema de videovigilancia

La implementación de sistemas de videovigilancia está sujeta a estrictas normativas para garantizar la protección de los datos personales. A continuación, se detallan las principales garantías que deben observarse al instalar y operar un sistema de videovigilancia en España:

1. Información y señalización

Es obligatorio informar a las personas sobre la existencia de cámaras de videovigilancia. Esto se logra mediante la colocación de carteles informativos en lugares visibles, especialmente en los accesos a las zonas vigiladas.

2. Limitación de la captación de imágenes

Las cámaras deben estar orientadas de manera que solo capturen imágenes de las áreas que se desean vigilar, evitando grabar espacios públicos o propiedades de terceros no relacionadas.

3. Plazo de conservación de las imágenes

Las grabaciones obtenidas mediante sistemas de videovigilancia no pueden conservarse por un período superior a un mes.

4. Seguridad y acceso a las imágenes

El acceso a las grabaciones debe estar restringido únicamente a personas autorizadas. Es esencial implementar medidas de seguridad, como el uso de contraseñas y la ubicación segura de los dispositivos de almacenamiento, para prevenir accesos no autorizados.

5. Prohibición de grabación de sonido

La grabación de audio junto con las imágenes se considera una medida excesiva y, por lo general está prohibida, ya que puede vulnerar gravemente la privacidad de las personas.

Si tu negocio utiliza o está considerando instalar sistemas de videovigilancia, es crucial asegurarse de que se cumplen todas las garantías establecidas por el RGPD y la AEPD. En Microlab, somos expertos en asesorar y ayudar a empresas como la tuya a implementar sistemas de videovigilancia que cumplan con la normativa, desde la correcta señalización hasta la limitación de la captación de imágenes y la definición de los plazos de conservación.

Contacta con nosotros hoy mismo para garantizar que tu sistema de videovigilancia es legal, seguro y protege tanto tus intereses como la privacidad de tus clientes y empleados. No permitas que una incorrecta implementación te exponga a sanciones; confía en nuestra experiencia para asegurar el cumplimiento normativo en materia de videovigilancia y protección de datos.

La denuncia de un interesado a la Agencia Española de Protección de Datos (AEPD) ha derivado en un procedimiento sancionador contra el club deportivo pamplonés por la implementación de un Sistema Biométrico de Reconocimiento Facial (SBRF) en el estadio El Sadar para el acceso de los abonados.

La persona denunciante argumentó que el sistema restringía libertades y derechos fundamentales, y que no era proporcional ni legítimo, ni siquiera con consentimiento explícito.

En base a estos hechos, la AEPD inició un procedimiento de investigación en diciembre de 2022, realizando múltiples requerimientos de información al Osasuna sobre el tratamiento de los datos biométricos. Según trasladó el club, el acceso por reconocimiento facial estaba dirigido únicamente a los abonados y era opcional y voluntario, coexistiendo con métodos tradicionales (carné físico o abono digital). A través de una aplicación móvil específica, el abonado podía autorizar el tratamiento de sus datos biométricos y facilitar una fotografía mediante la cual el sistema podía identificar a la persona de forma inequívoca mediante la aplicación de un algoritmo.

El Osasuna argumentó además que había realizado la evaluación de impacto exigida por la ley y el criterio de la AEPD para esta clase de tratamientos, basando la licitud del tratamiento en el consentimiento explícito del interesado prestado de forma libre. Además, el interesado disponía de la alternativa de utilizar los medios de acceso utilizados normalmente hasta ese momento, pudiendo oponerse al tratamiento de sus datos biométricos en cualquier momento.

También defendió el Osasuna que el sistema mejoraba la seguridad y ofrecía beneficios opcionales para los aficionados, pues los abonados podían acceder al estadio sin necesidad de portar documentación.

