Protección de Datos y Videovigilancia. Doctrina de la AEPD. “El caso del supermercado”

Seguramente te hayas hecho eco de una noticia relacionada con la publicación, en diferentes medios de comunicación, de ciertas imágenes recogidas por el sistema de videovigilancia, instalado en un establecimiento comercial de una conocida cadena de supermercados, donde se mostraba a una persona que ostentaba un importante cargo político en nuestro país junto a un vigilante de seguridad tras, presuntamente, sustraer varios artículos del establecimiento.

Los hechos a los que nos referimos se produjeron el 4 de mayo de 2011, y las imágenes se publicaron en los medios de comunicación el 25 de abril de 2018,  a partir de ese momento la Agencia Española de Protección de Datos (AEPD) decide iniciar de oficio actuaciones de investigación e inspección.

Un año y medio después, la AEPD ha resuelto (ver Resolución R/00423/2019) eso sí, conforme a la ya derogada Ley 15/1999 de Protección de Datos (LOPD 15/1999) por estar ésta aún en vigor en el momento de apertura de las investigaciones, y en base a los siguientes puntos que vamos a analizar. No obstante, el criterio doctrinal adoptado es plenamente aplicable con la normativa actual y vigente, esto es, el Reglamento General Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD 3/2018).

  1. ACCESO A LAS IMÁGENES POR PARTE DE LA EMPRESA DE SEGURIDAD

Tanto el artículo 12.2 de la LOPD 15/1999 como el actual artículo 33.2 de la actual LOPDGDD 3/2018 y el artículo 28.3 del RGPD exigen que la realización de un tratamiento de datos por parte de un tercero se debe regular en un contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable. Asimismo, el contrato debe establecer el objeto, la duración, la naturaleza, la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

En el caso objeto de análisis, existían dos contratos de prestación del servicio de vigilancia con dos empresas diferentes, pero en ningún momento ni anterior ni posterior se celebró con el prestador del servicio de vigilancia, ningún contrato de acceso a datos por cuenta de terceros que se ajustara a los extremos del artículo 12 de la LOPD 15/1999 en materia de videovigilancia.

Además, se ha llegado a acreditar que ni existen procedimientos de actuación y manejo de datos resultantes del acceso por parte de las empresas al sistema de videovigilancia; ni los empleados eran conocedores ni habían sido específicamente informados de sus obligaciones al respecto.

Consecuentemente, la cadena de supermercados es responsable del tratamiento de los datos de videovigilancia y carece de interés legítimo para ceder dichos datos a los vigilantes del establecimiento para que éstos accedan a las imágenes o gestionen el sistema.

En la normativa vigente y actual, es el artículo 6.1 del Reglamento General Europeo de Protección de Datos (RGPD), el que contempla las bases legitimadoras del tratamiento con relación a la licitud del mismo y, entre otras, se contempla la ejecución de un contrato o precontrato en el que el interesado sea parte.

En base a tal consideración, se podría entender que, al existir varios contratos mercantiles entre las partes, el tratamiento está legitimado. Ahora bien, relacionándolo con lo anterior y amparándonos en el criterio adoptado por parte de la AEPD, es la no existencia de un contrato de acceso a datos de carácter personal, la que hace que el tratamiento no sea ni legítimo ni, por tanto, lícito.

  1. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

El artículo 9 de la LOPD 15/1999 hacía referencia al principio de seguridad de los datos imponiendo la obligación al responsable del tratamiento y, en su caso, al encargado, de adoptar las medidas de índole técnica y organizativa para evitar, entre otros aspectos, el acceso no autorizado por parte de terceros.

En la misma línea, el artículo 28 de la actual LOPDGDD establece que los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del RGPD, tienen que determinar las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme a la legislación vigente y actual.

Una de las medidas de seguridad que establecía la anterior normativa era la obligatoriedad de elaborar un documento de seguridad que recogía las ya mencionadas medidas en relación con la normativa de seguridad, siendo de obligado cumplimiento para el personal con acceso a los sistemas de información. Pues bien, en la inspección realizada al centro comercial, la cadena de supermercados ha acreditado no disponer de documento alguno que protocolice el tratamiento de videovigilancia. Además, no se ha informado al personal de sus funciones y responsabilidades, y ni tan siquiera tenían definidos los perfiles de acceso.

