Videovigilancia y privacidad en la empresa privada

camras_lopdPor José Luis Colom Planas

1. LA IMAGEN COMO DATO PERSONAL. LEGISLACIÓN APLICABLE

En el ordenamiento jurídico español, se recoge el concepto de “Dato de Carácter Personal”.

  • El artículo 3 de la LOPD (Ley Orgánica 15/1999, de 13 de diciembre), de Protección de Datos de Carácter Personal, en su apartado a) define “Datos de carácter personal” como:

“Cualquier información concerniente a personas físicas identificadas o identificables”.

  • El RLOPD (Real Decreto 1720/2007, de 21 de diciembre), Reglamento de desarrollo de la LOPD, en su artículo 5f) cita:

“Dato de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

También se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29, sobre el “Concepto de Datos Personales” en relación a la Directiva europea 95/46/CE.

  • Dictamen 4/2007 adoptado el 20 de junio de 2007:

“La Directiva requiere que la información se refiera a una persona física «identificada o identificable». Ello suscita las siguientes consideraciones. De modo general, se puede considerar «identificada» a una persona física cuando, dentro de un grupo de personas, se la «distingue» de todos los demás miembros del grupo. Por consiguiente, la persona física es «identificable» cuando, aunque no se la haya identificado todavía, sea posible hacerlo (que es el significado del sufijo «ble» en identificable)”.

Por consiguiente, se considerará identificable una persona cuando su identidad pueda determinarse mediante:

  • Captación
  • Grabación
  • Transmisión
  • Conservación
  • Almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real o a través del tratamiento que resulte de los datos personales relacionados con dichas imágenes, con independencia del tipo de soporte empleado (digital o analógico).

Por lo tanto, al ser la imagen de las personas un dato de carácter personal, se aplicará la LOPD a la recogida y tratamiento de la citada imagen mediante el uso de sistemas de video vigilancia.

Al objeto de asegurar un cumplimiento adecuado de la LOPD y con la intención de resolver las dudas al respecto, las Autoridades de Control del estado y autonómicas han aprobado instrumentos normativos.

Nos encontramos con las siguientes instrucciones en orden cronológico:

  • Instrucción 1/2006, de 8 de noviembre, de la AEPD (Agencia Española de Protección de Datos) sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (1).
  • Instrucción 1/2007, de 16 de mayo, de la APDCM (Agencia de Protección de Datos de la Comunidad de Madrid), sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los Órganos y Administraciones Públicas de la Comunidad de Madrid(2).

NOTA DEL EDITOR. Aunque la APDCM ya ha cesado en sus actividades (2001 – 2012), seguimos referenciando su valioso legado en relación a la Protección de Datos.

  • Instrucción 1/2009, de 10 de febrero, de la APDCAT (Autoridad Catalana de Protección de Datos), sobre el tratamiento de datos de carácter personal mediante cámaras con fines de video vigilancia(3).

Además de los principios de protección de datos regulados por la LOPD y el RLOPD, debe tenerse en consideración la aplicación de la normativa sectorial, que establecerá diferentes obligaciones en función del ámbito y los agentes implicados.

Podemos destacar la siguiente legislación, también en orden cronológico:

  • [Derogada] Ley 23/1992, de 30 de julio, de seguridad privada (4).
  • [Derogado en todo lo que se oponga a la nueva Ley de seguridad privada] Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de seguridad privada (5).
  • Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores (6).
  • Ley 25/2009, de 22 de diciembre (Ley Ómnibus), de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (7).
  • Real Decreto 195/2010, de 26 de febrero, por el que se modifica el Reglamento de seguridad privada (8).
  • Ley 5/2014, de 4 de abril, de seguridad privada (11).

2. MOTIVO PARA RECURRIR A LA VIDEO VIGILANCIA

2.1. FINALIDADES DE USO

En el ámbito de la empresa privada, podemos distinguir diferentes finalidades para la utilización de video vigilancia:

  • Seguridad y comprobación de las instalaciones
  • Protección de personas físicas
  • Protección de edificios e instalaciones
  • Otros fines
  • Control de la prestación laboral
  • Control de acceso de vehículos a zonas delimitadas
  • Monitorización de pacientes (Sanidad)

2.2. PROHIBICIONES DE USO

Las Autoridades de Control y la jurisprudencia han delimitado una serie de supuestos en los que no se puede utilizar video vigilancia, ya que su uso sería desproporcionado en relación con su finalidad. Entre estas prohibiciones destacan las siguientes:

  • En espacios protegidos por el derecho a la intimidad, como pueden ser baños y aseos.
  • Salas para cambiarse la ropa en el trabajo.
  • Obtener imágenes de espacios públicos. No obstante, podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
  • Interiores de viviendas cercanas.
  • Captación de imágenes para finalidad de marketing (por ejemplo, en un centro comercial usar las cámaras para conocer los hábitos de consumo y poder influir en las posibles ventas de productos).

3. CUMPLIMIENTO DE LA LOPD

NOTA DEL EDITOR. Aunque éste artículo trate sobre la videovigilancia en la empresa, si las videocámaras se instalan con la finalidad de garantizar la seguridad de una vivienda particular sí deberá cumplirse lo dispuesto en la Instrucción 1/2006, de 12 de Diciembre de la AEPD y demás de aplicación, concretamente cuando se trate de espacios comunes en comunidades de propietarios, urbanizaciones privadas o cuando afecte al personal del servicio doméstico.