Análisis de la AEPD

Ha determinado la AEPD que el tratamiento de los datos biométricos realizado por el Osasuna estaría restringiendo el derecho fundamental de protección de datos de sus titulares, al ser “manifiestamente intrusivo para los derechos y libertades de los interesados”, al no superar el triple juicio de proporcionalidad:

Juicio de idoneidad

Este juicio determina si la medida es capaz de conseguir el objetivo propuesto: para superar este juicio, afirmó el club que la medida garantizaba el acceso al estadio en caso de suplantación, extravío o hurto de la documentación identificativa. Sin embargo, entiende la AEPD que los casos excepcionales no justificarían acudir a un medio tan desproporcionado.

Juicio de necesidad

Que no exista otra medida más moderada para la consecución del propósito con igual eficacia: el Osasuna basa esta necesidad en facilitar a los abonados un acceso más ágil y sencillo, aunque “el interesado puede decidir libremente y sin que ello le produzca ningún tipo de afección”.

A este respecto, señala la Agencia que la necesidad no puede depender de lo que decida el afectado, sino que se debe evaluar el alcance, la extensión y la intensidad de las interferencias en términos de impacto sobre los derechos fundamentales, explicando con pruebas por qué otras alternativas posibles no son suficientes para satisfacer esta necesidad de forma suficiente.

Juicio de proporcionalidad en sentido estricto

Este juicio determina si la medida es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios.

El principio de proporcionalidad determina que para alcanzar los objetivos previstos se deben acometer acciones que no excedan de lo necesario, introduciendo aquí el concepto de adecuación de la medida. En definitiva, para que se respete el principio de proporcionalidad, las ventajas resultantes de la medida no deben ser superadas por las desventajas que la medida provoca con respecto al ejercicio de derechos fundamentales.

A este respecto, el club de fútbol no ha podido demostrar que el sistema de accesos con reconocimiento facial suponga un plus claro y diferenciado en la seguridad frente al sistema tradicional, pues el estadio se encuentra videovigilado y los asientos son nominativos. Tampoco ha acreditado que sea elevado el número de aficionados que traten de entrar al estadio suplantado la identidad de un tercero, de forma que esto constituya un problema para el club.

Conclusión

Concluye la AEPD que el Osasuna no ha podido acreditar la superación del triple juicio de proporcionalidad, incumpliendo por ello el principio de minimización de los datos consagrado en el art. 5 del RGPD, por lo que propone una sanción de 200.000 euros.

Aunque el club deportivo había realizado la evaluación de impacto correspondiente, esta evaluación no justificaba correctamente la proporcionalidad de la medida, basando el tratamiento en el consentimiento del interesado y en la aplicación de altas medidas de seguridad que, aunque sean necesarias para minimizar los riesgos, no legitiman cualquier tratamiento de datos personales.

En el ámbito de la protección de datos y la adecuación a la normativa, contar con un aliado estratégico es fundamental. En Microlab, somos expertos en ayudar a organizaciones como la tuya a navegar por el complejo panorama de la protección de datos. Ofrecemos un análisis detallado de tus necesidades, evaluaciones de impacto personalizadas y la implementación de políticas y procedimientos que garantizan el cumplimiento normativo y la protección de los derechos de tus interesados.

Contacta con nosotros hoy mismo para asegurar que tu empresa opera de manera segura y conforme a la legislación vigente. Nuestro equipo de profesionales está listo para ofrecerte la experiencia y el conocimiento que necesitas para convertir la protección de datos en una ventaja competitiva para tu negocio.

Las condiciones de compra en una página web deben cumplir con la normativa vigente, principalmente la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y la normativa de consumo, incluyendo la Ley General para la Defensa de los Consumidores y Usuarios.

Sin embargo, en nuestros más de quince años de experiencia asesorando a empresas y profesionales hemos detectado un gran desconocimiento de los aspectos esenciales que deben regularse en este texto legal. Por esta razón, desde el departamento legal de Microlab hemos redactado el siguiente decálogo, que contiene los aspectos esenciales que deben regular unas condiciones de compra:

1. Identificación del vendedor

Debe incluirse la información sobre la empresa o profesional responsable de la venta, incluyendo:

• Nombre o razón social.
• CIF/NIF.
• Domicilio fiscal y de contacto.
• Correo electrónico y teléfono de atención al cliente.
• Datos de inscripción en el Registro Mercantil (si procede).

