La Agencia Española de Protección de Datos (AEPD) ha finalizado un procedimiento sancionador contra Novates Alimentación Madrid, S.L. por vulnerar el artículo 32 del Reglamento General de Protección de Datos (RGPD), tras detectar deficiencias graves en la gestión de sus sistemas de videovigilancia.
La denuncia fue presentada por una clienta que, tras devolver un producto en un establecimiento de la cadena, fue contactada por el personal alegando un error en la devolución. Para justificarlo, le mostraron imágenes extraídas del sistema de videovigilancia y, posteriormente, se las enviaron por WhatsApp a su teléfono personal.
Aunque Novates alegó que la clienta había solicitado voluntariamente el envío del vídeo, la AEPD consideró que esto no eximía a la empresa de su responsabilidad: la normativa exige medidas técnicas y organizativas que impidan el acceso no autorizado y la difusión irregular de las imágenes captadas por cámaras de seguridad. Además, se constató que las grabaciones incluían no solo a la reclamante, sino a otros clientes, lo que agrava la infracción.
El procedimiento se resolvió con una sanción inicial de 20.000 euros, que se redujo a 12.000 euros tras el reconocimiento de responsabilidad y el pago voluntario por parte de Novates. Adicionalmente, la AEPD ordenó a la empresa implementar en el plazo de un mes medidas correctivas para reforzar la seguridad del tratamiento de los datos personales recogidos por sus cámaras.
Este caso destaca un principio clave: las imágenes de videovigilancia solo pueden ser tratadas para fines de seguridad, y su acceso debe estar limitado al personal autorizado. Cualquier uso indebido, incluso con el consentimiento posterior del afectado, puede constituir una infracción de la normativa de protección de datos.