En la era tecnológica en la que nos encontramos, estamos más que acostumbrados a ver cámaras de videovigilancia en distintos tipos de edificios, bien sea en empresas, comunidades de vecinos, locales comerciales, etcétera. Como ya conocemos, la mayoría de los dispositivos de videovigilancia suelen utilizarse con una finalidad que puede ir desde garantizar la seguridad de las personas, los bienes y las instalaciones de la entidad hasta, en caso de ser necesario, para control laboral (contamos con artículo al respecto en este blog).
En el presente artículo nos centraremos en los casos en los que la videovigilancia se utiliza con una finalidad de seguridad y su impacto en materia de protección de datos, os daremos una serie de premisas básicas a tener en cuenta recogidas en la normativa de referencia:
- Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
En primer lugar, el artículo 4 del RGPD define los datos de carácter personal como cualquier información relacionada con una persona física identificada o identificable. Por lo tanto, toda imagen recabada por los sistemas de videovigilancia que permita identificar a una persona será considerada un dato de carácter personal.
En segundo lugar, en aras de cumplir con el principio de responsabilidad proactiva (Art.5.2. RGPD), tratándose de la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, la entidad que cuente con sistemas de videovigilancia deberá de inscribir el tratamiento de datos de carácter personal en su Registro de Actividades del Tratamiento (RAT) como un tratamiento independiente.
En tercer lugar, deberemos de tener en cuenta el principio de limitación de finalidad del tratamiento, siendo los datos de carácter personal que se recaben utilizados solamente para la finalidad que ha motivado la instalación de los sistemas de videovigilancia, siendo en este caso el mantenimiento de la seguridad de las instalaciones.
En cuarto lugar, otro de los principios básicos e ineludibles dentro de la normativa en materia de protección de datos es el principio de información (Arts.13 y 14 RGPD), en base al cual, se ha de informar de diferentes extremos en materia de protección de datos al usuario sobre el que estamos recabando imágenes. ¿Cómo informo en mi entidad a este respecto? La forma más sencilla y común de hacerlo es a través del cartel de videovigilancia, en el cual deberá ser colocado en todas las entradas videovigiladas, de modo que no se produzca el acceso de las personas sujetas a la videovigilancia sin la oportunidad de conocer la existencia de las videocámaras. Según la Agencia Española de Protección de Datos (AEPD) este cartel debe contener como mínimo;
- La existencia del tratamiento (videovigilancia).
- La identidad del responsable del tratamiento o del sistema de videovigilancia, y la dirección del mismo.
- La posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD.
- Dónde obtener más información sobre el tratamiento de los datos personales.
- Asimismo, también se pondrá a disposición de los interesados el resto de la información que debe facilitarse a los afectados en cumplimiento del derecho de información regulado en el RGPD.
Por lo tanto, de nada sirve colgar el cartel informando de que existen cámaras si en este no aparece la información necesaria, previamente referenciada, pues estaríamos incumpliendo la normativa en materia de protección de datos y los criterios de la AEPD a pesar de contar con el cartel informativo.
En quinto lugar, es importante detallar que las imágenes captadas se limitan al espacio privativo del establecimiento en concreto y, en caso de ser necesario, a una franja mínima de vía pública en los accesos al mismo. Así, de acuerdo con el principio de minimización, artículo 5 RPGD, en el ámbito de la videovigilancia, supone que:
- Que el número de cámaras se limite a las necesarias para cumplir la función de vigilancia.
- Que el responsable analice también los requisitos técnicos de las cámaras, ya que el zoom o las denominadas «cámaras domo» pueden afectar y limitar al citado principio de minimización.
A mayor abundamiento, no está permitido grabar terrenos o viviendas colindantes ni otro espacio ajeno. Si se emplean cámaras orientables o con zoom, es necesario instalar máscaras de privacidad, evitando así captar imágenes de la vía pública o espacios de terceros. Además, las cámaras no podrán instalarse en aseos, vestuarios o zonas de descanso de o de trabajadores. Asimismo, los monitores de grabación deben situarse de forma que, en la medida de lo posible, únicamente puedan ser visualizados por aquellos cuya función sea controlar los equipos que realizan las grabaciones, y no estar expuestos al público.
