Mercadona sancionada con 170.000 mil euros

Mercadona sancionada con 170.000 mil euros

La empresa de supermercados valenciana Mercadona, ha sido sancionada por la AEPD con una multa de 170,000 euros (Expediente Nº: PS/00267/2021) debido a una atención deficiente en el ejercicio de derechos de una usuaria. En definitiva por no cumplir con la Normativa de Protección de Datos.

Contexto

Una usuaria sufrió un accidente en las instalaciones del supermercado, y con el fin de reclamar los daños, ejerció su derecho de acceso a las imágenes de las cámaras de seguridad, a través del formulario de la web de Mercadona.

No recibió respuesta, y se envió la misma solicitud al Delegado de Protección de Datos (DPD), el cual señaló no haber recibido la solicitud de ejercicio de derecho alguno, aunado a que las imágenes solicitadas ya no estaban en su posesión, pues habían sido borradas del sistema ya que habían transcurrido más de un mes desde los hechos.

La usuaria presentó una reclamación ante Mercadona en su web, a la que nunca obtuvo respuesta.

Posteriormente, Mercadona llegó a un acuerdo con la usuaria para la indemnización de los daños y los perjuicios de la no atención al ejercicio de su derecho de acceso, en donde se aceptó por el supermercado que hubo un error humano que generó que dicha solicitud no se enviase al DPD.

Postura de la AEPD

Respecto del ejercicio de derechos

Todos podemos ejercer nuestros derechos de protección de datos, y ello implica una obligación para el responsable del tratamiento de emitir una respuesta en tiempo y forma, aún y cuando los datos que se soliciten no obren en su poder.

Para dar respuesta en tiempo y forma, el responsable debe atender a sus propios procedimientos internos, así como emitir la respuesta en el plazo de 1 mes a partir de la recepción de la solicitud. Foto: osta.es

En el caso en concreto, Mercadona nunca señaló no conocer la solicitud de la usuaria, así como tampoco expuso con detalle por qué no se atendió la solicitud en tiempo y forma, sino que alegó un error humano involuntario que impidió la gestión y atención de esta, lo que no es admisible, pues si se recibe una solicitud, debe responderse por obligación legal, caso contrario, el responsable estaría actuando de manera no diligente.

Conservación de imágenes provenientes de videograbaciones

La norma señala el plazo de un mes para conservar las imágenes provenientes de videograbaciones, por lo que, a partir de esa fecha, sería lícito su borrado. Cabe señalar que el plazo de conservación coincide con el plazo que tienen los responsables para la resolución de las solicitudes de ejercicio de derechos.

En el caso en concreto, en la solicitud de ejercicio del derecho de acceso por parte de la usuaria, se puso de manifiesto de manera clara que solicitaba las imágenes de las cámaras para la reclamación del daño, circunstancia que posteriormente fue puesta de nuevo en conocimiento de Mercadona por parte del representante de la usuaria, de manera que Mercadona como responsable del tratamiento de los datos, debió haber conservado las imágenes conociendo el interés de la usuaria.

Este supuesto encuentra su base jurídica en apartado f) del art. 6.1 del RGPD, en donde el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, en conjunción con el derecho a la tutela judicial efectiva recogido en el artículo 24 constitucional.

Efectos de la infracción cometida

Mercadona alega que no existe base legal para abrir un procedimiento sancionador en su contra, ya que se llegó a un acuerdo extrajudicial con la usuaria en donde se le indemnizó por los daños causados, así como por el hecho de no haber atendido su solicitud de acceso en tiempo y forma.

La AEPD señala que, aún y cuando existen pruebas de ese acuerdo entre las partes, ello no puede considerarse como que se han repuesto los derechos de los interesados, ya que en el caso en concreto, no se pudo restablecer el derecho de acceso de la usuaria debido a que las imágenes de las videograbaciones ya se habían borrado, y por lo tanto, no era posible acceder a las mismas, como prueba fehaciente en su reclamación.

Puntos importantes de la resolución

  1. Frente al derecho de los usuarios de ejercer los derechos de protección de datos, siempre existe la responsabilidad de atenderlos por parte de los responsables del tratamiento, siendo que dicha obligatoriedad no puede ignorarse.
  2. Cuando en una solicitud de acceso, la información que se solicite tenga como objeto fundamentar una reclamación, ya sea judicial o extrajudicial, deberá tenerse en cuenta el plazo de conservación de esta, ya que en un juicio de ponderación de derechos, el derecho a la tutela judicial efectiva está por encima del derecho a la protección de datos, cuando exista una merma en la posibilidad de argumentar la defensa.
  3. Un acuerdo inter partes de carácter privado no es susceptible de considerarse como la reparación de los derechos y libertades de la persona, cuando el daño es irrecuperable respecto del ejercicio de los derechos de protección de datos personales.
  4. La reparación de los derechos de las personas no exonera a los responsables de las infracciones que deriven de sus acciones, así como de las sanciones que se determinen al respecto.