La reciente sanción impuesta por la Agencia Española de Protección de Datos a un establecimiento comercial por instalar un sistema de videovigilancia que captaba audio de forma continuada constituye un nuevo ejemplo de cómo muchas empresas siguen infravalorando las implicaciones jurídicas reales de los sistemas tecnológicos de control laboral y seguridad. La resolución, que concluye con una multa de 4.000 euros, posee un interés jurídico notable porque vuelve a situar en el centro del debate la difícil tensión entre las facultades de control empresarial, la protección de datos personales y el derecho fundamental a la intimidad de trabajadores y clientes.
El supuesto analizado por la AEPD resulta especialmente relevante porque el sistema instalado no se limitaba a captar imágenes, sino que grababa además conversaciones privadas de los trabajadores sin información adecuada ni justificación suficiente. Según recoge la resolución, las cámaras incorporaban captación continua de sonido, incluyendo conversaciones mantenidas dentro del establecimiento, sin que existiera una información clara sobre dicha funcionalidad ni una acreditación específica de necesidad y proporcionalidad.
Desde el punto de vista jurídico, el asunto tiene una enorme importancia porque muchas empresas siguen considerando erróneamente que la instalación de cámaras de seguridad legitima automáticamente cualquier modalidad de captación de datos dentro del centro de trabajo. Sin embargo, el marco normativo europeo y español es mucho más restrictivo. El tratamiento de imágenes y sonidos mediante sistemas de videovigilancia constituye un tratamiento de datos personales plenamente sometido al Reglamento General de Protección de Datos y a la Ley Orgánica 3/2018. Y ello implica, entre otras cuestiones, la obligación de respetar los principios de licitud, minimización, proporcionalidad y transparencia.
La resolución recuerda una cuestión esencial que con frecuencia se olvida en la práctica empresarial: la voz también es un dato personal. No solo permite identificar directa o indirectamente a una persona, sino que además puede revelar aspectos especialmente sensibles relacionados con hábitos, relaciones personales, estado emocional o incluso categorías especiales de datos. Precisamente por ello, la captación indiscriminada de conversaciones privadas mediante sistemas de seguridad ha sido considerada tradicionalmente por la jurisprudencia y por las autoridades de control como una medida particularmente invasiva.
El elemento verdaderamente interesante del caso no reside únicamente en la ausencia de información previa a los trabajadores, sino en la propia desproporción de la medida. La videovigilancia ordinaria puede encontrar cobertura jurídica en el interés legítimo empresarial de proteger instalaciones, prevenir robos o controlar incumplimientos laborales dentro de determinados límites. Sin embargo, la captación permanente de audio supone un nivel de injerencia cualitativamente superior que exige una justificación extraordinariamente rigurosa y excepcional.
En realidad, la doctrina de la AEPD y del Tribunal Constitucional viene construyendo desde hace años una idea muy clara: en el entorno laboral el trabajador no pierde sus derechos fundamentales. El contrato de trabajo no convierte el espacio empresarial en un ámbito inmune a las garantías constitucionales. La facultad de dirección y control del empresario reconocida en el artículo 20 del Estatuto de los Trabajadores encuentra límites directos en los derechos fundamentales del artículo 18 de la Constitución, especialmente en el derecho a la intimidad y en la protección de datos personales.
La resolución resulta además particularmente ilustrativa porque evidencia uno de los errores más habituales en pequeñas y medianas empresas: confiar exclusivamente en la instalación técnica del sistema sin desarrollar adecuadamente el cumplimiento jurídico asociado. Muchas empresas adquieren sistemas de videovigilancia “inteligentes” con funcionalidades avanzadas —audio, reconocimiento facial, acceso remoto, almacenamiento en nube o analítica automatizada— sin comprender realmente el alcance regulatorio de dichas tecnologías.
Y precisamente ahí radica uno de los grandes desafíos jurídicos contemporáneos: la creciente sofisticación tecnológica de los sistemas de seguridad está ampliando exponencialmente la capacidad de monitorización empresarial. El problema es que el avance tecnológico suele ir mucho más rápido que la cultura de cumplimiento normativo. La consecuencia es un incremento constante de riesgos regulatorios, sancionadores y reputacionales.
Desde una perspectiva de compliance, esta resolución debería servir como advertencia clara para empresas, despachos profesionales, comercios y organizaciones de cualquier tamaño. No basta con colocar un cartel genérico de videovigilancia ni con alegar razones abstractas de seguridad. Cuando existen tratamientos especialmente invasivos —como la captación de sonido— es imprescindible realizar previamente un análisis de proporcionalidad, definir una base legitimadora sólida, informar de forma específica y transparente y valorar incluso la necesidad de efectuar una evaluación de impacto en protección de datos.
La cuestión adquiere todavía mayor relevancia en un contexto empresarial cada vez más digitalizado y marcado por tecnologías de monitorización avanzada, inteligencia artificial y sistemas automatizados de supervisión laboral. El equilibrio entre productividad, seguridad y derechos fundamentales se convertirá previsiblemente en uno de los grandes ejes del Derecho tecnológico y laboral de los próximos años.
La sanción de la AEPD no destaca tanto por la cuantía económica —relativamente moderada— como por el mensaje jurídico que transmite: la seguridad empresarial no puede transformarse en vigilancia total. El principio de proporcionalidad continúa siendo el límite esencial frente a cualquier tentación de control absoluto derivada de las nuevas tecnologías. Y ese límite, en un Estado de Derecho, sigue operando también dentro de la empresa
