La Dicotomía en la Conservación de Datos: Sanciones y Responsabilidades

La AEPD impone multas significativas a El Corte Inglés por no conservar datos personales

En un contexto donde el tratamiento y conservación de datos personales se ha vuelto crucial, la Agencia Española de Protección de Datos (AEPD) ha comenzado a imponer sanciones severas a empresas que no cumplen con el principio de conservación de datos. Recientemente, El Corte Inglés ha sido multado con 140.000 euros por no conservar imágenes de videovigilancia relacionadas con un accidente que afectó a una menor. Este incidente pone de manifiesto la delicada balanza entre la necesidad de proteger a los consumidores y el riesgo de vulnerar sus derechos.

Sanción a El Corte Inglés: El caso de la menor accidentada

La multa a El Corte Inglés tiene su origen en un accidente ocurrido en uno de sus centros comerciales, donde una menor sufrió una caída y se golpeó la cara contra una plataforma cortante (PS/00131/2023). La madre de la niña, al enterarse del incidente, contactó con el Servicio de Atención al Cliente de la empresa para solicitar la conservación de las grabaciones de videovigilancia, ya que estas podrían ser cruciales en caso de que decidiera emprender acciones legales.

Sin embargo, la respuesta de El Corte Inglés fue insatisfactoria. La compañía informó que la documentación había sido remitida a su aseguradora, que alegó no poder asumir la responsabilidad porque el accidente había sido accidental y no había evidencias de negligencia. Cuando la madre volvió a solicitar las grabaciones, la empresa alegó que el periodo de conservación era de solo 15 días, por lo que ya no existían.

La AEPD criticó fuertemente la conducta de la empresa, argumentando que la solicitud inicial contenía detalles relevantes, como la hora y el lugar del accidente, así como la intención de utilizar las grabaciones en un posible litigio. La agencia concluyó que El Corte Inglés debería haber tomado medidas adecuadas para conservar las imágenes más allá de los 15 días, considerando la solicitud y el contexto del accidente.

Finalmente, la AEPD impuso una multa de 140.000 euros, distribuidos en dos infracciones de 70.000 euros cada una: de un lado por no atender la solicitud de ejercicio de derecho de acceso a las imágenes; y de otro por no conservar las imágenes a pesar de la solicitud del interesado.

Comparativa con el caso de Mercadona

Este incidente con El Corte Inglés guarda similitudes con un caso anterior que involucró a Mercadona (PS/00267/2021), que también fue sancionada por la AEPD con una multa de 170.000 euros por eliminar imágenes de videovigilancia, a pesar de haber recibido una solicitud de acceso. En ese caso, un cliente había solicitado acceso a las grabaciones tras sufrir un accidente en la tienda. Sin embargo, al no recibir respuesta en un mes, Mercadona procedió a borrar las grabaciones, alegando un "error humano".

En ambos casos, la AEPD determinó que las circunstancias del accidente debían haber llevado a la empresa a conservar las grabaciones por un periodo mayor, especialmente al haber recibido una solicitud expresa de conservación. La falta de respuesta adecuada a la solicitud y la eliminación de las grabaciones fueron consideradas violaciones del derecho de acceso y limitación del tratamiento de datos conforme a los artículos 15 y 18 del RGPD.

Riesgos de no conservar datos

Ambos casos revelan un riesgo significativo para las empresas que no cumplen con la normativa de conservación de datos personales. La falta de conservación puede resultar en la pérdida de pruebas esenciales en caso de litigios, dejando a las empresas vulnerables ante reclamaciones legales. La AEPD se ha mostrado firme a la hora de imponer sanciones severas a aquellas organizaciones que infrinjan los derechos de acceso y limitación de tratamiento, subrayando la importancia de proteger la información personal de los ciudadanos.

Sanción a Sistemas Tubulares: un caso de conservación inadecuada

En el lado opuesto al caso de El Corte Inglés, la AEPD se ha pronunciado sancionando a Sistemas Tubulares de Ingeniería Canarias, S.L. (PS/00568/2022) por conservar los datos de un ex-empleado durante más tiempo del necesario y divulgarlos sin justificación. La denuncia surgió cuando la empresa utilizó los datos personales del ex-empleado para presentar una denuncia policial por la presunta sustracción de material de una obra, casi 20 meses después de que finalizara su relación laboral.

La AEPD determinó que la empresa había mantenido los datos de la reclamante más tiempo del necesario, vulnerando así el principio de conservación de datos del RGPD. La información había sido recopilada con un propósito específico relacionado con su relación laboral, pero una vez finalizada esta, los datos dejaron de ser necesarios. Además, la empresa no solo retuvo los datos de manera indebida, sino que también los compartió sin la debida justificación, enviando información sensible que incluía datos personales de la reclamante.

La resolución concluye con una multa de 2.000 euros, dividida en dos infracciones de 1.000 euros cada una, enfatizando la necesidad de manejar adecuadamente los datos personales, conservándolos solo por el tiempo necesario y limitando su divulgación.

La importancia del cumplimiento normativo

Ambos casos subrayan la relevancia de que las empresas cumplan con las normativas de protección de datos y adopten medidas adecuadas para gestionar la conservación y el tratamiento de la información personal. Las sanciones impuestas por la AEPD tienen implicaciones económicas considerables, pero también pueden dañar la reputación de las organizaciones y erosionar la confianza de los consumidores.

La falta de atención a la conservación adecuada de los datos puede resultar en la pérdida de pruebas cruciales en litigios, así como en sanciones severas por parte de las autoridades competentes. Por lo tanto, es esencial que las empresas implementen políticas robustas para la gestión de datos, que incluyan plazos claros de conservación y procedimientos para responder adecuadamente a las solicitudes de acceso y limitación del tratamiento.

La fina línea entre la obligación de conservación de los datos y el principio de limitación del plazo de conservación pone de manifiesto el delicado equilibrio que debe mantenerse entre la protección de los interesados y los riesgos de vulnerar sus derechos. Las empresas deben ser conscientes de sus responsabilidades y trabajar para garantizar que la conservación de datos se realice de manera justa, transparente y en cumplimiento de las normativas vigentes.

La gestión adecuada de la información personal no solo es un requisito legal, sino también un imperativo ético en la sociedad actual. Las empresas deben esforzarse por construir y mantener la confianza de sus clientes, asegurando que sus datos sean tratados con el respeto y la protección que merecen. Con estos casos como ejemplos, se hace evidente que un enfoque proactivo en la conservación de datos no solo es beneficioso para las empresas, sino que también protege los derechos de los consumidores en un entorno digital cada vez más complejo.