La Comisión Nacional para la Protección de Datos de Luxemburgo (CNPD) resolvió por infracciones múltiples al Reglamento General de Protección de Datos (RGPD) cometidas por una escuela pública en su sistema de videovigilancia. La investigación se inició en octubre de 2022 e incluyó visitas presenciales al establecimiento en diciembre de 2022 y julio de 2023. La escuela fue considerada responsable del tratamiento de datos personales, dado que determinó de forma autónoma las finalidades y los medios del sistema de videovigilancia, incluyendo la elección del proveedor, la aprobación del presupuesto y la financiación con recursos propios.
La autoridad identificó una infracción al principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD, ya que la escuela basó el tratamiento en la base legal del interés legítimo para el control de acceso y la protección de bienes, sin realizar la prueba de ponderación exigida entre sus intereses legítimos y los derechos fundamentales de las personas afectadas. También se constataron infracciones a los principios de transparencia y a las obligaciones de información, dado que la señalización sobre videovigilancia se limitaba a tres paneles con pictogramas de cámara y la mención "zona bajo videovigilancia", sin ninguna información adicional sobre el responsable del tratamiento, las finalidades o los derechos de los interesados.
El sistema de videovigilancia, compuesto por 12 cámaras en funcionamiento las 24 horas del día, presentaba problemas de proporcionalidad en el tratamiento de datos. Dos cámaras específicas captaban no solo las áreas de acceso, sino también los espacios destinados al ocio y al deporte de los estudiantes durante el horario de funcionamiento del establecimiento. La CNPD consideró que la vigilancia de esos espacios comunes era desproporcionada en relación con las finalidades declaradas y constituía una violación excesiva de la privacidad, especialmente teniendo en cuenta que podrían haberse implementado medios alternativos menos invasivos, como la supervisión por parte del personal, durante el período lectivo.
Adicionalmente, se identificaron infracciones relacionadas con la conservación excesiva de datos y con la seguridad del tratamiento. Las imágenes se conservaban durante 57 días, muy por encima de los 30 días que podrían justificarse por las vacaciones escolares prolongadas. El acceso al sistema presentaba fallas de seguridad significativas: seis miembros del equipo técnico compartían un único usuario y contraseña para acceder al software de videovigilancia, sin ningún sistema de trazabilidad de accesos. La CNPD ordenó la adecuación del sistema en un plazo de tres meses, incluyendo la limitación de los campos de visión de las cámaras, la reducción del período de conservación a 30 días, la mejora de la señalización informativa y la implementación de cuentas individuales con un sistema de auditoría de accesos.
Este post fue resumido a partir de la decisión original con el uso de IA, con revisión humana.
Con información de la Commission nationale pour la protection des données de Luxembourg (en francés)
Comentario: Aunque la decisión se emitió en Luxemburgo, la proximidad entre la LGPD y el GDPR la hace relevante para su evaluación en Brasil. La Autoridad Nacional de Protección de Datos (ANPD) publicó en 2024 la "Guía Orientativa — Hipótesis Legales de Tratamiento de Datos Personales — Interés Legítimo", que prevé expresamente la necesidad de realizar la prueba de ponderación cuando se utilice esta base legal. La guía también realiza consideraciones especiales sobre el uso del interés legítimo cuando se tratan datos de niños y adolescentes. Entre las medidas recomendadas por la ANPD en casos de tratamiento de datos provenientes de cámaras de seguridad que eventualmente capten imágenes de menores se encuentran "el rígido control de acceso a los videos, un plazo más corto de almacenamiento, la divulgación en puntos estratégicos de información sobre el funcionamiento de las cámaras y la no utilización de tecnologías que traten las imágenes a nivel biométrico, lo que llevaría al tratamiento de datos sensibles" — precisamente las medidas señaladas por la autoridad luxemburguesa. Por lo tanto, el caso debe inspirar precaución a quienes tratan datos personales de niños y adolescentes en situaciones similares. Cabe recordar, además, que los casos de uso de cámaras de seguridad amparados en el interés legítimo también deben contemplar la prueba de ponderación, aun cuando no se capten imágenes de menores.