Resumen: Estudio sobre las implicaciones en
materia de Protección de Datos, así como de otras leyes e Instrucciones
específicas (ET, LSP...), de una instalación basada en un sistema de videocámaras.
Obligaciones legales en la fase de diseño del proyecto y en su utilización
ulterior.
Autor del artículo
|
Colaboración
|
|
JOSE
LUIS COLOM PLANAS
|
||
Actualizado
|
3 de julio de 2014
|
|
ÍNDICE
1.
LA IMAGEN COMO DATO PERSONAL. LEGISLACIÓN
APLICABLE
2. MOTIVO PARA RECURRIR A LA VIDEO
VIGILANCIA
2.1. FINALIDADES DE USO
2.2. PROHIBICIONES DE USO
3.
CUMPLIMIENTO DE LA LOPD
3.1. ACTORES QUE PUEDEN INTERVENIR
3.2. ENCARGADO DEL TRATAMIENTO
3.3. PRINCIPIOS DE PROTECCIÓN DE DATOS A
CUMPLIR
3.4. SISTEMAS DE VIDEOVIGILANCIA QUE NO
GRABAN
4.
PRINCIPIO DE CONSENTIMIENTO Y HABILITACIÓN (1)
5.
PRINCIPIO DE PROPORCIONALIDAD
5.1. DOCTRINA
5.2. APLICACIÓN
6.
INFORME DE PROPORCIONALIDAD/ MEMORIA DEL PROYECTO
7.
MODELO DE CONTRATO DE ENCARGADO DEL TRATAMIENTO
8.
EJERCICIO DEL DERECHO DE INFORMACIÓN
8.1. INTRODUCCIÓN
8.2. MODELO DE CARTEL INFORMATIVO
8.3. INFORMACIÓN A DISPOSICIÓN DE LOS
INTERESADOS
9.
EJERCICIO DE LOS DERECHOS ARCO
9.1. DERECHOS ARCO
9.2. EJERCICIO DE LOS DERECHOS DEL
AFECTADO
9.3. SUPUESTOS DE EXCEPCIÓN
10.
PERMANENCIA TEMPORAL DE LAS IMÁGENES CAPTADAS
10.1. CONSERVACIÓN Y CANCELACIÓN
10.2. RESUMEN
11.
VIDEOVIGILANCIA EN EL TRABAJO
11.1. JUSTIFICACIÓN DE LA INEXISTENCIA
DE MEDIDAS MENOS INTRUSIVAS
11.2. ESTATUTO DE LOS TRABAJADORES
11.3. LOS REPRESENTANTES DE LOS
TRABAJADORES
11.4. APLICACIÓN DE LA LOPD
12.
VIDEOVIGILANCIA EN PARKINGS
12.1. INTRODUCCIÓN
12.2. FICHEROS A DECLARAR
12.3. CONTROVERSIA: LA MATRÍCULA COMO
DATO PERSONAL
13.
INSTALACIÓN Y VISIONADO
13.1. LSP (LEY 23/1992 [Derogada] DE
SEGURIDAD PRIVADA)
13.2. SENTENCIA DEL TS, DE 14 DE JUNIO
DE 2005
13.3. OPINION DEL MINISTERIO DEL
INTERIOR
13.4. INFORME MINISTERIO DEL INTERIOR,
DE MARZO DE 2009
13.5. ÓMNIBUS (LEY 25/2009, DE
MODIFICACIÓN DE DIVERSAS LEYES)
13.6. INFORME 0650/2009 DEL GABINETE
JURÍDICO AEPD
13.7. REAL DECRETO 195/2010, DE 26 DE
FEBRERO
13.8. LEY 5/2014, DE 4 DE ABRIL, DE
SEGURIDAD PRIVADA (2)
14.
BIBLIOGRAFÍA CONSULTADA
15.
DERECHOS DE AUTOR
(1,2) = Actualizados tras la aparición de la nueva LSP (4/4/2014)
1. LA IMAGEN COMO DATO
PERSONAL. LEGISLACIÓN APLICABLE
En el ordenamiento jurídico español, se recoge el concepto de
“Dato de Carácter Personal”.
·
El
artículo 3 de la LOPD (Ley Orgánica 15/1999, de 13 de diciembre), de Protección
de Datos de Carácter Personal, en su apartado a) define “Datos de carácter
personal” como:
“Cualquier información concerniente a
personas físicas identificadas o identificables”.
·
El
RLOPD (Real Decreto 1720/2007, de 21 de diciembre), Reglamento de desarrollo de
la LOPD, en su artículo 5f) cita:
“Dato de carácter personal: cualquier
información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier
otro tipo concerniente a personas físicas identificadas o identificables”.
También se pronuncia el Grupo de Autoridades de Protección de
Datos creado por el artículo 29, sobre el “Concepto de Datos Personales” en
relación a la Directiva europea 95/46/CE.
·
Dictamen
4/2007 adoptado el 20 de junio de 2007:
“La Directiva requiere que la información se refiera a
una persona física «identificada o identificable». Ello suscita las siguientes
consideraciones. De modo general, se puede considerar «identificada» a una
persona física cuando, dentro de un grupo de personas, se la «distingue» de
todos los demás miembros del grupo. Por consiguiente, la persona física es
«identificable» cuando, aunque no se la haya identificado todavía, sea posible
hacerlo (que es el significado del sufijo «ble» en identificable)”.
Por consiguiente, se considerará identificable una persona
cuando su identidad pueda determinarse mediante:
·
Captación
·
Grabación
·
Transmisión
·
Conservación
·
Almacenamiento
de imágenes, incluida
su reproducción o emisión en tiempo real o a través del tratamiento que resulte
de los datos personales relacionados con dichas imágenes, con independencia del
tipo de soporte empleado (digital o analógico).
Por lo tanto, al ser la imagen de las personas un dato de
carácter personal, se aplicará la LOPD a la recogida y tratamiento de la citada
imagen mediante el uso de sistemas de video vigilancia.
Al objeto de asegurar un cumplimiento adecuado de la LOPD y
con la intención de resolver las dudas al respecto, las Autoridades de Control del
estado y autonómicas han aprobado instrumentos normativos.
Nos encontramos con las
siguientes instrucciones en orden cronológico:
·
Instrucción
1/2006, de 8 de noviembre, de la AEPD
(Agencia Española de Protección de Datos) sobre el tratamiento de datos
personales con fines de vigilancia a través de sistemas de cámaras o
videocámaras (1).
·
Instrucción
1/2007, de 16 de mayo, de la APDCM (Agencia
de Protección de Datos de la Comunidad de Madrid), sobre el tratamiento de
datos personales a través de sistemas de cámaras o videocámaras en el ámbito de
los Órganos y Administraciones Públicas de la Comunidad de Madrid(2).
NOTA DEL EDITOR. Aunque la APDCM ya ha cesado en sus actividades (2001 –
2012), seguimos referenciando su valioso legado en relación a la Protección de
Datos.
·
Instrucción
1/2009, de 10 de febrero, de la APDCAT
(Autoridad Catalana de Protección de Datos), sobre el tratamiento de datos de
carácter personal mediante cámaras con fines de video vigilancia(3).
Además de los principios de protección de datos regulados por
la LOPD y el RLOPD, debe tenerse en consideración la aplicación de la normativa
sectorial, que establecerá diferentes obligaciones en función del ámbito y los agentes
implicados.
Podemos destacar la siguiente legislación, también en orden cronológico:
·
[Derogada] Ley 23/1992,
de 30 de julio, de seguridad privada (4).
·
[Derogado
en todo lo que se oponga a la nueva Ley de seguridad privada] Real Decreto 2364/1994,
de 9 de diciembre, por el que se aprueba el Reglamento de seguridad privada
(5).
·
Real
Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto
Refundido de la Ley del Estatuto de los Trabajadores (6).
·
Ley
25/2009, de 22 de diciembre (Ley Ómnibus), de modificación de diversas leyes
para su adaptación a la Ley sobre el libre acceso a las actividades de
servicios y su ejercicio (7).
·
Real
Decreto 195/2010, de 26 de febrero, por el que se modifica el Reglamento de seguridad
privada (8).
·
Ley 5/2014, de 4 de abril, de
seguridad privada (11).
2. MOTIVO PARA RECURRIR
A LA VIDEO VIGILANCIA
2.1. FINALIDADES DE USO
En el
ámbito de la empresa privada, podemos distinguir diferentes finalidades para la
utilización de video vigilancia:
·
Seguridad
y comprobación de las instalaciones
§ Protección de personas físicas
§ Protección de edificios e
instalaciones
·
Otros
fines
§ Control de la prestación laboral
§ Control de acceso de vehículos a
zonas delimitadas
§ Monitorización de pacientes (Sanidad)
2.2. PROHIBICIONES DE
USO
Las
Autoridades de Control y la jurisprudencia han delimitado una serie de
supuestos en los que no se puede utilizar video vigilancia, ya que su uso sería
desproporcionado en relación con su finalidad. Entre estas prohibiciones
destacan las siguientes:
·
En
espacios protegidos por el derecho a la intimidad, como pueden ser baños y
aseos.
·
Salas
para cambiarse la ropa en el trabajo.
·
Obtener imágenes de espacios
públicos. No obstante, podrían tomarse imágenes parciales y limitadas de vías
públicas cuando resulte imprescindible para la finalidad de vigilancia que se
pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
·
Interiores de viviendas cercanas.
·
Captación
de imágenes para finalidad de marketing (por ejemplo, en un centro comercial
usar las cámaras para conocer los hábitos de consumo y poder influir en las posibles
ventas de productos).
3. CUMPLIMIENTO DE LA
LOPD
NOTA DEL EDITOR. Aunque éste artículo trate sobre la videovigilancia en la
empresa, si
las videocámaras se instalan con la finalidad de garantizar la seguridad de una
vivienda particular sí deberá cumplirse lo dispuesto en la Instrucción 1/2006,
de 12 de Diciembre de la AEPD y demás de aplicación, concretamente cuando se
trate de espacios comunes en comunidades de propietarios, urbanizaciones
privadas o cuando afecte al personal del servicio doméstico.
3.1.