En sexto lugar, en cuanto a la conservación de las imágenes que se graben mediante los sistemas de videovigilancia, hemos de acudir al Art.22.3 LOPDGDD, el cual indica que los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
En séptimo y último lugar, numerosas entidades cuentan con un prestador de servicios que se encarga de gestionar las imágenes que se obtienen a través del sistema de videovigilancia asumiendo la figura del encargado del tratamiento, caso en el que como regla general deberemos de firmar el contrato de acceso a datos por cuenta de terceros, cumpliendo con el Art.28 RGPD.
Pero ¿en todos los casos en los que una entidad cuente con sistemas de videovigilancia es necesario firmar un contrato de encargo del tratamiento?
Para dar respuesta a esta pregunta es necesario analizar uno de los informes del Gabinete Jurídico de la AEPD al respecto:
El informe se desprende de una consulta planteada sobre si las empresas de seguridad al instalar los sistemas de seguridad, con acceso remoto a las imágenes de sus clientes cuando salta la alarma, requiere formalizar un contrato de encargado del tratamiento en los términos del artículo 28 del RGPD:
“El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a)tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
b)garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
c)tomará todas las medidas necesarias de conformidad con el artículo 32;
d)respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.”
En lo relativo a la firma del contrato por parte de las empresas de seguridad deberemos distinguir dos escenarios, según la práctica que realicen:
- Instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin acceso a las imágenes: En este caso se entiende que la empresa prestadora de servicios no asume la posición de encargado del tratamiento y por tanto no se ha de firmar el contrato de acceso a datos por cuenta de terceros, pues no se tiene acceso a las imágenes. Sera por tanto la entidad que cuenta con los sistemas de videovigilancia la que se encargara de tomar todas las medidas necesarias de conformidad con el artículo 32 RGPD.
- Instalación y/o mantenimiento de los equipos y sistemas de videovigilancia con utilización de los equipos o acceso a las imágenes: Solamente en este caso es cuando la empresa prestadora de servicios ha de firmar el contrato de acceso a datos por cuenta de terceros, en virtud del artículo 28 RGPD, lo cual deriva del acceso a las imágenes del sistema de videovigilancia. A este respecto es muy importante que el encargado del tratamiento cumpla con sus obligaciones, como podemos ver desglosado en uno de nuestros artículos del blog.
Por lo tanto, como podemos comprobar de la lectura del informe se desprende la obligatoriedad de firma del contrato de acceso a datos por cuenta de terceros para los casos en los que la empresa contratada para la prestación de instalación y/o mantenimiento tiene acceso a las imágenes, incluso cuando el acceso a estas solamente se produzca cuando salta la alarma. Una vez delimitada esta casuística, dicho contrato, en virtud del artículo 28 RGPD, ha de un contenido mínimo:
- Las instrucciones del responsable del tratamiento.
- El deber de confidencialidad.
- Las medidas de seguridad.
- El régimen de la subcontratación.
- La forma en que el encargado asistirá al responsable en el cumplimiento de responder el ejercicio de los derechos de los afectados.
- La colaboración en el cumplimiento de las obligaciones del responsable.
- El destino de los datos al finalizar la prestación
No obstante, una apreciación importante es que sí el servicio está instalado en el domicilio particular de una persona, y sólo se acceda a las imágenes cuando salte el dispositivo de la alarma, en este caso, no se considera al particular responsable del tratamiento, pues la instalación del sistema en su domicilio excluye la aplicación del RGPD al tratarse de un ámbito personal y doméstico, por expreso mandato de su artículo 2.2.c).
En resumen, si queremos instalar un sistema de videovigilancia en nuestra entidad, deberemos de cumplir todas las premisas que hemos ido desglosando a lo largo del presente artículo, pues el hecho de no hacerlo puede conllevar una reclamación por parte de algún interesado (bien sea usuario, empleado, etcétera) y una posterior sanción por parte de nuestra autoridad de control (AEPD). Para saber más sobre el tratamiento de videovigilancia la AEPD dispone de un apartado de FAQS donde resuelve cuestiones sobre este tratamiento.