Durante la inspección, también se verificó que el acceso al espacio de control de seguridad donde se hallan los grabadores y monitores era accesible a cualquier persona y que, además, una vez sobrepasada la puerta y ya dentro de la zona de acceso restringido, todos los cuartos incluido el centro de control donde se encontraban ubicados los monitores y sistemas de grabación, se encontraba con las puertas abiertas y sin ninguna medida de control de acceso físico, siendo posible acceder con facilidad a los sistemas de monitorización.

Por otra parte, los inspectores pudieron comprobar que sobre uno de los monitores se encontraba pegado un pos-it cuyo contenido era el nombre de usuario y la contraseña del administrador para acceder al software de gestión de las grabaciones.

La AEPD apunta en la resolución que, si bien es cierto que con la entrada en vigor con plenos efectos del RGPD, el esquema de medidas de seguridad que preveía el Reglamento de desarrollo de la LOPD (RLOPD) deja de ser válido, en algunos supuestos se podrán seguir aplicando estas mismas medidas si del análisis de riesgos previo se concluye que las medidas son las más adecuadas. Por el contrario, habrá casos en los que sea necesario reforzarlas con medidas adicionales.

En este sentido, la AEPD ha considerado que la cadena de supermercados no había adoptado las debidas medidas de seguridad apropiadas para garantizar el nivel de seguridad adecuado y, por ende, se había vulnerado lo dispuesto en el ya mencionado artículo 9.

  1. EL CONTENIDO DE LAS IMÁGENES

El artículo 4.1 de la LOPD 15/1999 indicaba que los datos sólo se podían recoger para su tratamiento, cuando no fueran “adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. La LOPDGDD 3/2018 por su parte, considera también en el artículo 4 que los datos tienen que ser exactos y, en caso de ser necesario, actualizados.

Además, en virtud de la Instrucción 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, los datos debían haber sido cancelados en el plazo máximo de un mes desde su captación.

En la actualidad el tratamiento de las imágenes con fines de videovigilancia se regula en el artículo 22.3 de la LOPDGDD 3/2018 por el cual se establece el plazo máximo de un mes desde la captación de las imágenes para suprimir las imágenes.

Ahora bien, este artículo añade una excepción: “salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalacionesEn tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación”.

En la misma inspección a la que nos venimos refiriendo, se pudo apreciar que en el centro de control se exhibían en una pared numerosas fotografías de personas sospechosas de cometer ilícitos, algunas de las cuales datan del año 2005, e incluso contenían anotaciones y datos sobre las mismas. De hecho, en una de estas fotografías aparece una persona con su huella dactilar.

La mayoría de estas fotografías procedían de grabaciones del sistema de videovigilancia y normalmente llegaban porque eran enviadas por la Policía, otros centros comerciales e incluso de otros operadores, vía email.

Dicho todo esto, hubiera sido muy interesante que la AEPD hubiera introducido determinadas cuestiones respecto al plazo de conservación de las imágenes

Sin embargo, sí que entra a analizar el hecho de que, los datos personales relacionados con la investigación de hurtos puedan ser recogidos y tratados por las Fuerzas y Cuerpos de Seguridad del Estado que, con ciertos requisitos, y entre otras, tienen atribuida dicha función, pasando a integrarse en ficheros policiales. Ahora bien, sobre dichos datos no se contempla su cesión o uso por parte de una entidad privada.

Asimismo, considera que las imágenes del autor de un hurto, no deben ser objeto de recopilación, almacenamiento o listado para por ejemplo evitar que accedan al establecimiento público ya que no existe habilitación legal alguna para hacerlo.

En este caso, la AEPD considera que la cadena de supermercados ha cometido una infracción del ya mencionado artículo 4.1 por disponer de una recopilación de fotografías, con el fin de ser expuestas para su visionado habitual, de personas sospechosas de hurto y siendo la más antigua del año 2005.

Por todo lo expuesto anteriormente, la AEPD resuelve imponiendo a la cadena de supermercados una multa de 150.000 euros por infringir los artículos 9 y 4.1 de la LOPD 15/1999, tipificadas en la misma como graves.

Con ello ponemos de relieve una vez más, la importancia de que las entidades adopten en virtud de una responsabilidad proactiva, cuantas medidas técnicas y organizativas garanticen y acrediten que actúan de forma segura conforme a la normativa de protección de datos de carácter personal.