La videovigilancia está a la cabeza en número de reclamaciones presentadas ante la Agencia Española de Protección de Datos (AEPD) y de las sanciones que impone este organismo por violar la privacidad de la ciudadanía en diferentes ámbitos. En una de sus últimas resoluciones ha sancionado con medio millón de euros a Unicaja por la falta de control sobre quién accedía y cómo lo hacía a las imágenes captadas por cerca de 9.000 cámaras instaladas en un millar de oficinas bancarias y 2.500 cajeros automáticos, según la resolución consultada por Público.PublicidadEn 2024, las reclamaciones por vulneración de la normativa sobre protección de datos con el uso de la videovigilancia fueron las más numerosas, según la última memoria anual de la AEPD, y las segundas más frecuentes en 2025, año en el que experimentaron un incremento del 19% tras superar el listón de las 4.000 denuncias. En los dos últimos años, además, las irregularidades con la videovigilancia han originado el mayor número de sanciones de esta autoridad pública independiente que vela por la privacidad y la protección de datos de la ciudadanía, un total de 165, relacionadas fundamentalmente con las relaciones laborales, según la memoria.Uno de los casos más llamativos en el uso irregular de la videovigilancia ha sido el del banco Unicaja, algo que fue denunciado en 2023 por extrabajadores de la empresa que se ocupaba de la central de alarmas y la seguridad de una de las mayores entidades financieras de España, con sede principal en Málaga. Tras haber sido despedidos, esos empleados denunciaron ante el Cuerpo Nacional de Policía que durante dos décadas se habían ocupado de labores de seguridad privada para la que no estaban capacitados, porque tenían contratos de telemarketing, y que, además, nadie controlaba su trabajo ni el acceso y tratamiento de las imágenes captadas por miles de cámaras dentro y fuera de las oficinas bancarias. Posteriormente, uno de ellos denunció también los hechos ante la AEPD, que el pasado 13 de abril publicó una resolución sancionadora.La investigación de la AEPD reveló que los once empleados (diez operadores con categoría de operadores telefónicos y un coordinador) de la empresa Grupo Control, contratada por Unicaja para hacerse cargo de la central de alarmas y videovigilancia del banco, tenían acceso al sistema "mediante un único usuario genérico", lo que impedía su trazabilidad, es decir, saber quién, cuándo y desde dónde se accedía a las imágenes grabadas por las cámaras de oficinas y cajeros."La falta de trazabilidad, con registros de acceso que solo se conservan durante 90 días, impide al responsable auditar a posteriori los accesos no justificados", advierte la Agencia Española de Protección de Datos, que considera una "negligencia grave" de Unicaja no haber tomado las medidas de control necesarias para supervisar la actividad de la empresa contratada respecto al tratamiento de la videovigilancia bancaria, que califica de "alto riesgo".Publicidad"Las actuaciones de investigación han permitido constatar -señala la resolución- que no se revisaron por parte de Unicaja los perfiles de acceso al inicio de los servicios que presta Grupo Control, habiéndose realizado una auditoría al respecto en septiembre de 2024, cuando Unicaja ya tenía conocimiento de las investigaciones que la AEPD estaba realizando".Una "deficiente gestión del riesgo"La agencia considera que las auditorías que encargó el banco, con un volumen de negocio que superó en 2023 los 1.775 millones de euros, "no abordaron, precisamente, el aspecto más crítico de seguridad en videovigilancia: quién ve las imágenes, con qué perfil y en qué registro, el núcleo del riesgo para derechos y libertades".La omisión de controles específicos revela, a juicio de la AEPD, una deficiente gestión del riesgo, que supone una vulneración del artículo 32 del Reglamento General de Protección de Datos (RGPD), que regula la seguridad de los datos personales. Y aunque en la apertura del expediente la agencia advirtió de que la sanción podría ascender a 3,5 millones de euros, finalmente redujo la multa a medio millón, tras apreciar como agravante la gran