El uso inadecuado y excesivo de las imágenes captadas por cámaras de videovigilancia se ha configurado como uno de los ámbitos con mayor número de denuncias y sanciones en materia de protección de datos. En concreto, este pasado 2011, se ha posicionado en segundo puesto de denuncias interpuesta e investigaciones abiertas llevadas a cabo por el cuerpo de Inspectores de la Agencia Española de Protección de datos (AEPD), con un total de 871 instancias, y solo por detrás de las denuncias interpuestas contra el sector de las Telecomunicaciones.
Es cada vez más generalizado conocer alguna gran empresa que ha sido sancionada por estos motivos. Recientemente, por ejemplo, la multinacional IKEA recibió una sanción de 40.001€ por no informar adecuadamente a los transeúntes de la colocación de las cámaras de videovigilancia de la tienda situada en un centro comercial de A Coruña.
Dicho incremento de denuncias junto con la reacción sancionadora de la AEPD debe interpretarse de una manera positiva, como un afianzamiento de la confianza del ciudadano depositada en la Agencia como garante de algo tan vulnerable como la captación de imágenes, propias y de sus allegados.
Aunque, si bien es cierto que la persona física, el ciudadano de a pie, está mejor informado sobre el procedimiento a seguir en aquellos casos en los que siente que su privacidad ha sido violada y es cada vez más frecuente que acuda a la AEPD como la institución que puede interceder por sus derechos, también es cierto que muchos empresarios que son, precisamente, quienes utilizan como instrumento de seguridad la instalación de cámaras de videovigilancia desconocen las obligaciones inherentes a la colocación de dichos medios de registro de imágenes. Es por ello que creemos de vital importancia que cualquier empresario que esté barajando la posibilidad de utilizar la videovigilancia esté bien asesorado al respecto, a fin de evitar posibles denuncias y duras sanciones. Que se sancione, únicamente, al que incumple conociendo la legislación, pero no al que ha infringido una obligación por falta de conocimiento.
Debemos empezar analizando algunos aspectos básicos de esta obtención de imágenes y el tratamiento de las mismas que, como verán, queda incluido en la normativa de protección de datos de la misma forma que el resto de información referida a una persona, es más, gozando incluso de regulación específica.
Es la propia Ley Orgánica 15/99, de Protección de Datos de carácter personal (LOPD) que indica en su artículo 3 e) que las imágenes se consideran un dato de carácter personal, así mismo, si atendemos a la definición que nos da la LOPD de dato de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables” sin hacer referencia al soporte o formato, es fácil entender que ante una imagen en movimiento, en muchas ocasiones con voz, estamos ante información sensible de carácter personal. Por su especial característica, el tratamiento de las imágenes obtenidas por videovigilancia se ha desarrollado, de manera separada, en la Instrucción 1/2006 de 8 de Noviembre, de la AEPD, sobre videovigilancia.
Lo más importante que como Responsables del Fichero deben plantearse las empresas que van a instalar cámaras con esta finalidad de seguridad es la ponderación de los bienes jurídicos protegidos. Es decir, toda instalación deberá respetar el principio de proporcionalidad, lo que supone, siempre que resulte posible, adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. En consecuencia, el uso de cámaras o videocámaras debe ser proporcional al fin perseguido, que en todo caso deberá ser legítimo y responder, únicamente, a una finalidad de seguridad de la empresa hacia terceros, así como debe dar cumplimiento al resto de requerimientos legales.
Para que queden más claras las obligaciones derivadas de la colocación y uso de cámaras de videovigilancia con fines de seguridad, si Ud. tiene intención de utilizar este sistema de seguridad en los locales de su empresa, le aconsejamos seguir las siguientes pautas:
- Con carácter previo a su creación, el Responsable del Fichero, al igual que como hace ante el resto de ficheros (personal, clientes, CV’s, etc.) deberá notificar el Fichero de Videovigilancia a la AEPD, para su inscripción en el Registro General de la misma.
- Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de LOPD, pero dada la dificultad de insertar los clausulados que son comunes en estos casos, la normativa resuelve que se deberán colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos a los que se refieren los artículos 15 y siguientes de la LOPD. Este modelo al que nos referimos es el que estamos tan acostumbrados a observar en comercios y edificios de empresas.
- Aplicación de las medidas de seguridad previstas para el tipo de datos con el que cuenta el fichero de videovigilancia, en este caso, nivel Básico de seguridad. En lo que respecta al Fichero y Tratamiento de imágenes captadas por sistemas de videovigilancia, deberá atenderse a lo siguiente:– Restricción de los accesos, sólo personal autorizado deberá poder acceder al tratamiento de estos datos. Para ello el sistema de acceso y, sobre todo, de reproducción y grabado, debe estar disponible únicamente para el personal autorizado que entrará con su usuario y password, para que quede registrada su actividad sobre las imágenes.– Registro de entrada y salida, debe documentarse siempre que se produzcan salidas de imágenes o acceso por personal no previsto a las mismas. Como norma general, ningún tercero ajeno a la empresa debe tener acceso a las imágenes, no obstante, en casos de colaboración con la Autoridad Policial ésta necesitará de imágenes para instar un procedimiento o una investigación. En todo caso la solicitud debe constar por escrito y tener en cuenta los requisitos del Informe realizado por la Agencia Estatal de Protección de datos, Informe 0169/2009 de su Gabinete Jurídico.
– Contrato con el encargado del tratamiento. La empresa instaladora y de mantenimiento del sistema de videovigilancia será la garante del correcto funcionamiento del sistema de videovigilancia, cumpliendo con todas las medidas de seguridad exigibles en la materia y observando las indicaciones que les haga llegar el Responsable del Fichero, teniendo acceso físico y real a las imágenes registradas.
- Como norma general, los datos obtenidos y mantenidos por el Responsable del Fichero deberán ajustarse a la finalidad económica o profesional del Responsable del fichero, y además no deberán exceder de este fin: deberán ser los precisos y necesarios, no excesivos para el cumplimiento de las finalidades para las que se obtuvieron. Por ello, debemos tener en cuenta que las imágenes sólo pueden ser tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las videocámaras. En concreto, el artículo 4.3 de la mencionada Instrucción dispone: “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.Como ejemplo de tratamiento ilícito de datos, no podemos dejar de mencionar el famoso caso que enfrentó a la Sociedad General de Autores y Editores (SGAE) con la AEPD, cuando la primera fue denunciada por grabar a los invitados de una boda bailando al ritmo de canciones protegidas. El salón de bodas fue condenado a pagar 43.179€ de canon musical en base a otras pruebas distintas a la grabación. Por otra parte, por cometer una infracción muy grave y obtener datos sin el consentimiento de los afectados, la SGAE fue condenada a pagar más de 60.000€.
- Por último, es importante señalar que la Instrucción 1/2006 de 8 de Noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de videocámaras, establece que la recuperación de las imágenes debe hacerse durante un plazo máximo de 30 días, por la cual los datos serán cancelados en el plazo máximo de un mes desde su captación. Lo adecuado sería establecer un sistema automático de borrado de imágenes cada, como máximo, treinta días, de manera que nunca haya imágenes más antiguas a este periodo.
Existen opiniones profesionales y voces públicas que consideran que la regulación de la protección de datos en España ha sido excesivamente severa, que siendo, además, interpretada de un modo tan estricto ha generado la imposición de sanciones desproporcionadas. Al margen de ciertos casos anecdóticos, no estamos de acuerdo con esta afirmación. La protección de los datos de la persona y de su círculo familiar en una sociedad como la nuestra, que permite la captación y transferencia de fotografías y videos por medios telemáticos a velocidades de vértigo, cada día más forma parte de la preocupación de los ciudadanos, recelosos, por su puesto, de su vida privada, su ámbito íntimo, personal y familiar. La protección de datos es, por tanto, algo muy serio, que tanto empresas como particulares deben tener en cuenta y respetar. Y así debe seguir siendo.
Acceda a la Revista en el siguiente enlace: