La videovigilancia se ha convertido en una herramienta habitual para la protección de personas, bienes e instalaciones. Comunidades de propietarios, centros comerciales, entidades financieras, infraestructuras críticas o edificios corporativos utilizan diariamente sistemas de captación de imágenes cuya base de legitimación se encuentra expresamente reconocida por el artículo 22 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Sin embargo, la licitud de la captación de imágenes constituye únicamente el punto de partida. Una vez obtenidas, las imágenes pasan a formar parte de un tratamiento de datos personales sometido a las exigencias del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), especialmente en materia de confidencialidad, integridad, control de accesos y responsabilidad proactiva.
Es precisamente en este ámbito donde se sitúa una de las resoluciones más relevantes publicadas recientemente por la Agencia Española de Protección de Datos (AEPD).
El pasado 13 de abril de 2026 la AEPD hizo pública la resolución recaída en el procedimiento EXP202404507. El expediente concluyó con la imposición de una sanción inicialmente fijada en 500.000 euros y posteriormente reducida a 400.000 euros tras el reconocimiento de responsabilidad y el pago voluntario efectuado por la entidad.
Los hechos son, en apariencia, sencillos: once personas accedían a las imágenes procedentes de aproximadamente 9.000 cámaras de videovigilancia utilizando un único usuario y una única contraseña compartidos.
Desde una perspectiva de seguridad de la información, el problema es evidente. Desde una perspectiva jurídica, las consecuencias son todavía más relevantes: la organización carecía de mecanismos que permitieran identificar qué persona concreta había accedido a las imágenes, cuándo se había producido el acceso o qué actuación había realizado sobre ellas, es decir, la entidad presentaba una clara falta de trazabilidad.
La resolución trasciende el supuesto concreto de una entidad financiera. Lo verdaderamente relevante es que pone de manifiesto una práctica todavía presente en numerosas organizaciones: la existencia de estructuras formales de cumplimiento —contratos, políticas y procedimientos— que no se trasladan de manera efectiva a la operativa real.
Y es precisamente en esa distancia entre el cumplimiento formal y el cumplimiento efectivo donde la AEPD sitúa el núcleo de la infracción.
I. La delimitación de responsabilidades en un entorno multiproveedor
Tras conocerse la sanción, buena parte de los análisis iniciales dirigieron la atención hacia la empresa de seguridad encargada de la Central Receptora de Alarmas (CRA). Sin embargo, la resolución describe un escenario más complejo.
El usuario genérico que permitía acceder a las imágenes no fue creado por la empresa de seguridad. Según consta en el expediente, fue Automatismos S&C —empresa contratada por la entidad para la instalación y mantenimiento de los sistemas de alarma y Closed Circuit Television (CCTV)— quien configuró originalmente el software con un único usuario y una única contraseña compartidos. Los operadores de la CRA accedían posteriormente a través de esas credenciales porque el sistema ya estaba configurado de ese modo desde su origen.
La resolución también destaca que no existía relación contractual directa entre la empresa de seguridad y Automatismos S&C. Ambas fueron contratadas de forma independiente por la entidad financiera, sin que existiera coordinación específica entre ellas en materia de configuración de accesos, perfiles de usuario o trazabilidad.
Este extremo resulta determinante desde el punto de vista jurídico, pues pone de manifiesto un problema recurrente en entornos multiproveedor: la fragmentación de responsabilidades no elimina la obligación del responsable del tratamiento de garantizar un control efectivo del sistema en su conjunto.
II. Cumplimiento contractual sin aplicación efectiva: insuficiente a ojos del RGPD
Los contratos suscritos por la entidad contenían previsiones expresas en materia de seguridad.
El Anexo VIII del contrato con la empresa de seguridad establecía la obligación de utilizar usuarios y contraseñas nominativas, prohibía la compartición de credenciales y reconocía el derecho de la entidad a auditar los accesos y perfiles asignados. De forma similar, el contrato con Automatismos S&C incorporaba exigencias relativas a la autenticación individualizada, la definición de roles y la posibilidad de auditoría por parte del responsable del tratamiento.
