La Agencia Española de Protección de Datos ha impuesto una sanción de 400.000 euros a Unicaja por graves deficiencias en la gestión de su sistema de videovigilancia. El organismo concluyó que la entidad bancaria permitió que varios empleados accedieran a imágenes sensibles utilizando un único usuario genérico y una misma contraseña, impidiendo identificar quién consultaba las grabaciones en cada momento.
La investigación reveló que once trabajadores de la empresa de seguridad encargada de la central receptora de alarmas compartían las mismas credenciales de acceso al sistema de cámaras. Esta práctica eliminaba cualquier posibilidad de trazabilidad individual, una medida considerada esencial por el Reglamento General de Protección de Datos (RGPD) para garantizar la seguridad y el control sobre el tratamiento de información sensible.
Resolución de la AEPD
Según la resolución de la AEPD, el uso de cuentas compartidas vulnera el artículo 32 del RGPD, que obliga a aplicar medidas técnicas y organizativas adecuadas para proteger los datos personales. En este caso, la ausencia de registros individualizados impedía determinar qué empleado había accedido a determinadas imágenes, cuándo lo hizo y con qué finalidad.
El banco alegó que la gestión del sistema había sido externalizada a una empresa de seguridad privada, intentando trasladar la responsabilidad del tratamiento de los datos. Sin embargo, la AEPD recordó que delegar un servicio no exime a la entidad titular de garantizar el cumplimiento de la normativa. La autoridad considera que el responsable final del tratamiento sigue siendo la entidad bancaria, que debe supervisar y verificar de forma efectiva las medidas implantadas por sus proveedores.
La sanción inicial ascendía a 500.000 euros, aunque finalmente quedó reducida a 400.000 tras el reconocimiento de responsabilidad y el pago voluntario por parte de Unicaja.
Un nuevo aviso sobre la videovigilancia y la protección de datos
El caso vuelve a poner el foco sobre los riesgos asociados a los sistemas de videovigilancia y el tratamiento de imágenes personales. La AEPD lleva años sancionando prácticas irregulares relacionadas con cámaras de seguridad, desde grabaciones indebidas en espacios públicos hasta el uso de sistemas biométricos sin garantías suficientes.
Especialmente relevante es la insistencia del organismo en que las empresas no solo deben contar con protocolos escritos, sino demostrar que realmente se aplican en la práctica. La resolución contra Unicaja subraya precisamente esa diferencia entre disponer de medidas teóricas y garantizar controles efectivos sobre el acceso a información sensible.
La decisión de la AEPD refuerza además la importancia de la trazabilidad en cualquier sistema que maneje datos personales. El uso de usuarios genéricos o contraseñas compartidas sigue siendo una de las prácticas más cuestionadas por los expertos en ciberseguridad y protección de datos, especialmente en sectores críticos como el financiero.
¿Tu empresa cumple realmente con la normativa de protección de datos?
Casos como la sanción impuesta a Unicaja demuestran que un pequeño fallo en la gestión de accesos puede acabar convirtiéndose en una multa de cientos de miles de euros. La protección de datos ya no es solo una obligación legal: es una cuestión de seguridad, reputación y confianza.
En FORLOPD ayudamos a empresas y negocios a adaptar sus sistemas y procesos al RGPD y a la normativa española de protección de datos. Desde auditorías de seguridad y revisión de sistemas de videovigilancia hasta protocolos de acceso, gestión documental y formación del personal, nuestro equipo trabaja para minimizar riesgos y garantizar el cumplimiento normativo.
No esperes a recibir una inspección o una sanción para actuar. Revisar hoy tus medidas de seguridad puede evitar graves consecuencias mañana.
Escríbenos y protege tu empresa con soluciones reales y adaptadas a tu actividad.