implantación del banco, con una red de 8.885 cámaras de vigilancia conectadas y "un número de potenciales afectados muy alto", y como atenuantes la "actitud proactiva" de la entidad financiera al llevar a cabo controles específicos para identificar las carencias en sus medidas de seguridad y ejecutar los cambios oportunos para corregir la situación irregular.PublicidadTal como refleja la resolución, Unicaja decidió acogerse a la reducción del 20% por pago voluntario de la sanción y el pasado febrero abonó 400.000 euros a la AEPD, renunciando a la presentación de un recurso por la vía administrativa, aunque siguió negando haber cometido las irregularidades detalladas en la resolución y defendiendo que su actuación había sido en todo momento conforme a la normativa de protección de datos.La entidad bancaria ha alegado que "vigila y verifica a todos sus proveedores de forma adecuada y particularmente al Grupo Control" y que, además, ha adoptado "medidas correctivas" y llevado a cabo "constantes revisiones en sus medidas en materia de protección de datos para detectar posibles áreas de mejora o refuerzo". Según la resolución de la AEPD, el banco ya ha establecido un control de accesos al sistema de seguridad basados en los permisos que se asignan de manera nominativa y garantías para que solo los usuarios autorizados puedan acceder y descargar imágenes de grabadores de clientes.El denunciante, decepcionado con la resoluciónLa resolución, sin embargo, no ha dejado satisfecho al extrabajador del Grupo Control que denunció precisamente ante la AEPD las irregularidades en el sistema de videovigilancia de Unicaja, Raúl G., quien subraya a Público que la agencia se ha limitado a analizar el uso de las contraseñas de acceso al sistema y durante un periodo de tiempo muy corto, solo unos meses de 2023, y no el funcionamiento fraudulento de todo el sistema durante más de dos décadas."Se denunciaron hasta diez cosas distintas y la resolución lo limita a una infracción del artículo 32. Y no dice nada de que éramos trabajadores de telemarketing, tal como reflejó el informe de la Inspección de Trabajo. Hay una diferencia bestial entre la dimensión real de lo denunciado y la de lo analizado", se lamenta el denunciante.Según el extrabajador, el 10% de las tareas que hacían era lo que estaba autorizado por su contrato: la gestión de las alarmas de las dependencias del banco y actuar cuando saltaba alguna; el 90% restante escapaba a su competencia, como el visionado y tratamiento de imágenes captadas por las cámaras de videovigilancia, lo que incluía el seguimiento de personas en actitud sospechosa, entre ellos empleados del banco, o indigentes que pernoctaban en cajeros automáticos. Hacían seguimiento -asegura- de todo lo que pudieran captar las cámaras y fuera requerido por sus superiores, en algunos casos para ser utilizado en procedimientos judiciales, laborales y de otro tipo."Puede haber hasta gente en prisión por lo que se ve en esas imágenes. No estamos hablando solo de un problema técnico de acceso al sistema. Yo podía acceder a la cámara cuando me daba la gana y el tiempo que me diera la gana. Y no había ningún delegado de protección de datos que lo controlara. Era la selva", recalca Raúl G., que asegura que se han conculcado los derechos de millones de ciudadanos durante más de veinte años.Este extrabajador también se queja de que la AEPD lo excluyó como interesado del expediente que abrió tras la denuncia que él presentó, lo cual no le ha permitido hacer un seguimiento de la investigación ni presentar alegaciones durante el procedimiento. "Es una incongruencia procedimental", dice, Raúl G., que ha interpuesto un recurso de reposición contra la resolución de la agencia.PublicidadCámaras utilizadas para otros finesIván González, CEO de Privacidad Global y abogado experto en protección de datos, sostiene que la resolución de la AEPD es ya "un clásico" del trabajo diario de la agencia, donde las irregularidades con el uso de la videovigilancia están a la cabeza en reclamaciones y sanciones, siendo el motivo de miles de denuncias en España.Este experto explica a Público que la videovigilancia