La Agencia Española de Protección de Datos (AEPD) ha sancionado con 10.000 euros a una empresa del sector industrial por instalar un sistema de videovigilancia sin formalizar el preceptivo contrato con la entidad encargada del tratamiento de las imágenes. El caso, recientemente publicado por Economist & Jurist, recuerda una de las obligaciones más esenciales —y a menudo descuidadas— del RGPD: la necesidad de contar con un contrato de encargo del tratamiento conforme al artículo 28 del Reglamento General de Protección de Datos.
El caso: cámaras sin garantías ni contrato
La actuación de la AEPD parte de la denuncia de un trabajador, quien advirtió que se habían instalado cámaras en zonas de descanso y orientadas hacia la vía pública. Además de la posible captación de audio, no existía información visible sobre el sistema de videovigilancia, ni se había informado a los empleados conforme a los artículos 12 y 13 RGPD.
Pero el núcleo de la infracción sancionada fue otro: la empresa no había firmado ningún contrato de encargo del tratamiento con la mercantil que se ocupaba de instalar, mantener y gestionar el sistema de cámaras. Esto constituye una vulneración directa del artículo 28 RGPD, que exige no sólo un contrato, sino que este recoja una serie de cláusulas mínimas obligatorias.
El deber de diligencia del responsable
El artículo 28 RGPD impone al responsable del tratamiento (en este caso, la empresa que instala las cámaras) el deber de seleccionar encargados que ofrezcan garantías suficientes y de formalizar un contrato por escrito (o medio equivalente) que establezca el objeto, duración, naturaleza, finalidad, tipo de datos, categorías de interesados y obligaciones del encargado. En particular, debe incluir:
- Instrucciones documentadas del responsable
- Confidencialidad
- Seguridad de los datos
- Subcontratación
- Asistencia en el ejercicio de derechos
- Supresión o devolución de datos
- Colaboración en auditorías
Un riesgo habitual… pero evitable
Este caso refleja un error frecuente en muchas organizaciones: considerar al proveedor de cámaras o del software como un mero prestador técnico, sin contemplar su rol como encargado del tratamiento. No firmar el contrato de encargo, o hacerlo con un modelo genérico insuficiente, puede traducirse en sanciones económicas y reputacionales.
Por qué importa este contrato?
Más allá de la sanción concreta, este tipo de incumplimientos evidencia una deficiente cultura de cumplimiento en protección de datos. La formalización del contrato no es un mero trámite formal: es una garantía jurídica para ambas partes y un instrumento clave de accountability. Su ausencia no sólo vulnera el RGPD, sino que deja a la organización desprotegida en caso de incidentes o reclamaciones por parte de interesados.
Este caso debería servir como llamada de atención para todas las organizaciones que cuenten con sistemas de videovigilancia. El RGPD exige formalismo jurídico y responsabilidad activa. Un contrato de encargo no es un mero requisito documental: es una piedra angular del sistema de cumplimiento normativo en privacidad.
