Responsabilidad de las empresas de seguridad en relación con sistemas de videovigilancia

Cada vez es más habitual la instalación de sistemas de alarma que incluyen la posibilidad de captación y visualización remota de las imágenes por parte de la empresa de seguridad instaladora del sistema de alarma. La captación de imágenes de personas, ya sean simplemente fotografías, ya sean grabaciones de vídeo o incluso la mera visualización, suponen un tratamiento de imágenes (y en caso de almacenamiento, la existencia de un fichero), las cuales son datos de carácer personal y por tanto están sujetas a lo establecido en la normativa sobre protección de datos. 

En estos casos puede no ser sencillo determinar si la empresa de seguridad que instala el sistema y que puede ver las imágenes es la responsable del fichero o tratamiento y por tanto la obligada a cumplir con las obligaciones derivadas de ello, o bien es la persona que ha decidido la instalación la que es responsable, siendo la empresa proveedora un encargado del tratamiento. 

A la vista de varios informes de la Agencia Española de Protección de Datos, podemos llegar a las siguientes conclusiones, que varían en función del caso en el que nos encontremos, puesto que hay diferentes posibilidades:

– Los informes 0209/2009 0360/2009 hablan, respectivamente, de dos situaciones de las que se deriva la misma conclusión: en el primer caso,  «el servicio prestado por una empresa de seguridad consistente en la visualización de imágenes solamente en los momentos en que salta una alarma de un establecimiento», y en el segundo se habla de «empresas de seguridad al instalar los sistemas de seguridad, con acceso remoto a las imágenes de de sus clientes cuando salta la alarma». Es decir, en estos casos el cliente tiene instalado su sistema de grabación y es la empresa de seguridad la que accede a esas grabaciones de forma remota para comprobar lo que ha sucedido. En estos casos, según la AEPD, la empresa de seguridad es Encargada del Tratamiento

– El Informe 0135/2010 se refiere a un «sistema de videovigilancia, en virtud del cual el cliente puede acceder a las imágenes, del lugar donde se encuentran instaladas las cámaras, incluso de las últimas 48 horas», de forma que «el cliente si quiere puede acceder a las imágenes, conectándose por control remoto al servidor de la entidad consultante». Es decir, el sistema de grabación está en los servidores de la empresa de seguridad y el cliente accede a ellos si lo desea. Aquí lo que dice la Agencia es que la responsable es la empresa de seguridad. ¿Y qué posición jurídica ocuparía el cliente? Pues bien, no siendo responsable (y lógicamante tampoco encargado del tratamiento), lo que considera la AEPD es que el cliente es un mero usuario del sistema de información y como tal tiene acceso a las imágenes.