2. Características de los productos o servicios

Se deben describir claramente los bienes o servicios ofrecidos, incluyendo:

• Descripción detallada de las características principales.
• Precio total (incluyendo impuestos y tasas aplicables).
• Disponibilidad y plazos de entrega o ejecución del servicio.

3. Proceso de compra

Es importante especificar los pasos que debe seguir el usuario para realizar una compra, incluyendo:

• Registro en la web (si es necesario).
• Selección de productos y su adición al carrito.
• Confirmación del pedido y revisión de los términos.
• Pago y confirmación de la compra.
• Envío de confirmación al usuario.

4. Formas de pago

Deben indicarse los métodos de pago aceptados, como tarjetas de crédito/débito, PayPal u otras plataformas de pago online o transferencia bancaria.

6. Política de envíos y entrega

Este texto legal debe contener un apartado que detalle cómo se gestionan los envíos de productos a los clientes, así como informar sobre los métodos de envío disponibles, los plazos de entrega estimados, los costes asociados, las áreas geográficas donde se realizan envíos y qué sucede en caso de retrasos o pérdidas.

6. Derecho de desistimiento

Conforme a la normativa de consumo, se debe informar sobre:

• Plazo para desistir de la compra (14 días naturales desde la recepción del producto).
• Procedimiento para ejercer el derecho de desistimiento.
• Modelo de formulario de desistimiento.
• Excepciones en las que no aplica (por ejemplo, productos personalizados o servicios digitales ya iniciados).
• Responsabilidad del cliente en caso de deterioro del producto.

7. Devoluciones y reembolsos

Se debe incluir información sobre:

• Condiciones y plazos de devolución.
• Procedimiento y costes (qué gastos asume el cliente y cuáles la empresa).
• Forma y tiempo estimado de reembolso.

8. Garantías y reclamaciones

Se debe informar sobre plazos de garantía legales (tres años en productos nuevos, salvo excepciones), el modo de hacer uso de la garantía, los procedimientos en caso de producto defectuoso o no conforme, así como facilitar datos de contacto para realizar reclamaciones.

9. Protección de datos personales

Debe incluirse una referencia a la Política de Privacidad o, en su caso, esta deberá de ser aceptada durante el proceso de compra. El usuario deberá de ser informado del tratamiento de sus datos para la formalización del contrato de compra, de la base legal del tratamiento, del periodo de conservación de sus datos y de las posibles cesiones (como por ejemplo, a la empresa de transportes), así como los derechos que ostenta de acuerdo al Reglamento General de Protección de Datos.

10. Legislación aplicable y resolución de conflictos

Debe indicarse la legislación aplicable a las transacciones, así como la jurisdicción competente.

Además, se debe de informar con carácter obligatorio de la posibilidad de acudir a la plataforma de resolución de litigios en línea de la UE, sistemas de resolución extrajudicial de conflictos promovido por la UE.

En definitiva, las condiciones de compra son un elemento fundamental en cualquier comercio electrónico, ya que garantizan la transparencia y seguridad tanto para la empresa como para los consumidores. Cumplir con la legislación vigente no solo evita sanciones, sino que genera confianza en los usuarios y mejora la imagen de nuestro negocio.

Si necesita garantizar que las condiciones de compra de su tienda online cumplan con la normativa vigente, en Microlab contamos con una amplia experiencia en asesoramiento legal para comercios electrónicos. Nuestro equipo de expertos ofrece soluciones personalizadas para la redacción y adaptación de sus condiciones de compra, asegurando el cumplimiento de la Ley de Servicios de la Sociedad de la Información, la normativa de consumo y demás regulaciones aplicables.

No dude en ponerse en contacto con nosotros. Estamos a su disposición para proporcionarle el soporte necesario para operar con total seguridad jurídica, protegiendo tanto a su empresa como a sus clientes.