Los hechos inician con una denuncia por parte de los empleados de una empresa al descubrir que, en el vestuario de las instalaciones, existe un falso techo donde se han instalado dispositivos de grabación de audio y vídeo de los que dicen no haber sido informados.
La empresa reclamada afirma que la finalidad del uso de estos sistemas es la de controlar el acceso de personas y mercancías en las instalaciones para garantizar la seguridad de los bienes y las personales, así como el control del cumplimiento de contrato laboral. Sobre si se informó a los empleados, dice haberles remitido una comunicación escrita al respecto y que dispone de las cartas firmadas de conformidad por cada trabajador sobre la colocación de las cámaras de videovigilancia, el carácter de las mismas y su ubicación.
La AEPD ante estos hechos, ha considerado la concurrencia de una infracción del artículo 6 del Reglamento General de Protección de Datos (RGPD), que establece las bases de legitimación para el tratamiento de datos personales.
En el presente caso, se llega a conclusión de que la norma aplicable al caso (artículo 89 LOPDGDD) y que permite el establecimiento de cámaras de videovigilancia para el control del cumplimiento de un contrato laboral, no ha sido respetada en el momento en que establece que “en ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.” y, específicamente en relación con la grabación de sonidos, además, establece que “la utilización de sistemas similares a los referidos en los apartados anteriores para la grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores.”
Es por ello que no existe una base de legitimación que justifique el tratamiento de los datos en este caso, habiendo la AEPD decidido imponer una sanción a la empresa responsable de 20.000 euros.