sábado, 14 diciembre 2024

La brecha de seguridad de Mercadona le puede costar hasta 20 millones en multas

En una empresa tan grande como Mercadona, con 85.000 empleados repartidos en más de 1.600 establecimientos, es fácil que haya alguna brecha de seguridad. Este lunes MERCA2 reveló que varios empleados de Juan Roig comparten en WhatsApp imágenes de clientes sospechosos de robo, un acto que tanto para Mercadona como para los trabajadores implicados podría acarrear graves sanciones económicas.

“Cuando existe la sospecha por parte de Mercadona de que alguien está robando o simplemente es sospechoso de robo, la compañía pide las imágenes a la empresa de seguridad privada –en este caso, Prosegur–”, denunció un antiguo trabajador de la compañía. Una vez en poder del jefe de tienda de la cadena se difunden en el grupo de WhatsApp de los trabajadores. Una práctica que a todas luces vulnera la protección de datos.

Mercadona
Conversaciones de WhatsApp del grupo de empleados de Mercadona en las que el jefe de tienda difunde la imagen del sospechoso de hurto.

Estas imágenes de videovigilancia deberían borrarse por ley. “Con carácter general, los responsables de un tratamiento de datos personales -tomados por cámaras o videocámaras- tienen la obligación de cancelar, borrando y suprimiendo las imágenes en el plazo establecido en sus protocolos (salvo mejor o mayor previsión y/o exigencia realizada en la ley), y siempre en el plazo máximo del mes”, según fuentes de la Agencia de Protección de Datos (AEPD).

Por lo tante todo indica que esta práctica es contraria al Reglamento General de Protección de Datos (RGPD) que comenzó a aplicarse en mayo de 2018, con novedades que se unen a la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Al no borrarse y acabar almacenadas en los teléfonos móviles de los empleados, pueden incluso acabar en manos de otras personas, se incumplirían estas dos normativas.

Las cuantías de las sanciones por incumplimiento de la norma crecen con el reglamento europeo: van desde los 10 millones de euros o el 2% de la facturación global anual, hasta los 20 millones de euros o el 4% de la facturación. Siempre dependiendo del tipo de infracción cometida. Además, debe haber una denuncia oficial o que la AEPD entre de oficio a investigar el caso.

Al ser el primer año de aplicación de la normativa europea los expertos aseguran que “aprenderemos de las sanciones que se impongan en Europa”, mientras tanto la AEPD seguirá aplicando multas cuando lo considere oportuno con la LOPD. Según la ley española, el artículo 45 impone sanciones que van desde los 900 euros –con infracciones leves– hasta un máximo de 600.000 euros para las más graves.

Desde Mercadona no se consideran responsables de este problema que achacan a un error del responsable de tienda. Reconocen que el encargado ha podido realizar una foto a la grabación en el ordenador con su móvil y compartirla al resto de trabajadores. Además, se defiende alegando que «cumple estrictamente la normativa de protección de datos, por consiguiente el uso y tratamiento de cualquiera de las imágenes que puedan utilizarse internamente tiene el amparo del interés legítimo para garantizar nuestra seguridad y la de nuestros clientes y prevenir futuros daños contra clientes o trabajadores».

SANCIONES PARA LOS TRABAJADORES IMPLICADOS

Pero no solo Mercadona se enfrenta a multas administrativas por vulnerar la ley los datos de carácter personal de sus clientes. WhatsApp se ha convertido en un arma de doble filo que los trabajadores podrían pagar muy caro. Aunque la Agencia de Protección de Datos matiza siempre que hay que analizar caso por caso, ya se han pronunciado sobre hechos que guardan ciertas similitudes.

Hace poco multó con 2.000 euros a un ciudadano por grabar desde su casa una agresión machista en las calles de la localidad valenciana de La Font de la Figuera y enviar las imágenes a varios de sus contactos de ese servicio de mensajería.

En su resolución, la AEPD subraya que “la mera captación de imágenes de las personas o su difusión a través de WhatsApp puede considerarse un tratamiento de datos personales incluido en el ámbito de aplicación de la normativa citada”.

El denunciado divulgó a través de WhatsApp las imágenes de un miembro de la policía, y lo hizo sin consentimiento del mismo. Además, este policía era fácilmente identificable por vecinos y conocidos. Los clientes de Mercadona también pueden ser reconocidos por los empleados o conocidos de estos. Se les puede encasillar o señalar en sus barrios, pueblos o ciudades.

Este delito se calificó de grave según el artículo 44.3.b) de la LOPD por “tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

SIMILITUDES CON EL CASO CIFUENTES

El caso de Mercadona recuerda al ocurrido con la grabación del video del robo en un Eroski de Cristina Cifuentes, que acabó con su dimisión como presidenta de la Comunidad de Madrid. Independientemente de las consecuencias políticas del hecho, el video de 2011 vio la luz años después cuando la propia empresa de seguridad debía haber borrado las imágenes.

La AEPD abrió actuaciones de oficio para investigar las grabaciones. Y la propia Cifuentes podría haber presentado una denuncia ante la agencia si considera que se ha producido una vulneración de sus derechos, como cualquier otro ciudadano. Misma respuesta es la que podrían dar los clientes del supermercado que aparecen en las imágenes difundidas a través de WhatsApp.

A raíz de este caso tan mediático, la agencia ha publicado una guía de uso de videocámaras para seguridad y otras finalidades que recoge las previsiones legales en materia de protección de datos para un uso lícito de las mismas.

En definitiva, tanto Mercadona como sus empleados implicados podrían enfrentarse a sanciones administrativas. Aunque la AEPD recuerda que cada caso se estudia por separado.


- Publicidad -