ACTORES QUE PUEDEN INTERVENIR
·
Empresa que adopta el
sistema: Responsable de fichero (Data
Controller): Cuando una
empresa decide incorporar un sistema de video vigilancia, y su finalidad, debe
cumplir con los principios de protección de datos de carácter personal.
·
Empresa que visiona y
registra las grabaciones por encargo del responsable: Encargado del tratamiento (Data Processor): En el caso de que exista un encargado
de tratamiento, es decir, una empresa de seguridad contratada para vigilar y
custodiar las imágenes, la relación entre responsable y encargado deberá
formalizarse y conllevará también otras obligaciones.
·
Empresa de seguridad
que decide, por delegación, que medios, y con qué finalidad, se implantarán y
gestionarán: Responsable del tratamiento (Data
Controller): Si la
empresa donde se ubica el sistema de videovigilancia delega en una tercera empresa
el diseño, la instalación y la operación del sistema dentro de un marco más
amplio de un proyecto de seguridad, habiendo sido decisión de la tercera
empresa de seguridad privada implementar
el sistema de videovigilancia y los fines del mismo, nos encontramos ante otro
responsable del tratamiento. Téngase en cuenta que en la LO 15/1999, de 13 de
diciembre, conocida como la LOPD, se define en su artículo 3.d): “Responsable
del fichero o tratamiento: persona física o jurídica, de naturaleza pública o
privada, u órgano administrativo, que decida sobre la finalidad, contenido y
uso del tratamiento”. En ese caso, en el cartel de “zona videovigilada” deberá constar la
tercera empresa de seguridad como ante quién ejercer los derechos, si
procede, por parte de los afectados. Debe analizarse con detenimiento cada caso
concreto para poder discernir si nos encontramos ante este supuesto o ante el planteado
en el párrafo anterior.
·
Empresa de
mantenimiento de la instalación: Encargado del
tratamiento (Data Processor): En el caso de ser una empresa distinta de la que vigila y
custodia las imágenes. Siempre que tenga o pueda tener acceso aunque sea
ocasional al visionado, deberá formalizarse mediante el preceptivo contrato de
acceso a datos o cláusula de confidencialidad por prestación de servicio sin
acceso específico a datos.
·
Backup de imágenes en
el CLOUD:
Encargado del tratamiento (Data Processor): Los datos en formato imagen suelen
consumir mucho espacio de almacenamiento en disco pese a utilizar técnicas de
compresión. Si las grabaciones deben conservarse hasta un mes permaneciendo
activas, pero hasta tres años canceladas, no es descabellado pensar en éste
supuesto. El CSP (Cloud Services Provider) que almacenará los datos será
considerado un Encargado del tratamiento. Debe tenerse en cuenta en qué país se
almacenarán las imágenes por si al estar fuera del EEE(Espacio Económico
Europeo) debe contemplarse una TID (Transferencia Internacional de Datos).
3.2. ENCARGADO DEL
TRATAMIENTO
De conformidad con el artículo 12 de la LOPD, el Responsable
podrá contratar los servicios de otra persona física o jurídica, que trate los
datos personales por cuenta de dicho responsable, en calidad de Encargado del
tratamiento. En estos casos, no se considerará comunicación o cesión de datos
el acceso del Encargado del tratamiento a las imágenes cuando dicho acceso sea
necesario para la prestación de su servicio al Responsable del tratamiento.
La realización de tratamientos de datos mediante cámaras o
videocámaras por cuenta de terceros, deberá estar regulada en un contrato que
constará por escrito o en alguna otra forma que permita acreditar su
celebración y contenido, estableciéndose expresamente que el Encargado del
tratamiento únicamente tratará las imágenes conforme a las instrucciones del Responsable
del tratamiento, y que no las aplicará o utilizará con fin distinto al que figure
en dicho contrato, ni las comunicará, ni siquiera para su conservación, a otras
personas.
En el contrato se estipularán, asimismo, las medidas de
seguridad a que se refiere el artículo 9 de la Ley Orgánica 15/1999, de 13 de
diciembre, que el Encargado del tratamiento está obligado a implementar.
3.3. PRINCIPIOS DE PROTECCION DE DATOS A
CUMPLIR
A modo de resumen, estos son los principios de protección de
datos que deben ser cumplidos:
·
Creación
e inscripción del fichero de video vigilancia.
·
Principio
de calidad de los datos personales.
·
Derecho
de información.
·
Derechos
ARCO.
·
Cesiones
de datos de carácter personal.
·
Contrato
del artículo 12 de la LOPD, si existe un Encargado del tratamiento.
·
Medidas
de seguridad.
·
Redactado
/ Actualización del Documento de Seguridad.
3.4. SISTEMAS DE
VIDEOVIGILANCIA QUE NO GRABAN
El artículo
3 de la LOPD define en su letra c) el tratamiento de datos como “aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las
cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias”. La garantía del derecho a la protección de datos,
conferida por la normativa de referencia, requiere que exista una actuación que
constituya un tratamiento de datos personales en el sentido expresado. En otro
caso las mencionadas disposiciones no serán de aplicación. De acuerdo con dicha
definición de tratamiento de datos personales, la captación de imágenes de las
personas constituye un tratamiento de datos personales incluido en el ámbito de
aplicación de la normativa citada.
Para dar
respuesta a la cuestión sobre si este tipo de tratamiento genera o no un
fichero que deba registrarse en el RGPD (Registro General de Protección de
Datos) es preciso recordar lo dispuesto en el artículo 7.2 de la Instrucción
1/2006, donde se establece que: “A estos efectos, no se considerará
fichero el tratamiento consistente exclusivamente en la reproducción o emisión
de imágenes en tiempo real.”
En
consecuencia, podemos afirmar, al amparo de lo dispuesto en los artículos 3 y
7.2 de la Instrucción 1/2006, que la utilización de sistemas de videocámaras
con fines de seguridad, que no graban imágenes, constituyen un tratamiento de datos que obliga a informar del mismo,
pero no genera ningún fichero a registrar en la AEPD.
4. PRINCIPIO DE CONSENTIMIENTO Y HABILITACIÓN
El
consentimiento es la manifestación en la protección de datos personales, de un
importante principio jurídico sobre el que se asienta el derecho a la protección
de datos.
La LOPD precisa
sin embargo, en que supuestos puede prescindirse de ese consentimiento; uno de
esos supuestos es la disposición legal habilitante.
5. PRINCIPIO DE PROPORCIONALIDAD
5.1. DOCTRINA
Ha sido asumida por la doctrina una concepción del principio
de proporcionalidad como examen global de los siguientes aspectos: si la
intervención persigue la protección de un bien; si esa intervención es idónea
para alcanzar tal fin; si además es necesaria; y, por último, si es
proporcional en sentido estricto.
El Tribunal
Constitucional, en su Sentencia 207/1996, determina que cualquier medida
restrictiva de derechos fundamentales, entre ellas las que supongan una
injerencia en los derechos a la integridad física y a la intimidad viene
determinada por la estricta observancia del principio de proporcionalidad.
En concreto, la videovigilancia debe ser una medida adecuada,
pertinente y no excesiva en relación con la finalidad perseguida y que haya
justificado la instalación de cámaras. Además, la proporcionalidad requiere que
esos fines no puedan alcanzarse a través de otros medios, menos intrusivos para
los derechos fundamentales.
Así, La Ley Orgánica 15/1999 contiene entre sus principios
generales, el principio de calidad de los datos, que, ligado al principio de
proporcionalidad de los datos, exige que los mismos sean adecuados a la
finalidad que motiva su recogida.
La recogida y tratamiento de datos de carácter personal debe
efectuarse desde su subordinación a los principios de calidad de los datos y de
proporcionalidad que establece la Ley. No puede obviarse que estamos tratando de un
derecho fundamental.
5.2.
APLICACIÓN
Con carácter previo a la instalación de un sistema de video vigilancia
el responsable del fichero debe analizar si no es posible alcanzar el fin
perseguido con la citada instalación, mediante la adopción de otros medios que
sean menos intrusivos para la protección de datos de carácter personal. Esto
supone aplicar en consecuencia el principio de proporcionalidad.
La proporcionalidad se constituye como un elemento
fundamental en la instalación de los sistemas de video vigilancia, ya que la
vulneración de este principio puede originar situaciones abusivas. No sólo nos
estamos refiriendo a aquellos supuestos en que se han colocado cámaras en lugares
donde no está permitido su uso, como cuartos de baño o vestuarios, sino al
hecho de colocar más cámaras de las necesarias o hacerlo en la vía pública sin
la autorización correspondiente, o incluso cuando se utilizan para otro fin que
no sea el de seguridad o cualquiera de los otros fines posibles.
Además, el principio de proporcionalidad también se aplicará
en el número de cámaras que se vayan a instalar, si son fijas o móviles, y el
zoom que tenga las mismas, de manera que por regla general no habrá que
instalar cámaras en todos los espacios de, por ejemplo, un edificio. Es decir,
las cámaras se deben instalar en aquellos espacios en los que su fin sea estrictamente
necesario.
La INSTRUCCIÓN 1/2006, de 8 de
noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de
vigilancia a través de sistemas de cámaras o videocámaras, cita textualmente:
“Artículo 4. Principios
de calidad, proporcionalidad y finalidad del tratamiento.
1. De conformidad con el artículo 4 de la Ley Orgánica 15/1999
de 13 de diciembre, de Protección de Datos de Carácter Personal, las imágenes
sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación
con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan
justificado la instalación de las cámaras o videocámaras.
2. Sólo se considerará admisible la instalación de cámaras
o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante
otros medios que, sin exigir esfuerzos desproporcionados, resulten menos
intrusivos para la intimidad de las personas y para su derecho a la protección
de datos de carácter personal.
3. Las cámaras y videocámaras instaladas en espacios privados
no podrán obtener imágenes de espacios públicos salvo que resulte
imprescindible para la finalidad de vigilancia que se pretende, o resulte
imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá
evitarse cualquier tratamiento de datos innecesario para la finalidad
perseguida”.
Para valorar este principio de proporcionalidad, algunas
agencias como la ACPD (en su momento también lo hizo la APDCM) exigen con
carácter previo no sólo a la instalación sino a la creación del correspondiente
fichero, que el responsable elabore un informe
o memoria de proporcionalidad.