genera conflictos por cuatro motivos, fundamentalmente, el primero de los cuales es que se utilizan para un fin distinto del previsto inicialmente: se ponen para temas de seguridad y luego se utilizan para despedir a un empleado. "En estos casos hay unos trámites diferentes (para el uso de las cámaras) que no se siguen, como avisar previamente a los representantes de los trabajadores y a los propios trabajadores", precisa.Otras de las irregularidades más frecuentes, según Iván González, son la colocación de las cámaras en lugares donde no pueden ser instaladas, el exceso tiempo durante el que se guardan las imágenes, que por ley no puede ser más de treinta días, y que dispongan de sonido para grabar conversaciones, algo que está prohibido también.PublicidadEl otro motivo más frecuente de irregularidades es el de la carencia de trazabilidad de las imágenes captadas por la videovigilancia, como ha ocurrido el caso de Unicaja, según la resolución de la AEPD. "En estos casos no podemos saber quién está viendo las imágenes, dónde acaban esas imágenes. No podemos controlar nada. Es como si los médicos pudieran ver a través de un solo usuario los historiales clínicos de todos los pacientes", explica el experto.A juicio de Iván González, en empresas del tamaño de un banco como Unicaja debe haber delegados de protección de datos que se encargan de todas estas tareas, por lo cual no puede hacerse responsable de los fallos en el funcionamiento del sistema a la empresa subcontratada para gestionar la videovigilancia de esa entidad.La actuación de la Policía, en cuestiónLa investigación del funcionamiento de la videovigilancia de Unicaja llegó también al Consejo de Transparencia y Buen Gobierno, la autoridad administrativa independiente que garantiza el cumplimiento de la ley y a la que se dirigió Raúl G. al no haber obtenido una respuesta satisfactoria a la demanda que presentó en octubre de 2023 ante la Policía Nacional por presuntas irregularidades en el sistema de vigilancia del banco.En esa denuncia ante la Unidad Territorial de la Policía en Málaga responsable de la autorización y control del funcionamiento de las empresas de seguridad, el exempleado de Grupo Control expuso que en su lugar de trabajo se había vulnerado la Ley de Seguridad Privada, que establece que los dispositivos de videovigilancia únicamente pueden ser manejados por vigilantes de seguridad de empresas autorizadas cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes e impedir accesos no autorizados.PublicidadEl Consejo de Transparencia concluyó que la respuesta que le había dado el Ministerio de Interior sobre la actuación de la Policía tras esa denuncia había sido "genérica y evasiva" y no había abordado el fondo de la solicitud del reclamante, ya que no había proporcionado los documentos solicitados, tales como informes internos, gestiones realizadas o criterios legales aplicados. El pasado mes de marzo, el denunciante, con el apoyo de su sindicato, CGT Andalucía, presentó una demanda contencioso-administrativa ante la Audiencia Nacional contra lo que considera una inejecución de Interior de "un acto administrativo firme y obligatorio", como es una resolución de dicho consejo, una demanda que aún no se ha resuelto."No han contestado al requerimiento del Consejo de Transparencia en relación a unas denuncias graves ante la Policía, que es la que tiene que velar por el buen funcionamiento de la seguridad privada. Al principio, decían que era un tema laboral. Luego ampliamos la denuncia, con pruebas, y tampoco hicieron nada. Parece que el sistema funciona con los débiles, pero no con los de arriba", dice Raúl G.En un escrito que la Unidad Territorial de Seguridad Privada de Málaga le envió tras la resolución del Consejo de Transparencia, la Policía informó al denunciante que aunque en los correos electrónicos que habían aportado la empresa les solicitaba descargas de imágenes relacionadas con hechos presuntamente delictivos, eso no probaría, incluso si lo hubieran hecho finalmente, que llevasen a cabo labores de videovigilancia y, por tanto, que se incurriese en una infracción de intrusismo profesional.