¿Vulnera la normativa de protección de datos que un establecimiento de hostelería oriente sus cámaras de videovigilancia hacia las mesas de los clientes, difunda imágenes de una inspección por WhatsApp y carezca de cartelería informativa adecuada?
Sentencia de Consulta Vinculante (AEAT, SS) del 24/01/2026 en materia de VIDEOVIGILANCIA Y CONTROL EMPRESARIAL
Resumen
La Agencia Española de Protección de Datos (AEPD) sanciona a la titular de un restaurante con una multa total de 3.000 euros (reducida a 1.800 euros por reconocimiento de responsabilidad y pago voluntario) por cometer tres infracciones de la normativa de protección de datos. La Agencia determina que la instalación de cámaras orientadas a zonas de ocio (comedor y terraza) vulnera el principio de minimización de datos; que la difusión de imágenes a través de WhatsApp quiebra el principio de confidencialidad; y que la ausencia de cartelería y advertencias escritas a la plantilla incumple el deber legal de transparencia e información.
Supuesto de hecho
- Durante una visita a un establecimiento de hostelería, el sistema de videovigilancia del local captó las imágenes del personal inspector.
- Dos días después, la titular del negocio envió una captura de pantalla de dicha grabación a un grupo de WhatsApp integrado por varios empresarios hosteleros del municipio para advertirles de la inspección.
- A raíz de este hecho, se realizó una nueva inspección en la que se constató la existencia de ocho cámaras de vigilancia.
- Mientras que algunas enfocaban lícitamente a la cocina o la caja registradora, otras apuntaban de forma directa y continuada hacia las mesas del salón-comedor y hacia la terraza exterior del local.
- Asimismo, se verificó que el establecimiento carecía de carteles homologados que advirtieran de la zona videovigilada en los accesos e interior.
- Respecto al control laboral, la plantilla manifestó que solo había sido informada verbalmente de la presencia de las cámaras, careciendo de un documento explicativo sobre sus derechos.
Consideraciones jurídicas
- La Agencia Española de Protección de Datos centra su primer análisis sustantivo en la vulneración del principio de minimización de datos (artículo 5.1.c del RGPD), el cual exige que el tratamiento sea adecuado, pertinente y limitado a lo estrictamente necesario. La resolución distingue entre las cámaras ubicadas en la cocina o el almacén —justificadas por seguridad y control laboral— y aquellas orientadas hacia el comedor y la terraza. La AEPD argumenta que estas últimas zonas son espacios de esparcimiento donde los clientes permanecen largo tiempo disfrutando de su ocio. Grabar permanentemente estas áreas resulta desproporcionado y no supera el juicio de necesidad, afectando de forma injustificada a la intimidad y al libre desarrollo de la personalidad de los comensales.
- En segundo lugar, la Agencia evalúa la quiebra del principio de integridad y confidencialidad (artículo 5.1.f del RGPD). Todo responsable de un sistema de videovigilancia está obligado a implementar medidas técnicas y organizativas que impidan el acceso o la divulgación no autorizada de las grabaciones. El Tribunal administrativo subraya que la conducta de la empresaria al extraer una imagen de los inspectores y compartirla voluntariamente en un grupo de WhatsApp de terceros ajenos a la empresa constituye una flagrante pérdida de control y confidencialidad de los datos personales captados.
- Por último, la resolución aborda la infracción relativa al deber de información y transparencia (artículo 13 del RGPD). La normativa exige un sistema de información por capas, siendo imperativa la colocación de distintivos visibles en los accesos a las zonas vigiladas. La AEPD constata que la empresa falló en este deber frente a los clientes al no disponer de los carteles amarillos reglamentarios. Del mismo modo, incumplió sus obligaciones laborales, puesto que la ley obliga a informar a las personas trabajadoras con carácter previo, de forma expresa, clara y concisa mediante documentos escritos que detallen el tratamiento de su imagen y sus derechos, resultando completamente insuficiente la mera advertencia verbal.
Conclusión Lexa
La instalación de sistemas de videovigilancia en establecimientos de hostelería exige un riguroso cumplimiento de los principios de protección de datos. Para respetar el principio de minimización, las cámaras no pueden enfocar de forma continua hacia zonas de ocio y esparcimiento (como comedores o terrazas), debiendo limitarse a espacios estrictamente necesarios para la seguridad (como cajas registradoras o almacenes). Asimismo, extraer y difundir las grabaciones de seguridad a través de aplicaciones de mensajería como WhatsApp supone una infracción muy grave del deber de confidencialidad. Finalmente, es imperativo cumplir con el deber de transparencia colocando cartelería homologada en los accesos para el público general e informando previamente y por escrito a la plantilla sobre el control laboral.
¿Te queda alguna duda? Resuélvela al momento
Enlace
Haga click en el código roj y será copiado a su portapapeles.
Péguelo en el campo Nº ROJ de la página del CENDOJ para realizar la búsqueda.