6.
INFORME / MEMORIA DE PROPORCIONALIDAD
Concretamente la Instrucción 1/2009, de 10 de febrero, de la
ACPD cita textualmente:
Diario Oficial de la
Generalitat de Catalunya Núm. 5322 – 19.2.2009 13265. Disposiciones. (…)
Artículo 10. Memoria
10.1 Con carácter previo a la creación del fichero, o a
la puesta en marcha del sistema de video vigilancia en aquellos casos en que no
se registren las imágenes, se debe elaborar una Memoria, que debe hacer
referencia a los siguientes puntos:
a) Órgano, organismo o entidad responsable: concreción de
la persona responsable del fichero, de las personas operadoras del sistema de
video vigilancia, como también, en su caso, de la persona responsable de la
instalación y de su mantenimiento.
b) Justificación de la legitimidad de la captación y de
los tratamientos posteriores que se prevean: debe hacerse constar si se cuenta
con el consentimiento de los afectados o, si no es el caso, cuál de los
apartados del artículo 6.2 de la Ley orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal, y en su caso otra normativa
aplicable, concurre en el caso concreto, a efectos de legitimar el tratamiento
de las imágenes y voces.
c) Justificación de la finalidad y de la proporcionalidad
del sistema, de acuerdo con lo que establecen los artículos 6 y 7 de la
presente Instrucción.
d) Datos personales tratados: hay que concretar si se
registrará también la voz y si la finalidad conlleva, previsiblemente, la
captación de imágenes que revelen datos personales especialmente protegidos u
otros que exijan un nivel medio o alto de seguridad.
e) Ubicación y campo de visión de las cámaras: debe
hacerse referencia a la ubicación y orientación de las cámaras. En especial,
cuando se trate de cámaras en el exterior, debe hacerse constar si en un radio
de 50 metros hay centros de salud, centros religiosos, de culto o sedes de
partidos políticos o centros educativos donde asistan menores. También debe
hacerse referencia a los espacios que entren dentro del campo de visión de las
cámaras.
f) Definición de las características del sistema. En este
apartado hay que especificar:
· Número total de cámaras que forman el
sistema.
· Condiciones técnicas de las cámaras y
de otros elementos.
· Si las cámaras disponen de ranuras o
conexiones para dispositivos de almacenamiento externo.
· Si las cámaras son fijas o móviles.
· Si se captan imágenes en un plano fijo
o móvil.
· Si se dispone de la posibilidad de
obtener primeros planos en el momento de la captación o una vez registradas las
imágenes.
· Si las imágenes se visionan
directamente o sólo se registran, con acceso limitado a determinados supuestos
previstos en la Memoria.
· Si la captación, y en su caso la
grabación, se hace de manera continuada o discontinua.
· Si las imágenes se transmiten.
· Previsiones relativas a los mecanismos
de identificación y de disociación para atender al ejercicio de los derechos de
acceso, rectificación, cancelación y oposición.
· Cuando se grabe la voz, también hay
que especificar la distancia a la que se puede registrar.
g) Deber de información: hay que incluir una referencia
al número y emplazamiento de los carteles informativos, como también a los
otros medios adicionales de información, con el fin de acreditar el
cumplimiento del deber de información.
h) Periodo por el que se instala el sistema y periodo de
conservación de las imágenes.
i) Medidas previstas para evaluar los resultados del
funcionamiento del sistema y la necesidad de su mantenimiento.
j) Medidas de seguridad: concreción del nivel de
seguridad exigible y descripción de las medidas de seguridad aplicadas.10.2 La información a que se refieren los apartados e) y g) debe ir acompañada de la información gráfica correspondiente.
10.3 En los ficheros de titularidad pública, esta Memoria puede formar parte de la memoria prevista en el procedimiento de elaboración de disposiciones de carácter general.
10.4 La Memoria se debe elaborar también cuando el tratamiento de la imagen, y en su caso de la voz, sea accesorio de otro tratamiento. En este supuesto, hay especificar y justificar esta circunstancia.
10.5 La Memoria debe estar a disposición de los
funcionarios y funcionarias de la Agencia Catalana de Protección de Datos que
ejercen tareas de inspección.
NOTA DEL EDITOR. En su día, la APDCM de conformidad con lo establecido en la
Instrucción 1/2007, estableció que el informe o memoria de proporcionalidad
debería contener un análisis jurídico en el que se evaluara:
·
Juicio de idoneidad: si el tratamiento de datos personales a través de la video
vigilancia constituye una medida susceptible de conseguir el objetivo que se pretende.
·
Juicio de necesidad: si los fines perseguidos pueden alcanzarse o no de una manera
menos intrusiva, teniendo en cuenta la protección de los datos de carácter
personal, debiendo argumentar el responsable del fichero que dicha medida es
necesaria por no existir otra más moderada para la consecución de tal propósito
con la misma eficacia.
·
Juicio de
proporcionalidad: si la medida adoptada
es proporcional resultando equilibrada en atención a la ponderación entre la
finalidad perseguida y el grado de restricción del derecho fundamental a la
protección de datos de carácter personal, con expresa mención a si de la
referida medida derivan más beneficios o ventajas para el interés general que
perjuicios sobre la protección de datos.
Seguramente se basaron en que el TC considera
necesario constatar para la estricta observancia del principio de
proporcionalidad si se cumplen las tres siguientes condiciones: “si tal medida
es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si,
además, es necesaria, en el sentido de que no exista otra medida más moderada
para la consecución de tal propósito con igual eficacia (juicio de necesidad);
y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella
más beneficios o ventajas para el interés general que perjuicios sobre otros
bienes o valores en conflicto (juicio de proporcionalidad en sentido
estricto)”.
7. MODELO DE CONTRATO
DE ENCARGADO DEL TRATAMIENTO
Presentamos
diferentes tipos de cláusulas, que deben adecuarse a la finalidad y tipo de
tratamiento que se vaya a realizar, en relación
a la implantación de video vigilancia, a partir de otra propuesta
rescatada de la APDCM:
El contratista, como Encargado del Tratamiento, tal
y como se define en la letra g) del artículo 3 de ley Orgánica 15/1999, de 13
de diciembre, de Protección de datos de Carácter Personal, declara expresamente
que conoce quedar obligado al cumplimiento de lo dispuesto en la citada LOPD y
especialmente en lo indicado en sus artículos 9, 10, 12 y adoptará las medidas
de seguridad que le correspondan según el Real Decreto 1720/2007, de 21 de
diciembre, Reglamento de desarrollo de la LOPD.
El/los adjudicatario/s se compromete/n a cumplir lo
dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (y, muy especialmente, lo indicado en su artículo 12).
El/los adjudicatario/s se comprometen explícitamente a formar e informar a su
personal en las obligaciones que de tales normas dimanan.
Igualmente, serán de aplicación las disposiciones de
desarrollo de las normas anteriores que se encuentren en vigor a la
adjudicación de este contrato o que puedan estarlo durante su vigencia, y
aquellas normas del Real Decreto 1720/2007, de 21 de diciembre, Reglamento de
desarrollo de la LOPD.
La empresa adjudicataria declara expresamente que
conoce quedar obligada al cumplimiento de lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y,
expresamente, en lo indicado en su artículo 10, en cuanto al deber de secreto. La
empresa adjudicataria se compromete explícitamente a formar e informar a su
personal en las obligaciones que de tales normas dimanan.
La empresa adjudicataria y el personal encargado de
la realización de las tareas guardará secreto profesional sobre todas las
informaciones, documentos y asuntos a los que tenga acceso o conocimiento
durante la vigencia del contrato, estando obligado a no hacer públicos o
enajenar cuantos datos conozcan como consecuencia o con ocasión de su ejecución,
incluso después de finalizar el plazo contractual.
El/los licitador/es aportarán una memoria
descriptiva de las medidas que adoptarán para asegurar la confidencialidad e
integridad de los datos manejados y de la documentación facilitada. Asimismo, el/los
adjudicatario/s deberán comunicar a “el organismo contratante”, antes de
transcurridos siete días de la fecha de comunicación de la adjudicación, la
persona o personas que serán directamente responsables de la puesta en práctica
y de la inspección de dichas medidas de seguridad, adjuntando su perfil
profesional.
Si la empresa adjudicataria aporta equipos
informáticos, una vez finalizadas las tareas el adjudicatario, previamente a
retirar los equipos informáticos, deberá borrar toda la información utilizada o
que se derive de la ejecución del contrato, mediante el procedimiento técnico
adecuado. La destrucción de la documentación de apoyo, si no se considerara
indispensable, se efectuará mediante máquina destructora de papel o cualquier
otro medio que garantice la ilegibilidad, efectuándose esta operación en el lugar
donde se realicen los trabajos.
La documentación se entregará al adjudicatario para
el exclusivo fin de la realización de las tareas objeto de este contrato,
quedando prohibido para el adjudicatario y para el personal encargado de su
realización, su reproducción por cualquier medio y la cesión total o parcial a
cualquier persona física o jurídica. Lo anterior se extiende asimismo al
producto de dichas tareas.
El resultado de las tareas realizadas, así como el
soporte utilizado (papel, fichas, cintas, disquetes, memorias USB, etc.) serán
propiedad de la empresa contratante en calidad de Responsable del Fichero”.
8. EJERCICIO DEL DERECHO
DE INFORMACIÓN
8.1. INTRODUCCIÓN
El
responsable del fichero debe cumplir con el deber de información regulado en el
artículo 5 de la LOPD, puesto que mediante los sistemas de video vigilancia se
recaba y trata el dato de la imagen, que es un dato de carácter personal.
Para dar
efectivo cumplimiento al deber de información, correlativo al derecho de información
de los afectados, los responsables deben colocar en emplazamientos claramente
visibles de las zonas video vigiladas, tantos distintivos como resulten
necesarios para garantizar que en todo momento los afectados conozcan la
presencia de la cámara o videocámara y por consiguiente, del tratamiento de
datos realizados.
La
ubicación concreta de dichos distintivos dependerá en cada caso de la naturaleza
y estructura de las zonas y espacios videovigilados. Para cumplir con el
derecho de información resultará admisible la utilización de un único
distintivo ubicado en un espacio de acceso principal, preferentemente antes de
entrar en la zona video vigilada.