Desde una perspectiva formal, el marco contractual resultaba adecuado.
Sin embargo, la AEPD recuerda una cuestión esencial: la existencia de cláusulas contractuales no equivale a la implantación efectiva de medidas de seguridad.
Esta conclusión encuentra apoyo directo en el artículo 24 del RGPD, que obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Asimismo, el artículo 32 RGPD exige garantizar un nivel de seguridad adecuado al riesgo, incluyendo la capacidad de asegurar la confidencialidad, integridad, disponibilidad y trazabilidad de los sistemas.
En el caso analizado, la ausencia de identificación individual de usuarios impedía garantizar la confidencialidad del tratamiento y eliminaba cualquier posibilidad real de control de trazabilidad posterior.
Las auditorías internas realizadas no analizaron el elemento crítico del sistema: el control de accesos a las imágenes. Se revisaron aspectos como plazos de conservación o deberes informativos, pero no la trazabilidad de usuarios.
La entidad había identificado este riesgo en su Evaluación de Impacto en Protección de Datos (EIPD), realizada de conformidad con el artículo 35 del RGPD, pero no verificó la implantación efectiva de las medidas mitigadoras, por lo que no fue suficiente.
III. El alcance de la responsabilidad del tratamiento a la luz de las alegaciones formuladas
Durante el procedimiento sancionador, la entidad formuló diversas alegaciones.
En primer lugar, la entidad defendía que el artículo 32 del RGPD configura una obligación de medios, y que la implementación concreta de las medidas de seguridad correspondía al encargado del tratamiento, por lo que su responsabilidad quedaría limitada. La AEPD rechaza esta interpretación. Para ello se apoya en la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), en particular en la sentencia de 14 de diciembre de 2023 (asunto C-340/21), que refuerza el alcance de las obligaciones del responsable del tratamiento:
El Tribunal recuerda que el responsable no puede limitarse a definir un marco contractual o a trasladar formalmente las obligaciones al encargado. Su posición implica una responsabilidad activa de supervisión y de acreditación del cumplimiento efectivo del RGPD. En este sentido, el artículo 32 no se interpreta como una exoneración de resultados —ni como una simple derivación de tareas—, sino como una exigencia de adoptar medidas adecuadas al riesgo real del tratamiento y de poder demostrar su eficacia. Es decir, no basta con establecer políticas o cláusulas contractuales: es necesario verificar que las medidas se aplican efectivamente en la práctica. Además, la sentencia subraya la importancia del principio de responsabilidad proactiva (accountability), que obliga al responsable no solo a “cumplir”, sino a demostrar que cumple. Esto incluye la obligación de supervisar a los encargados del tratamiento y de garantizar que los sistemas implantados permiten asegurar la confidencialidad, integridad, disponibilidad y trazabilidad de los datos.
En consecuencia, la autoridad de control, AEPD concluye que la existencia de un reparto contractual de funciones no desplaza la responsabilidad principal del responsable del tratamiento, que sigue siendo el sujeto obligado a asegurar la adecuación global del sistema de seguridad.
En segundo lugar, alegó que los empleados del encargado habían ocultado la situación y que existían canales internos de denuncia. La AEPD, considera que ello no exime al responsable de su obligación de supervisión y control efectivo.
En tercer lugar, se invocó la subsanación posterior de las deficiencias. La AEPD recuerda que las medidas correctoras no eliminan la infracción ya consumada, aunque pueden influir en la graduación de la sanción.
Finalmente, se alegó prescripción parcial de determinados hechos. La AEPD acota el análisis temporal sin alterar la imputación principal.
Todas las alegaciones fueron desestimadas.
IV. Implicaciones prácticas para el sector de la seguridad privada y la videovigilancia
La resolución de la AEPD tiene especial relevancia para empresas que prestan servicios de videovigilancia, CRA o mantenimiento de sistemas de CCTV.
