Multan con 100.000 euros a un histórico gran almacén parisino por esconder cámaras en detectores de humo

La Comisión Nacional de la Informática y las Libertades (Cnil) ha impuesto una multa de 100.000 euros al histórico gran almacén parisino La Samaritaine tras descubrir la instalación de cámaras ocultas en sus áreas de almacenamiento, una medida que vulnera varias disposiciones del Reglamento General de Protección de Datos (RGPD) francesa.

El organismo francés comunicó la sanción el 23 de septiembre de 2025, detallando que la decisión se tomó el 18 de ese mismo mes. La investigación se inició después de que empleados de La Samaritaine detectaran, en agosto de 2023, la presencia de dispositivos de videovigilancia camuflados como detectores de humo en dos de las reservas del establecimiento.

Estos aparatos, además de grabar imágenes, también captaban sonido. La dirección justificó su instalación por el “aumento de robos de mercancía” en esas zonas. Sin embargo, tras el hallazgo por parte del personal, las cámaras fueron retiradas al mes siguiente, en septiembre de 2023.

La situación cobró notoriedad pública cuando, el 25 de noviembre de ese mismo año, el medio Médiapart publicó un artículo sobre el caso. Poco después, la Cnil recibió una denuncia formal relacionada con los mismos hechos y procedió a realizar una inspección en los días siguientes.

Solo pueden instalarse en situaciones excepcionales

En su comunicado, la Cnil recordó que la legislación permite a los empleadores instalar cámaras ocultas únicamente en circunstancias excepcionales, siempre que exista un equilibrio entre la protección de bienes y personas y el respeto a la privacidad de los trabajadores.

El organismo subrayó que, para ser proporcional, un sistema de este tipo debe ser temporal y estar respaldado por un análisis documentado que demuestre su compatibilidad con el RGPD y las circunstancias excepcionales que lo motivan.

El expediente sancionador identificó varios incumplimientos. Entre ellos, la falta de tratamiento leal de los datos y la vulneración del principio de responsabilidad, conforme a los artículos 5-1-a) y 5-2 del RGPD. Además, se constató que la recogida de datos no fue adecuada, pertinente ni limitada a lo necesario, en contravención del artículo 5-1-c) del reglamento. Finalmente, la empresa no involucró al delegado de protección de datos en las cuestiones relativas al tratamiento de datos personales, como exige el artículo 38-1 del RGPD.

La Cnil ha insistido en que la protección de la privacidad de los empleados debe prevalecer incluso ante el legítimo interés de las empresas en resguardar sus bienes, y que cualquier medida de vigilancia debe ajustarse estrictamente a la normativa vigente.