Asimismo,
en el supuesto de edificios divididos en plantas, será suficiente con la
utilización de un único distintivo ubicado en un espacio de acceso principal,
siempre y cuando dicho distintivo cumpla con la información mínima que a
continuación se especifica.
El/los
distintivo/s debe cumplir con los siguientes requisitos:
·
Identidad
del Responsable del Fichero
·
Mención
al ejercicio de los derechos ARCO
·
Finalidad
de la recogida de las imágenes (“Zona videovigilada”)
·
Referencia
a la LOPD
8.2. MODELO DE CARTEL
INFORMATIVO
8.3. INFORMACIÓN A
DISPOSICIÓN DE LOS INTERESADOS
Además de
los carteles informativos, el responsable deberá tener a disposición de los interesados
documentación comprensible ofrecida en cualquier soporte inteligible, en la que
se proporcione la información prevista en el artículo 5.1 de la LOPD.
En
concreto, a través de dicha documentación, deberá informarse a los afectados de
modo expreso, preciso e inequívoco:
·
De
la existencia de un tratamiento de datos de carácter personal realizado por
medio de cámaras o videocámaras.
·
De
la finalidad de la recogida de las imágenes y de los destinatarios de dichas
imágenes.
·
Del
carácter obligatorio o facultativo de la captación y tratamiento de las
imágenes a través de cámaras o videocámaras.
·
De
las consecuencias de la obtención de las imágenes a través de las cámaras o videocámaras
y de las consecuencias de la negativa a su obtención.
·
De
la posibilidad de ejercitar los derechos de acceso, cancelación y oposición.
·
De
la identidad y dirección del Responsable del Tratamiento o, en su caso, de su representante.
9. EJERCICIO DE LOS
DERECHOS ARCO
9.1. DERECHOS ARCO
La LOPD
reconoce como derechos de los afectados, respecto al tratamiento de sus datos
personales, los derechos de “acceso, rectificación, cancelación y oposición”.
Puesto que
la grabación de la imagen es un tratamiento de datos personales, se podrán
ejercitar estos derechos ante el Responsable del tratamiento, salvo el derecho de rectificación, que
lógicamente no cabe su ejercicio en este ámbito.
El Responsable
del tratamiento deberá atender la solicitud de acceso, cancelación u oposición
ejercida por el interesado adoptando las medidas oportunas para garantizar, en todo
caso, la debida disociación de la imagen o, en su caso, de cualquier otro dato
de carácter personal de las terceras personas afectadas por los tratamientos.
A dichos
efectos, el responsable del tratamiento se servirá de los programas y/o herramientas
informáticas adecuadas que, aplicadas sobre los datos de carácter personal de
las terceras personas afectadas, impidan su identificación y la cesión de su
imagen a la persona que realice la solicitud.
9.2. EJERCICIO DE LOS
DERECHOS DEL AFECTADO
9.2.1. Derecho de
Acceso
El afectado tiene en primer lugar el derecho de acceso, el cual requiere
aportar como documentación complementaria una imagen actualizada que permita al
responsable verificar y contrastar su presencia en los registros.
Resulta prácticamente imposible acceder a
imágenes sin que pueda verse comprometida la imagen de un tercero. Por ello,
según indica la AEPD, puede facilitarse el acceso mediante escrito certificado
en el que, con la mayor precisión posible y sin afectar a derechos de terceros,
se especifiquen los datos que han sido objeto de tratamiento.
Si se ejerciese el derecho de acceso ante el
responsable de un sistema que únicamente reproduzca imágenes sin registrarlas
deberá responderse en todo caso indicando la ausencia de imágenes grabadas.
9.2.2.
Derecho de Rectificación
No es posible el ejercicio del derecho de rectificación, ya que por la
naturaleza de los datos —imágenes tomadas de la realidad que reflejan un hecho
objetivo—, se trataría del ejercicio de un derecho de contenido imposible.
9.2.3.
Derecho de Oposición
Tampoco es posible el ejercicio del derecho de oposición, ya que si éste se
interpreta como la imposibilidad de tomar imágenes de un sujeto concreto en el
marco de instalaciones de videovigilancia vinculadas a fines de seguridad
privada no resultaría posible su satisfacción en la medida en la que
prevalecería la protección de la seguridad.
9.2.4.
Derecho de Cancelación
En lo que respecta al derecho de cancelación,
se rige por lo previsto en la LOPD sin especialidad alguna. Todo depende de la
existencia y posibilidades de un software de tratamiento de imágenes.
9.2.5.
Recurso ante denegación del ejercicio de los derechos
Caso de que al afectado se le deniegue el
ejercicio de estos derechos podrá instar la iniciación del procedimiento de
tutela ante la AEPD, a que se refiere el artículo 18 de la LOPD.
9.3. SUPUESTOS DE
EXCEPCIÓN
Pueden
darse una serie de excepciones al ejercicio de estos derechos ArCo:
·
Cuando
se trate de la mera captación de imágenes que se reproduzcan en tiempo real sin
que se incorporen a un fichero de datos de carácter personal.
·
Cuando
el tratamiento de la imagen se encuentre vinculado a los fines policiales recogidos
en el art. 22 de la LOPD.
·
Cuando
el responsable del tratamiento tuviera fundadas dudas en relación con la coincidencia
existente entre las imágenes tratadas y la correspondiente a la persona que ejercite
sus derechos. En dicho supuesto se deberá denegar la solicitud del interesado,
fundamentando la resolución en la carencia de la certidumbre necesaria.
·
Cuando
el sistema de cámaras o videocámaras disponga de herramientas u otros productos
de «software» adecuados para el reconocimiento de imágenes, el responsable del
tratamiento podrá denegar la solicitud del interesado si el porcentaje de
coincidencia entre la imagen aportada en su solicitud y la imagen objeto de
tratamiento no permite asegurar que esta última corresponda al interesado. En
este supuesto deberá ofrecerse al afectado la información relativa al porcentaje
de coincidencia que el sistema de reconocimiento haya facilitado en el procedimiento
de búsqueda.
10.
PERMANENCIA TEMPORAL DE LAS IMÁGENES CAPTADAS
10.1.
CONSERVACIÓN Y CANCELACIÓN
La LOPD
señala que los datos (en este caso, las imágenes) sólo se podrán conservar por
el tiempo imprescindible para la satisfacción de la finalidad para la que se
recabaron, y en todo caso, según la Instrucción
1/2006, de 12 de diciembre, deben ser canceladas en el plazo de un mes
desde su captación:
Artículo 6. Cancelación
“Los datos serán cancelados en el plazo máximo de un mes
desde su captación”.
Tal
cancelación significa su bloqueo, pues así lo establece el artículo 16.3 de la
LOPD. El modo de llevarlo a cabo, tal y como señala la AEPD en su Informe de 5
junio de 2007, es tratando de evitar la posibilidad de acceso a las imágenes
por parte del personal que tuviera habitualmente tal acceso, limitándose el
mismo a una persona con la máxima responsabilidad y en virtud de la existencia
de un requerimiento judicial o administrativo a tal efecto.
En cuanto
al plazo de conservación de las imágenes bloqueadas, la AEPD se ha manifestado
en varias ocasiones al respecto (como por ejemplo, en el Informe 472/2009),
señalando que resulta imposible establecer una enumeración taxativa de los
mismos, debiendo, fundamentalmente, tenerse en cuenta, los plazos de
prescripción de las acciones que pudieran derivarse de la relación jurídica que
vincula al responsable con el interesado, así como los derivados de la
normativa aplicable o el plazo de prescripción de tres años, previsto en el
artículo 47.1 de la LOPD, en relación con las conductas constitutivas de
infracción muy grave. Es decir, para definir el período de bloqueo de los datos
se deberá tener en cuenta el derecho aplicable, en el que se determinará los
criterios de delimitación del mismo. Cuando este plazo no exista, como
entendemos que ocurre en este supuesto, o cuando sea inferior a un año, se
deberán tener en cuenta los plazos de prescripción de las infracciones a la
LOPD que, en el caso de las muy graves es de tres años. Este podía ser el plazo
de mantenimiento de las grabaciones y sus copias de seguridad, en su fase de
bloqueo.
10.2. RESUMEN
Las
imágenes grabadas deben conservarse durante un mes, pasado el cual ese fichero
debe pasar a una fase de bloqueo, guardando todos los soportes afectados en un
lugar restringido en la organización, estando, únicamente, a disposición de
Jueces y Tribunales y de la Administración Pública. Pasados tres años, que
duraría la fase de bloqueo, esos soportes que contienen imágenes (y en su caso
sus copias de seguridad) deberán ser materialmente destruidos o fehacientemente
borrados.
11.
VIDEOVIGILANCIA EN EL TRABAJO
11.1. JUSTIFICACIÓN
DE LA INEXISTENCIA DE MEDIDAS MENOS INTRUSIVAS
Cuando la finalidad del uso de cámaras sea el control de la
prestación laboral, las mismas solo podrán instalarse cuando el Responsable,
con carácter previo a dicha instalación, pueda justificar que no existen
medidas alternativas menos intrusivas con la privacidad e intimidad del
trabajador para conseguir los fines previstos.
Si a juicio del responsable esos medios no existiesen o se
hubiese demostrado su ineficacia, deberá presentar a la Agencia de Protección
de Datos el correspondiente informe / memoria de proporcionalidad para su
instalación. En su petición deberá justificar las razones descritas
anteriormente.
Caso de que la Agencia, una vez estudiado el informe de
proporcionalidad, finalmente autorice al Responsable a instalar las cámaras
para esta finalidad, las obligaciones y ejercicio de los derechos de los
afectados en relación con la protección de datos personales serán las reguladas
por la Ley Orgánica 15/1999, de 13 de diciembre, su Reglamento de desarrollo
así como demás normativa específica que sea de aplicación.
11.2.
ESTATUTO DE LOS TRABAJADORES
En la normativa laboral se establece, en el Artículo 20.3 del
Estatuto de los trabajadores (Real Decreto 1/1995, de 24 de marzo), que “el empresario podrá adoptar las medidas que estime más oportunas de
vigilancia y control para verificar el cumplimiento por el trabajador de sus
obligaciones y deberes laborales, guardando en su adopción y aplicación la
consideración debida a su dignidad humana y teniendo en cuenta la capacidad
real de los trabajadores disminuidos, en su caso”.