El artículo 28 RGPD establece que el tratamiento por cuenta de terceros debe regularse mediante contrato que incluya instrucciones documentadas, medidas de seguridad y mecanismos de supervisión. Sin embargo, la resolución evidencia que estas previsiones no son suficientes si no se verifican en la práctica.
El artículo 22 LOPDGDD legitima el uso de sistemas de videovigilancia por razones de seguridad, pero no reduce las obligaciones derivadas del RGPD en materia de control de accesos y confidencialidad.
De la resolución se desprenden tres exigencias operativas especialmente relevantes:
— La utilización de credenciales nominativas e intransferibles para cualquier acceso a imágenes.
— La existencia de registros de actividad que permitan reconstruir accesos y actuaciones.
— La realización de auditorías periódicas centradas en los controles de acceso, no solo en aspectos formales del sistema.
V. Responsabilidad proactiva y efectividad de las medidas de seguridad
El caso analizado pone de relieve la diferencia entre disponer de un sistema de cumplimiento y demostrar su efectividad real.
La entidad contaba con políticas de seguridad, contratos de encargo, procedimientos internos y una Evaluación de Impacto. Sin embargo, durante un periodo prolongado, once personas accedieron a miles de cámaras sin que existiera trazabilidad individual.
El artículo 5.2 RGPD impone al responsable del tratamiento la obligación no solo cumplir con los principios del Reglamento, sino también ser capaz de demostrarlo, el conocido principio de responsabilidad proactiva (accountability). Como ya se ha ido adelantando a lo largo del artículo, esa obligación de accountability constituye el eje de la resolución.
VI. Recomendaciones para responsables y encargados del tratamiento
La resolución permite extraer varias conclusiones prácticas aplicables a cualquier organización que gestione sistemas de videovigilancia.
- Implantar credenciales nominativas e intransferibles para todos los usuarios con acceso a imágenes.
- Definir perfiles de acceso bajo el principio de minimización, limitando privilegios al estricto desempeño de funciones.
- Mantener registros de actividad que permitan identificar accesos, consultas y exportaciones de imágenes.
- Realizar auditorías periódicas centradas en los controles de acceso y la trazabilidad de usuarios.
- Reforzar los contratos de encargo del tratamiento conforme al artículo 28 RGPD, incorporando mecanismos efectivos de supervisión.
- Revisar y actualizar las Evaluaciones de Impacto cuando existan cambios organizativos o técnicos relevantes.
- Verificar de forma continua la implantación real de las medidas, más allá de su previsión documental.
Conclusión
La sanción impuesta a la entidad bancaria no deriva de una sofisticada brecha de seguridad ni de un incidente tecnológico complejo. Deriva de una práctica todavía habitual en muchas organizaciones: la utilización compartida de usuarios y contraseñas para acceder a sistemas que tratan datos personales.
El expediente evidencia que el problema no suele residir en la ausencia de normas o procedimientos, sino en la falta de verificación de su cumplimiento.
Las políticas de seguridad, las evaluaciones de impacto y los contratos de encargo son herramientas necesarias, pero insuficientes si la operativa diaria demuestra que los controles no funcionan.
La resolución constituye un ejemplo claro de la diferencia entre cumplimiento formal y cumplimiento efectivo.
Durante años existieron contratos, auditorías y procedimientos. Y, sin embargo, once personas continuaron accediendo a miles de cámaras con las mismas credenciales.
La seguridad no se presume ni se documenta: se verifica. Sin identificación individual no hay trazabilidad; sin trazabilidad, la atribución de responsabilidades queda diluida. Y cuando no puede determinarse quién accede, modifica o elimina información, resulta cuestionable afirmar que existe un nivel de seguridad adecuado en los términos exigidos por los artículos 24 y 32 del RGPD.
Esa es, en definitiva, la razón por la que una única cuenta compartida ha terminado traduciéndose en una sanción de 400.000 euros.
