La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente con 2.000 euros a una comunidad de propietarios por un sistema de recogida de paquetes que obligaba a los vecinos a hacerse una fotografía cada vez que retiraban un envío.
Este caso se ha convertido en un ejemplo claro de cómo una medida aparentemente inocente puede vulnerar la normativa de protección de datos, en concreto el principio de minimización del RGPD: solo deben tratarse los datos personales estrictamente necesarios para la finalidad perseguida.
El sistema: una foto por cada paquete
Una urbanización Residencial. implantó en 2021 un nuevo método para identificar a los vecinos que recogían paquetes:
Una cámara colocada sobre un trípode, conectada a un ordenador, que hacía y almacenaba una fotografía del residente cada vez que retiraba un envío.
Este sistema sustituyó al método tradicional de anotación manual (nombre y firma), sin facilitar ningún tipo de información previa sobre el tratamiento de datos personales a los vecinos afectados.
Las reclamaciones: falta de información y ausencia de base jurídica
En 2022, dos residentes acudieron a la AEPD denunciando que:
- No se les había informado correctamente sobre el uso de sus imágenes.
- La comunidad no atendió adecuadamente su solicitud de ejercer derechos.
- No existía una base jurídica válida para un tratamiento tan intrusivo.
La defensa de la comunidad: seguridad y consentimiento
La comunidad intentó justificar el sistema argumentando:
- Interés legítimo, alegando seguridad y trazabilidad.
- Reducción de conflictos entre vecinos por paquetes perdidos.
- Existencia de un supuesto “consentimiento expreso”.
- Que la captación era puntual y no implicaba grabación continua.
Además, afirmaron haber evaluado alternativas, concluyendo que fotografiar a los vecinos era la opción más adecuada.
La decisión de la AEPD: medida desproporcionada y vulneración del RGPD
Tras analizar el caso, la AEPD fue rotunda:
El sistema era desproporcionado
Existían alternativas menos invasivas, como la simple firma manuscrita utilizada previamente. Hacer fotografías no era necesario para cumplir la finalidad.
El interés legítimo no está bien justificado
La comunidad no acreditó que la captura de imágenes fuera imprescindible.
Se vulneró el principio de minimización
El RGPD exige que solo se recojan los datos estrictamente necesarios. Capturar la imagen de una persona para entregar un paquete excede claramente ese umbral.
Por todo ello, la AEPD impuso una sanción de 2.000 euros y ordenó la eliminación del sistema.
Además, advirtió a la comunidad de que no cumplir la orden podría derivar en nuevas infracciones.
Conclusión: no todo vale en nombre de la seguridad
Las medidas de seguridad deben ser proporcionadas y respetar siempre los principios del RGPD.
Hacer fotos o vídeos a los vecinos para recoger un paquete no solo es invasivo, sino que es innecesario y contrario a la normativa.
Si eres empresa, comunidad o profesional y necesitas mejorar tus procesos, lo ideal es evaluar los riesgos, escoger alternativas menos intrusivas y cumplir con los principios del RGPD, especialmente el de minimización.