Esta facultad de vigilancia y control que la legislación
laboral otorga al empresario, se ve en parte limitada con la obligación de la
emisión de un informe por el Comité de Empresa con carácter previo en lo que
respecta a la “implantación o revisión de sistemas de organización y control
del trabajo”. La normativa exige su comunicación a los
representantes de los trabajadores, en tanto que el artículo 64.1 del Estatuto de los Trabajadores dispone que
el comité de empresa tiene derecho a ser informado y consultado por el
empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, y
en el punto 5 que el comité de empresa tiene derecho a emitir informe, con
carácter previo a la ejecución por parte del empresario de las decisiones
adoptadas por éste, sobre las siguientes cuestiones, entre otras, el apartado
f) se refiere a la implantación y revisión de sistemas de organización y
control del trabajo.
Para plenamente aceptado que la única forma de
videovigilancia justificada es aquella necesaria "para cumplir requisitos
de producción y seguridad laboral", eso sí, siempre que se lleve a cabo
con las garantías necesarias. Entre esas garantías figura obligatoriamente el
deber de advertir a la plantilla (no es suficiente con un cartel con un
símbolo) y de explicar en qué casos las grabaciones serán examinadas por la
dirección de la empresa y en qué circunstancias las imágenes podrán ser
entregadas a las autoridades judiciales.
Recordar
que el Derecho de Oposición por parte del trabajador no es posible ya que el
artículo 20.3 del ET excluye el ejercicio de tal derecho.
Aunque se
base en una concreta situación personal, las videocámaras tienen por objeto
grabar el conjunto del entorno de trabajo y a otros trabajadores. En
definitiva, si se respetan las condiciones previstas por la LOPD, prevalece el
interés del empresario.
11.3. LOS REPRESENTANTES DE LOS TRABAJADORES
Entre otras
funciones, los representantes de los trabajadores tienen atribuidas la del
ejercicio de vigilancia en el cumplimiento de las normas vigentes en materia
laboral, así como el resto de pactos con la empresa, y la de vigilar y
controlar las condiciones de seguridad e higiene en el desarrollo del trabajo,
por expresa habilitación del artículo 64.1-9 del ET.
Los representantes de los trabajadores (comité de
empresa, delegados de personal, sindicales, de prevención, etc.) no son órganos de la empresa, por lo
que la puesta a su disposición de los instrumentos de videovigilancia, o
entrega total o parcial de las imágenes de los trabajadores, constituye una
cesión de datos, sujeta a los requisitos del artículo 11 de la LOPD. Lo cual
implica que es necesario el consentimiento de los trabajadores afectados (es
decir, de todos los que hayan sido captados por las cámaras).
Los
representantes de los trabajadores no son titulares del derecho de acceso a los
datos personales (a las imágenes). Se trata de un derecho personalísimo que
solo puede ejercitar el propio trabajador interesado, salvo que éste haya
otorgado un poder específico para ello, por lo que bien pudiera atribuirse
expresamente dicha posibilidad de ejercicio a un representante de los
trabajadores.
11.4.
APLICACIÓN DE LA LOPD
La instalación de cámaras de vigilancia en los centros de
trabajo es una práctica que se encuentra plenamente sometida a la LOPD y la
Instrucción 1/2006 de la AEPD y por tanto, el responsable debe tener en cuenta
lo siguiente:
·
Conforme
a lo exigido por el artículo 4.2 LOPD, los datos (es decir, las imágenes
grabadas) no podrán ser utilizadas por parte del empresario, para fines
distintos que los propios de vigilancia y control.
·
Deberán
respetar el principio de proporcionalidad, es decir, el empresario podrá
adoptar esta medida cuando no exista otra más idónea para conseguir los fines
perseguidos de vigilancia y control. En este sentido, el Tribunal
Constitucional en Sentencia de 10 de julio de 2000, consideró que la
instalación de videovigilancia con la finalidad de control en determinados puestos
laborales, era conforme al principio de proporcionalidad.
·
Sólo
se deben captar imágenes en los espacios indispensables para satisfacer las
finalidades de control laboral. En este sentido, deben respetarse los derechos
específicos de los trabajadores, como por ejemplo, a la intimidad, en relación
con espacios vetados a la utilización de este tipo de medios como vestuarios,
baños, taquillas o zonas de descanso; o el derecho a la propia imagen de los
trabajadores, además de la vida privada en el entorno laboral no registrando en
particular las conversaciones privadas.
·
Se
debe garantizar el cumplimiento del principio de información en la recogida de
las imágenes, mediante la presencia de carteles informativos y tener a
disposición de los interesados impresos para el ejercicio de los derechos de
acceso y cancelación.
·
Se
recomienda que con el objeto de reforzar el principio de información, además de
la comunicación a la representación sindical, se disponga de información
referente a la existencia de un sistema de videovigilancia en tablones de
anuncios o en la intranet corporativa de la empresa, en el caso de existir.
·
La
empresa debe proceder, en su caso, a la inscripción del fichero de
videovigilancia en el RGPD (Registro General de Protección de Datos); deberá
proceder a cancelar las imágenes en el plazo de un mes, pudiendo conservar
aquellas que registren una infracción o incumplimiento de los deberes
laborales; y deberá, dar cumplida respuesta a los derechos de acceso y
cancelación que potencialmente pudieran solicitar los trabajadores.
·
Se
deberían formalizar, en su caso, contratos de acceso a datos por cuenta de
terceros, por mandato del artículo 12 de la LOPD y 20 y siguientes del RLOPD,
en el supuesto que intervengan empresas de seguridad en el mantenimiento del
sistema, y ello implique un acceso a las imágenes, ya sea este puntual o
continuado.
·
Y
por último, deberán adoptarse las correspondientes medidas de seguridad.
12.
VIDEOVIGILANCIA EN PARKINGS
12.1.
INTRODUCCIÓN
La videovigilancia en parkings y zonas de aparcamiento
presenta una serie de peculiaridades que la hacen merecedora de un apartado
específico en este estudio. La razón es simple: Se entremezclan grabación de
imágenes de personas junto a matrículas
de vehículos. También se dan diferentes tipos de finalidades: Vigilancia
y seguridad de instalaciones y personas, así como control de accesos
(apertura de barreras) y facturación en base a la verificación automática
de la matrícula del vehículo.
12.2.
FICHEROS A DECLARAR
Lo primero que debemos plantearnos es si las matrículas de
vehículos y las imágenes grabadas de personas son datos de naturaleza personal:- Según la AEPD los caracteres que conforman la matrícula de un automóvil son un dato de carácter personal ya que, mediante el “Registro de Vehículos” (Registro General de la DGT), se posibilita el conocer los datos del titular de un vehículo sin requerirse un esfuerzo desproporcionado. [En el apartado siguiente lo analizaremos con más detalle].
- La imagen de las personas grabadas mediante las cámaras de videovigilancia también son datos de naturaleza personal debido a que pueden identificarlas.
En consecuencia deben notificarse ambos tipos de datos aunque
no podemos hacerlo consolidándolos en un mismo fichero, pese a ser ambos de
imágenes, al tratarse de finalidades claramente
diferenciadas.
La existencia de dicho fichero de matrículas deberá
notificarse a la AEPD para su incorporación en el RGPD (Registro General de
Protección de Datos) como fichero de titularidad privada. Deberá especificarse
que su finalidad será la de controlar la correspondencia entre el vehículo
asociado al ticket introducido en el lector de control de la barrera de salida
y el vehículo que efectivamente pretende salir.
Se trata, en consecuencia, una finalidad radicalmente
distinta de la videovigilancia cuyo objetivo es la vigilancia para mejorar la
seguridad de personas e instalaciones.
Al notificar un fichero a la AEPD debe indicarse, entre otras
informaciones, la finalidad del fichero, el tipo de datos, su estructura y la
organización.
Es evidente que la finalidad, el tipo de datos, la estructura
y la organización es diferente en ambos ficheros. En consecuencia deberían
notificarse a la AEPD como dos ficheros diferenciados.
12.3. CONTROVERSIA:
LA MATRÍCULA COMO DATO PERSONAL
Por una parte el Gabinete Jurídico de la AEPD, en su informe 0427/2010,
(12)
concluye lo siguiente:
Es identificable el titular de un vehículo a partir de la aprobación
del Reglamento General de Vehículos, en virtud de Real Decreto 2822/1998, de 23
de diciembre, cuyo artículo segundo establece en su párrafo primero que: “la Jefatura Central de Tráfico llevará un Registro de todos los
vehículos matriculados, que adoptará para su funcionamiento medios informáticos
y en el que figurarán, al menos, los datos que deben ser consignados
obligatoriamente en el permiso o licencia de circulación, así como cuantas
vicisitudes sufran posteriormente aquéllos o su titularidad”.
En cuanto a su finalidad, el párrafo segundo del precepto
previene que: “estará encaminado
preferentemente a la identificación del titular del vehículo, al
conocimiento de las características técnicas del mismo y de su aptitud para
circular, a la comprobación de las inspecciones realizadas, de tener concertado
el seguro obligatorio de automóviles y del cumplimiento de otras obligaciones
legales, a la constatación del Parque de Vehículos y su distribución, y a otros
fines estadísticos”.
Por último, y en lo atinente a la publicidad de sus datos, el
párrafo tercero del citado artículo 2 añade que: “el Registro de Vehículos (...) será
público para los interesados y terceros que tengan interés legítimo y
directo, mediante simples notas informativas o certificaciones”.
En consecuencia, se establece el carácter público del Registro,
bastando para la consulta de sus datos la alegación de la existencia de un
interés legítimo y directo en la consulta.
De lo que se ha venido indicando cabe desprender que la
identificación del titular de los vehículos cuya matrícula sea conocida únicamente
exigirá la consulta del Registro de Vehículos, cuya finalidad esencial es la
identificación del titular, para lo cual únicamente será necesaria la invocación
del interés legítimo del solicitante.
Otro informe de la AEPD, que se pronuncia en el mismo
sentido, es el Informe 425/2006, (13) sobre matrículas de vehículos y concepto
de dato de carácter personal.
No obstante, la SAN
5832/2013 (14)
de la Sección 1ª de la Sala de lo Contencioso, en relación al recurso 89/2012 y
pronunciada el 26 de diciembre de 2013, viene a contradecir el criterio
aplicado hasta ahora por la AEPD en relación a la consideración del número de
matrícula de un vehículo, por sí solo,
como un dato identificativo personal.
Según la Audiencia Nacional: “(…).
De un lado ha de ponerse de manifiesto que si bien esta Sala ha declarado con
reiteración (SSAN 10-2-2011, Rec. 95/2010, entre otras muchas) que las imágenes
captadas por las cámaras son datos de carácter personal, de conformidad con los
artículos 3.a) de la LOPD y 5.1. f) del Real Decreto 1720/2007, y también que
tales imágenes constituyen, en sí mismas consideradas, un tratamiento de datos
con sometimiento, por ende, a las previsiones de la LOPD, ello ha de
entenderse referido siempre a imágenes de personas, y no a imágenes de placas o
números de matrícula cuya caracterización como dato de carácter personal, a
pesar de lo argumentado en la resolución, no se comparte por esta Sala, pues en
definitiva un número o placa de matrícula, si bien identifica un vehículo,
en ningún caso identifica una persona, ya que el conductor del vehículo ni
siquiera tiene porqué ser el titular del mismo, es decir, aquel a cuyo
nombre figura dicho vehículo en la Dirección General de Tráfico. (…)”.
Ante la diferencia manifiesta de criterio entre la AEPD y la
doctrina de la AN, y mientras no exista jurisprudencia que dé más luz al
respecto, aconsejo recordar que la Ley Orgánica 15/1999, de 13 de diciembre, tiene por objeto la protección de un derecho
fundamental de naturaleza jurisprudencial: el derecho a la protección de datos
de carácter personal. Por este motivo, las excepciones y dudas a la
aplicación de dicha normativa deberán ser objeto de interpretación restrictiva,
debiendo prevalecer la interpretación proclive a la protección del derecho
fundamental, conforme establece reiterada jurisprudencia del Tribunal
Constitucional.
NOTA DEL EDITOR. Aunque se citen todas las leyes e informes que afectan a la
videovigilancia cronológicamente, debe considerarse que ciertos artículos de
leyes posteriores modifican o derogan
artículos de leyes anteriores.
13.1. LSP
(LEY 23/1992 DE SEGURIDAD PRIVADA)
La LSP (Ley
23/1992 (4),
de 30 de julio, de Seguridad Privada), dispone que la instalación y gestión
técnica de cámaras de videovigilancia, debe estar respaldada por una empresa de
seguridad de las autorizadas por el Ministerio del Interior.
Dicha ley establece
en su artículo 1.2 que:
“únicamente
pueden realizar actividades de seguridad privada y prestar servicios de esta
naturaleza las empresas de seguridad y el personal de seguridad privada, que
estará integrado por los vigilantes de seguridad, los jefes de seguridad y los
escoltas privados que trabajen en aquéllas, los guardas particulares del campo
y los detectives privados”.
La empresa
de seguridad debe poseer la correspondiente autorización administrativa
mediante su inscripción en un registro del Ministerio del Interior. Además es
preceptivo que el contrato de prestación de servicios de seguridad tenga que
comunicarse al Ministerio del Interior antes de la puesta en marcha de los
dispositivos de grabación.
13.2.
SENTENCIA DEL TS, DE 14 DE JUNIO DE 2005
El Tribunal Supremo dictó la Sentencia, de 14 de junio de
2005 en recurso de casación para
unificación de doctrina. Se venía a establecer que no se infringía la LSP
cuando la conducta consistía en la mera instalación y colocación de cámaras de
videovigilancia. En cambio, las labores
de control, seguimiento y, en definitiva, vigilancia (por ejemplo, visionado de
las imágenes grabadas) debían llevarse a cabo por empresas de seguridad
autorizadas por el Ministerio del Interior.
13.3.
OPINIÓN DEL MINISTERIO DEL INTERIOR
La Secretaría General Técnica del Ministerio del Interior se pronunció
al respecto después de dicha sentencia del TS, manifestando que las imágenes
generadas por las cámaras deberían ser visionadas por personal de seguridad, es
decir, vigilantes de seguridad o bien por el personal de una empresa de
seguridad autorizada para la actividad de centralización de alarmas. Todo ello
en al ámbito de la vigilancia y seguridad privada.
Por lo tanto, parece que en el ámbito de la seguridad privada
nada impedía que fuera un particular el que realizara la instalación de las
cámaras de videovigilancia pero que, de poco le servirá, porque tendría
finalmente que contratar los servicios de una empresa de seguridad para que
realizara las efectivas labores de vigilancia.
En términos de Protección de Datos, sería necesario que, al
menos, existiera un Encargado del Tratamiento que fuera una empresa de
seguridad privada.
Quedan al margen las instalaciones de cámaras conectadas a CRA
(Central Receptora de Alarmas).
13.4. INFORME
MINISTERIO DEL INTERIOR, DE MARZO DE 2009
Ministerio del Interior.
Informe sobre instalación y mantenimiento de cámaras de video-vigilancia. (Marzo de 2009) (10).
En la actividad de instalación y mantenimiento de los
sistemas de seguridad privada definidos en el apartado vigésimo cuarto de la
citada Orden Ministerial de 23 de abril de 1997, se incluyen todas aquellas
actividades técnicas directamente vinculadas a la consecución del efectivo
funcionamiento de los dispositivos. Por el contrario –como es lógico-, las actividades
auxiliares o complementarias necesarias para el acabado total de la instalación
de los sistemas de seguridad, pero no relacionadas directamente con su función
de seguridad (albañilería, carpintería, pintura, etc.), pueden ser directamente
realizadas o subcontratadas con empresas no inscritas en el Registro de
Empresas de Seguridad.
No obstante la vigencia de las consideraciones y
criterios anteriores, el Tribunal Supremo, en Sentencia de 14 de junio de 2005,
dictada en recurso de casación para unificación de doctrina núm. 281/2002, ha
realizado una interpretación de determinados preceptos de la normativa de
seguridad privada en relación con los conceptos “servicios y actividades de
seguridad privada”, diferenciando la prestación de servicios de seguridad
privada de las conductas de mera colocación o instalación de equipos de
seguridad, quedando estas últimas excluidas del tipo infractor previsto en el
artículo 22.1.a) de la Ley 23/1992, de 30 de julio.
Ello implica, desde el
punto de vista técnico-jurídico, que la mera instalación de sistemas de
seguridad no supone la “prestación de un servicio de seguridad” y, por lo tanto, no puede calificarse
como infracción muy grave del artículo 22.1.a) de la Ley 23/1992, de 30 de
julio.
Ello no obstante, y en todo caso, la Sentencia afirma que
las empresas que realizan la instalación de sistemas de seguridad tiene la
obligación de hallarse inscritas en el Registro de Empresas de Seguridad de
este Ministerio.
En consecuencia, cabe considerar que la prestación del
servicio de instalación de aparatos, dispositivos y sistemas de seguridad en
los términos previstos en el artículo 39 y siguientes del Reglamento de
Seguridad Privada (aprobación del material, certificado de instalación,
revisiones, averías, manuales del sistema, etc.) corresponde en exclusiva a las
empresas inscritas en el Registro de Empresas de Seguridad para la actividad de
instalación y mantenimiento de dichos aparatos, dispositivos o sistemas.
Por el contrario, las
actividades o conductas en las que se concreta el hecho físico de la
instalación, no tienen por qué ser necesariamente realizadas por empresas que
estén inscritas en dicho Registro como Empresas de Seguridad.
13.5. ÓMNIBUS (LEY 25/2009 DE MODIFICACIÓN DE DIVERSAS LEYES)
Al entrar en vigor la Ley Ómnibus (Ley 25/2009 (7), de 22 de diciembre, de modificación de diversas leyes
para su adaptación a la Ley sobre el libre acceso a las actividades de
servicios y su ejercicio) modifica, entre otros, el artículo 5.1 de la LSP:
Artículo 5.1. Con sujeción a lo dispuesto
en la presente Ley y en las normas reglamentarias que la desarrollen, las
empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios
y actividades: (…)
e) Instalación y mantenimiento de aparatos,
dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta.
Disposición adicional sexta: Los
prestadores de servicios o las filiales de las empresas de seguridad privada
que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre
que no incluyan la prestación de servicios de conexión con centrales de alarma,
quedan excluidos de la legislación de seguridad privada siempre y cuando
no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin
perjuicio de otras legislaciones específicas que pudieran resultarles de
aplicación.
Entiende la
AEPD que la Ley ómnibus extiende la legitimación a cualquiera para el tratamiento de
datos recogidos mediante cámaras de videovigilancia, sin necesidad del
consentimiento previo. Únicamente se necesitaría la contratación de una empresa
de seguridad para el caso de que la prestación incluya conexión con centrales
de alarma.
13.6. INFORME 0650/2009
GABINETE JURÍDICO AEPD
Respuesta
de la AEPD (9)
a una consulta que plantea, si la entrada en vigor de la Ley 25/2009, de 27 de diciembre,
de modificación de diversas leyes para su adaptación a la Ley sobre el libre
acceso a las actividades de servicios, modifica el criterio hasta ahora mantenido
por la Agencia Española de Protección de Datos, en relación con el tratamiento
de las imágenes a través de sistemas de videovigilancia por razones de
seguridad.
(…)
Podemos extraer las siguientes conclusiones;
Primera;
la Ley permite la instalación y mantenimiento de sistemas de seguridad, por
cualquier prestador de servicios, por lo que se legitima el tratamiento de las
imágenes derivados de estos dispositivos, sin necesidad de obtener el
consentimiento de los interesados, al amparo del artículo 11.2 a) de ley
Orgánica 15/1999 y el artículo 10.2 a) del Reglamento de desarrollo de la misma.
Segunda;
Para la instalación y mantenimiento de los dispositivos de seguridad, no se
exige como regla general, el cumplimiento de los requisitos formales, exigidos
hasta la entrada en vigor de la Ley 25/2009, sino que podrá instalarlos y
mantenerlos cualquier prestador de servicios.
Tercera;
Sólo será necesario que se cumplan los requisitos exigidos tanto en la Ley de
Seguridad Privada como en su Reglamento, y que hasta ahora debían de cumplirse
en todos los casos; esto es, empresa de seguridad debidamente autorizada por el
Ministerio del Interior, previa inscripción en su Registro y notificación del
contrato, cuando el dispositivo de seguridad esté conectado a una central de
alarmas.
Cuarto;
Resulta necesario seguir cumpliendo con todos los requisitos previstos en la
Ley Orgánica 15/1999 y su normativa de desarrollo.
13.7.
REAL DECRETO 195/2010, DE 26 DE FEBRERO
El Real Decreto 195/2010 (8), de 26 de febrero, por el que se modifica
el Reglamento de Seguridad Privada, establece que la CRA (Central Receptora de
Alarmas) tendrá la misma consideración que los lugares donde se centralizan los
sistemas de seguridad y vigilancia de un edificio o establecimiento y que estos
últimos obligatoriamente deberán estar controlados por personal de seguridad
privada, instalaciones que sí o sí, tendrán que estar gestionadas por empresas
de seguridad autorizadas por el Ministerio del Interior y resto de garantías.
Artículo segundo. Modificación
del Reglamento de Seguridad Privada, aprobado por el Real Decreto 2364/1994, de
9 de diciembre.
Uno. El párrafo e) del apartado 1 del
artículo 1 queda redactada del siguiente modo: «e) Instalación y mantenimiento
de aparatos, dispositivos y sistemas de seguridad conectados a centrales de
alarma.»
Dos.
El apartado 1 del artículo 39 queda redactado del siguiente modo: «1.
Únicamente las empresas autorizadas podrán realizar las operaciones de
instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad
electrónica contra robo e intrusión y contra incendios que se conecten a
centrales receptoras de alarmas.
A
efectos de su instalación y mantenimiento, tendrán
la misma consideración que las centrales de alarmas los denominados centros de
control o de video vigilancia,
entendiendo por tales los lugares donde se centralizan los sistemas de
seguridad y vigilancia de un edificio o establecimiento y que obligatoriamente
deban estar controlados por personal de seguridad privada.»
Da la sensación, interpretando éste Real Decreto posterior a
la Ley Ómnibus, que en el ámbito de la seguridad privada nada impide que sea un
particular el que realice la instalación de las cámaras de videovigilancia pero
que, de poco le servirá, porque tendrá finalmente que contratar los servicios
de una empresa de seguridad para que realice las efectivas labores de
vigilancia.
En términos de Protección de Datos, será necesario que, al
menos, exista un Encargado del Tratamiento que sea una empresa de seguridad
privada.
En consecuencia podemos afirmar que la Ley “Omnibus”,
refrendada por el RD 195/2010 de 26 de febrero, ha liberalizado la prestación del servicio ya
que con anterioridad sólo las empresas de seguridad privada, debidamente
acreditadas y cumpliendo con los requisitos exigidos por la normativa, podían
instalar cámaras de videovigilancia. Con la aprobación de la Ley “Omnibus” se
ha modificado la Ley 23/1992, de 30 de julio, de Seguridad Privada, de manera
que los prestadores de servicios o filiales de empresas de seguridad privada
que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad
-siempre que no incluyan la prestación de servicios de conexión con centrales
de alarma- quedan excluidos de la legislación de seguridad privada siempre y
cuando no se dediquen a ninguno de los fines definidos en el artículo 5 de la
citada Ley, sin perjuicio de otras legislaciones específicas que pudieran
resultarles de aplicación.
En consecuencia, la instalación, venta o mantenimiento de
sistemas de video vigilancia puede realizarse por particulares y empresas cuyo
objeto no sea la seguridad privada, a condición de que la instalación no se
conecte con centrales de alarma.
No obstante lo anterior, se deberá cumplir con lo dispuesto
en la normativa de protección de datos y con la Instrucción 1/2006, de 8 de
noviembre, de la AEPD [y en Cataluña también con la Instrucción 1/2009, de 10
de febrero, de la ACPD].
13.8. LEY
5/2014, DE 4 DE ABRIL, DE SEGURIDAD PRIVADA
13.8.1. texto de la Norma
13.8.1. texto de la Norma
En relación a la videovigilancia, el artículo 42 de esta
nueva ley de seguridad privada dispone:
Artículo 42. Servicios de
videovigilancia.
1. Los servicios de videovigilancia consisten en el
ejercicio de la vigilancia a través de sistemas de cámaras o videocámaras,
fijas o móviles, capaces de captar y grabar imágenes y sonidos, incluido
cualquier medio técnico o sistema que permita los mismos tratamientos que
éstas.
Cuando la finalidad de estos servicios sea prevenir
infracciones y evitar daños a las personas o bienes objeto de protección o
impedir accesos no autorizados, serán prestados necesariamente por vigilantes
de seguridad
o, en su caso, por guardas rurales.
No tendrán la consideración de servicio de
videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal
sea la comprobación del estado de instalaciones
o bienes, el control de accesos a aparcamientos y garajes, o las actividades que se desarrollan
desde los centros de control y otros puntos, zonas o áreas de las autopistas de
peaje. Estas funciones podrán realizarse por personal distinto del de
seguridad privada.
2. No se podrán utilizar cámaras o videocámaras con fines
de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos
o de acceso público salvo en los supuestos y en los términos y condiciones
previstos en su normativa específica, previa autorización administrativa por el
órgano competente en cada caso. Su utilización en el interior de los domicilios
requerirá el consentimiento del titular.
3. Las cámaras de videovigilancia que formen parte de
medidas de seguridad obligatorias o de sistemas de recepción, verificación y,
en su caso, respuesta y transmisión de alarmas, no requerirán autorización
administrativa para su instalación, empleo o utilización.
4. Las grabaciones realizadas por los sistemas de
videovigilancia no podrán destinarse a un uso distinto del de su finalidad.
Cuando las mismas se encuentren relacionadas con hechos delictivos o que
afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su
requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes, respetando los
criterios de conservación y custodia de las mismas para su válida aportación
como evidencia o prueba en investigaciones policiales o judiciales.
5. La monitorización, grabación, tratamiento y
registro de imágenes y sonidos por parte de los sistemas de videovigilancia
estará sometida a lo previsto en la normativa en materia de protección de datos
de carácter personal, y especialmente a los principios de proporcionalidad,
idoneidad e intervención mínima.
6. En lo no previsto en la presente ley y en sus normas
de desarrollo, se aplicará lo dispuesto en la normativa sobre videovigilancia
por parte de las Fuerzas y Cuerpos de Seguridad.
Los párrafos segundo y tercero del artículo 1 de ésta ley 5/2014,
de 4 de abril, de seguridad privada, vienen
a dar forma a la liberalización parcial del uso de los sistemas de
videovigilancia tras la entrada en vigor de la Ley 25/2009, de 22 de diciembre,
conocida como “ley Omnibus”. En esa
ley, con excepción de que la instalación de videovigilancia estuviera conectada
a una central de alarma, legitimaba a cualquier empresa o particular su
adquisición e instalación siempre que cumpliera con los requisitos de la demás
normativa aplicable.
Si bien estando en vigor esa ley no se marcaba ningún límite en
lo referente a la finalidad de la instalación, la nueva ley de seguridad
privada distingue entre “comprobación del estado de instalaciones o
bienes” y “prevenir infracciones y evitar daños a las
personas o bienes objeto de protección o impedir accesos no autorizados”,
disponiendo en este último caso que los servicios “serán prestados necesariamente por vigilantes de
seguridad o, en su caso, por guardas rurales”.
El artículo 5 de la nueva Ley de seguridad privada clarifica
en su artículo 5.1 aquellas actividades que se consideran de seguridad
privada. En lo que se refiere a la videovigilancia nos puede interesar:
“a) La vigilancia y protección de bienes,
establecimientos, lugares y eventos, tanto públicos como privados, así
como de las personas que pudieran encontrarse en los mismos.
(…)f) La instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o a centros de control o de videovigilancia.
g) La explotación de centrales para la conexión, recepción, verificación y, en su caso, respuesta y transmisión de las señales de alarma, así como la monitorización de cualesquiera señales de dispositivos auxiliares para la seguridad de personas, de bienes muebles o inmuebles o de cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y Cuerpos de Seguridad competentes en estos casos”.
Por su parte, el artículo 6.1 de la nueva ley de seguridad
privada, sin perjuicio de la normativa específica que pudiera resultar de
aplicación, clarifica las actividades que quedan fuera del ámbito de
aplicación de esta ley:
“(…) b) La fabricación, comercialización, venta o entrega
de equipos técnicos de seguridad electrónica, así como la instalación o
mantenimiento de dichos equipos siempre
que no estén conectados a centrales
de alarma o centros de control o de videovigilancia.
13.8.2. Matices
de la Norma
Si analizamos el artículo 42.1 de la LSP, vemos que distingue
entre una doble casuística:
- Si la videocámara se instala con la FINALIDAD de “evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados”, según dispone la ley 5/2014, de 4 de abril, de seguridad privada, en su artículo 42.1 párrafo segundo, habilita el tratamiento si es “prestado necesariamente por vigilantes de seguridad”.
- Si la videocámara se instala con la FINALIDAD de “comprobación del estado de instalaciones o bienes y (…)” vemos que la misma ley 5/2014 en su artículo 42.1 párrafo tercero dispone que “estas funciones podrán realizarse por personal distinto del de seguridad privada”.
El que la ley 5/2014 (LSP) de momento tenga poco recorrido,
careciendo de informes de la AEPD así como de doctrina y jurisprudencia
reciente, significa que puede costar discernir entre ambos tratamientos
anteriores, estando sujetos a interpretación subjetiva pudiendo llegar a
considerarse que provoca inseguridad jurídica.
Vemos que todo depende de la finalidad del tratamiento
y, por extensión, de cómo se haya declarado el fichero ante el RGPD de la
AEPD.
14.
BIBLIOGRAFÍA CONSULTADA
- (1) AEPD (Agencia Española de Protección de
Datos). Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos
personales con fines de vigilancia a través de sistemas de cámaras o
videocámaras.
INSTRUCCIÓN 1/2006 AEPD
- (2) APDCM (Agencia de Protección de Datos de
la Comunidad de Madrid) Instrucción 1/2007, de 16 de mayo, sobre el tratamiento
de datos personales a través de sistemas de cámaras o videocámaras en el ámbito
de los Órganos y Administraciones Públicas de la Comunidad de Madrid.
INSTRUCCIÓN 1/2007 APDCM
- (3) APDCAT (Autoridad Catalana de Protección de
Datos). Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de
carácter personal mediante cámaras con fines de video vigilancia.
INSTRUCCIÓN 1/2009 APDCAT
- Javier Álvarez
Hernando. GUÍA PRÁCTICA SOBRE PROTECCIÓN DE DATOS. TEMA 6. Páginas 267 a
297. Editorial Lex Nova. Junio 2011.
- Javier Álvarez
Hernando. RÉGIMEN JURÍDICO DE LA VIDEOVIGILANCIA EN ESPAÑA. Blog de Javier
Álvarez Hernando. Enero 2011.
RÉGIMEN JURÍDICO VIDEOVIGILANCIA
- APDCM. GUIA DE
VIDEOVIGILANCIA. COMUNIDAD DE MADRID.
GUIA
DE VIDEOVIGILANCIA
- Juan Carlos Galvañ
Barceló. LOPD Y VIDEOVIGILANCIA: ¿PUEDO INSTALAR CÁMARAS O NO? Blog
ACTUALIDADLOPD.COM. 18 de Diciembre de 2010.
BLOG ACTUALIDADLOPD.COM
- AEPD. GUÍA DE VIDEOVIGILANCIA.
GUIA
VIDEOVIGILANCIA AEPD
- AEPD. CANAL DEL
RESPONSABLE DEL FICHERO. VIDEO VIGILANCIA. DESCARGA DE DOCUMENTOS EN PDF. Página
web.
DESCARGAS
PDF VIDEOVIGILANCIA
- (4) BOE nº 186. Ley [derogada – ver (11)] 23/1992, de 30 de julio, de Seguridad
Privada. 4 de Agosto de 1992. 18489.
RD 2364/1994 RLSP
- (5) BOE nº 8. Real Decreto 2364/1994, de 9 de
diciembre, por el que se aprueba el Reglamento de Seguridad Privada. 10 de
Enero de 1995. 607.
- (6) BOE nº 75. Real Decreto Legislativo
1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del
Estatuto de los Trabajadores. 29 de Marzo de 1995. 7730.
RDL 1/1995 ESTATUTO TRABAJADORES
- (7) BOE nº 308. Ley 25/2009, de 22 de
diciembre (Ley Ómnibus), de modificación de diversas leyes para su adaptación a
la Ley sobre el libre acceso a las actividades de servicios y su ejercicio. 23
de Diciembre de 2009. 20725.
ÓMNIBUS LEY 25/2009
- (8) BOE nº 60. Real Decreto 195/2010, de 26 de febrero, por
el que se modifica el Real Decreto 2364/1994, de 9 de diciembre, por el que se
aprueba el Reglamento de Seguridad Privada, para adaptarlo a las modificaciones
introducidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada, por la
Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su
adaptación a la ley sobre el libre acceso a las actividades de servicios y su
ejercicio. 10 de Marzo de 2010. 3996.
RD 195/2010 MODIFICACIÓN RDLSP
- (9) AEPD. INFORME 0650/2009 DEL GABINETE
JURÍDICO. “La consulta plantea, si la entrada en vigor de la Ley 25/2009, de 27
de diciembre, de modificación de diversas leyes para su adaptación a la Ley
sobre el libre acceso a las actividades de servicios, modifica el criterio
hasta ahora mantenido por la Agencia Española de Protección de Datos, en
relación con el tratamiento de las imágenes a través de sistemas de
videovigilancia por razones de seguridad”. 2009.
INFORME 0650/2009 AEPD
- (10) MINISTERIO DEL INTERIOR. Informe
sobre instalación y mantenimiento de cámaras de video-vigilancia en las vías
públicas. (Marzo de
2009).
- (11) BOE nº 83. “Ley 5/2014, de 4 de abril, de seguridad privada.
- (12) AEPD. “Informe 0427/2010 sobre placas de
matrícula de vehículos”. Gabinete Jurídico.
- (13) AEPD. “Informe 0425/2006 sobre matrículas
de vehículos y concepto de dato de carácter personal”. Gabinete Jurídico.
Informe 425/2006 de la AEPD
Sobre el autor:
Twittear
- (14) SAN 5832/2013. Sección 1ª de la Sala de lo
Contencioso. “En relación al recurso 89/2012 sobre videovigilancia en el
estacionamiento de un centro comercial”. Pronunciada el 26 de diciembre de 2013.
15. DERECHOS
DE AUTOR
Todas las
imágenes bajo licencia 123RF internacional.
El cartel
de zona videovigilada ha sido facilitado por la AEPD.
Se
publican diversas tablas de la anterior APDCM.
La presente obra y su título
están protegidos por el derecho de autor.
Las denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
José Luis Colom Planas Posee
un doble perfil, jurídico y técnico, que le facilita el desempeño profesional
en el ámbito de los diferentes marcos normativos, especialmente del Derecho de
las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en GOVERTIS Advisory Services
cómo Compliance, Management & IT Advisor, incidiendo en Compliance
Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad
y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas
ISO, individuales o integrados, y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado.
También colabora con BSI como
auditor jefe de certificación e impartiendo formación para la obtención de la
certificación de lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Twittear
Hola a todos. Caso real que deseo consultar:
ResponderEliminarLocal arrendado a particular por propietario perteneciente a una Comunidad de Propietarios. Este local linda en todas direcciones con terreno comunitario. El arrendatario ( inquilino ) destina a negocio particular dicho local e instala una camara de videovigilancia que grava imagen y sonido en el exterior del mismo. La camara , instalada en la fachada que pertenece a la comunidad SIN PERMISO "EXPRESO" DE LA COMUNIDAD ( comunicado en dos ocasiones en menos de un año, la orden para que la retire ) en la fachada comunitaria, esta orientada en su mayor parte, a captar imagenes y sonidos del terreno comunitario y parte de acera de uso publico. En ese espacio ( comunitario ) NO HAY INSTALACION ALGUNA del negocio y le esta EXPRESAMENTE PROHIBIDO ACTIVIDAD ALGUNA ( las instalaciones estan de puertas hacia dentro ) a no ser, la puerta de entrada y los focos instalados para dar luz al exterior del mismo, tambien instalados sin permiso sobre fachada comunitaria. La citada camara estuvo entre 4 y 6 mese sin advertir que estaba gravando ( no disponia del cartel preceptivo ) ahora esta , no se desde cuando, registrada en la AEPD. Pregunto :
¿ Es esto legal ?, si no lo es, ¿ podria cualquier comunitario denunciarlo ?, o solo podria hacerlo la Comunidad de Propietarios.
Muchas gracias.
Desde mi punto de vista, lo primero que hay que decir es que debe estudiarse cada caso particular con el nivel de detalle que le corresponde. El no conocer sobradamente los hechos, el entorno, los motivos, etc., es arriesgarse a emitir un juicio equivocado. Por ello mi consejo es que, si estáis la mayoría de copropietarios de acuerdo, consultéis como comunidad de propietarios a un especialista en protección de datos del lugar, que estará en mejores condiciones de apreciar los hechos y circunstancias del caso que planteas.
EliminarNo obstante, puedo intentar darte algunas pautas generales:
1) Los sistemas de videovigilancia cuya finalidad es la “comprobación del estado de instalaciones o bienes”, como supongo se habrá registrado en la AEPD la instalación que me comentas, deben sujetarse al principio de proporcionalidad. En este caso la grabación de sonido adicionalmente a la imagen parece a priori desproporcionado al no aportar valor adicional a la comprobación del estado de las instalaciones. Otra cosa es que la videocámara se hubiera instalado con la finalidad de “evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados”, según dispone la ley 5/2014, de 4 de abril, de seguridad privada, en su artículo 42.1 párrafo segundo, que habilita el tratamiento únicamente si es “prestado necesariamente por vigilantes de seguridad”. En un negocio de escaso volumen, no suele darse. Puede hacerse la consulta de cómo se ha registrado a través del portal de la Agencia: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php
2) El artículo 4.3 de la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de videocámaras dispone: “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”. También aquí el principio de proporcionalidad vela para que la ubicación de las cámaras sea la más idónea, dadas las circunstancias y posibilidades concretas, para ser lo menos intrusiva posible en los derechos de terceros. Quiere decir que mantiene una puerta abierta a la flexibilidad que deberá ser ponderada atendiendo a las peculiaridades de cada caso concreto.
3) El hecho de que las cámaras estuvieran instaladas sin ejercer el deber de informar por parte del responsable del tratamiento (el titular del negocio), es efectivamente una infracción. Debo decirte que si ahora ya se ha subsanado dicha ilegalidad, es una lástima no haber iniciado acciones en ese período en que se disponía de evidencias. Ahora es mucho más difícil, si no imposible, acreditarlo.
4) Cualquier persona puede reclamar la tutela de derechos ante la AEPD si considera que está afectada por el incumplimiento de la LOPD por parte de una empresa o negocio. No hace falta que sea la comunidad de propietarios quien lo solicite. Puede efectuarse siguiendo los pasos que marca la página de la Agencia Española de Protección de Datos. Evidentemente como servicio público es gratuito.
http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/denunciasciudadano/index-ides-idphp.php
otra opción es a través de algún profesional especialista en protección de datos del lugar, que valorará y orientará sobre la conveniencia y, en su caso, la mejor forma de plantear la petición de tutela. Este caso estará, lógicamente, sujeto a unos honorarios profesionales.
Saludos cordiales,
José Luis
Muy interesante subrayar que cuando se trata de caracter persona, el ciudadano puede efercer sus derechos de forma gratuita y no debe en cualquier caso se utilizada esta información sin autorización.
ResponderEliminarMaría Casas
www.reclamatusdatos.com