3.1. ACTORES QUE PUEDEN INTERVENIR

  • Empresa que adopta el sistema: Responsable de fichero (Data Controller): Cuando una empresa decide incorporar un sistema de video vigilancia, y su finalidad, debe cumplir con los principios de protección de datos de carácter personal.
  • Empresa que visiona y registra las grabaciones por encargo del responsable: Encargado del tratamiento (Data Processor): En el caso de que exista un encargado de tratamiento, es decir, una empresa de seguridad contratada para vigilar y custodiar las imágenes, la relación entre responsable y encargado deberá formalizarse y conllevará también otras obligaciones.
  • Empresa de seguridad que decide, por delegación, que medios, y con qué finalidad, se implantarán y gestionarán: Responsable del tratamiento (Data Controller): Si la empresa donde se ubica el sistema de videovigilancia delega en una tercera empresa el diseño, la instalación y la operación del sistema dentro de un marco más amplio de un proyecto de seguridad, habiendo sido decisión de la tercera empresa de seguridad privada implementar el sistema de videovigilancia y los fines del mismo, nos encontramos ante otro responsable del tratamiento. Téngase en cuenta que en la LO 15/1999, de 13 de diciembre, conocida como la LOPD, se define en su artículo 3.d):“Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En ese caso, en el cartel de “zona videovigilada” deberá constar la tercera empresa de seguridad como ante quién ejercer los derechos, si procede, por parte de los afectados. Debe analizarse con detenimiento cada caso concreto para poder discernir si nos encontramos ante este supuesto o ante el planteado en el párrafo anterior.
  • Empresa de mantenimiento de la instalación: Encargado del tratamiento (Data Processor): En el caso de ser una empresa distinta de la que vigila y custodia las imágenes. Siempre que tenga o pueda tener acceso aunque sea ocasional al visionado, deberá formalizarse mediante el preceptivo contrato de acceso a datos o cláusula de confidencialidad por prestación de servicio sin acceso específico a datos.
  • Backup de imágenes en el CLOUD: Encargado del tratamiento (Data Processor): Los datos en formato imagen suelen consumir mucho espacio de almacenamiento en disco pese a utilizar técnicas de compresión. Si las grabaciones deben conservarse hasta un mes permaneciendo activas, pero hasta tres años canceladas, no es descabellado pensar en éste supuesto. El CSP (Cloud Services Provider) que almacenará los datos será considerado un Encargado del tratamiento. Debe tenerse en cuenta en qué país se almacenarán las imágenes por si al estar fuera del EEE(Espacio Económico Europeo) debe contemplarse una TID (Transferencia Internacional de Datos).

3.2. ENCARGADO DEL TRATAMIENTO

De conformidad con el artículo 12 de la LOPD, el Responsable podrá contratar los servicios de otra persona física o jurídica, que trate los datos personales por cuenta de dicho responsable, en calidad de Encargado del tratamiento. En estos casos, no se considerará comunicación o cesión de datos el acceso del Encargado del tratamiento a las imágenes cuando dicho acceso sea necesario para la prestación de su servicio al Responsable del tratamiento.

La realización de tratamientos de datos mediante cámaras o videocámaras por cuenta de terceros, deberá estar regulada en un contrato que constará por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el Encargado del tratamiento únicamente tratará las imágenes conforme a las instrucciones del Responsable del tratamiento, y que no las aplicará o utilizará con fin distinto al que figure en dicho contrato, ni las comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, que el Encargado del tratamiento está obligado a implementar.

3.3. PRINCIPIOS DE PROTECCION DE DATOS A CUMPLIR

A modo de resumen, estos son los principios de protección de datos que deben ser cumplidos:

  • Creación e inscripción del fichero de video vigilancia.
  • Principio de calidad de los datos personales.
  • Derecho de información.
  • Derechos ARCO.
  • Cesiones de datos de carácter personal.
  • Contrato del artículo 12 de la LOPD, si existe un Encargado del tratamiento.
  • Medidas de seguridad.
  • Redactado / Actualización del Documento de Seguridad.

3.4. SISTEMAS DE VIDEOVIGILANCIA QUE NO GRABAN

El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como “aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. La garantía del derecho a la protección de datos, conferida por la normativa de referencia, requiere que exista una actuación que constituya un tratamiento de datos personales en el sentido expresado. En otro caso las mencionadas disposiciones no serán de aplicación. De acuerdo con dicha definición de tratamiento de datos personales, la captación de imágenes de las personas constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la normativa citada.

Para dar respuesta a la cuestión sobre si este tipo de tratamiento genera o no un fichero que deba registrarse en el RGPD (Registro General de Protección de Datos) es preciso recordar lo dispuesto en el artículo 7.2 de la Instrucción 1/2006, donde se establece que: “A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.”

En consecuencia, podemos afirmar, al amparo de lo dispuesto en los artículos 3 y 7.2 de la Instrucción 1/2006, que la utilización de sistemas de videocámaras con fines de seguridad, que no graban imágenes, constituyen un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero a registrar en la AEPD.

4. PRINCIPIO DE CONSENTIMIENTO Y HABILITACIÓN

El consentimiento es la manifestación en la protección de datos personales, de un importante principio jurídico sobre el que se asienta el derecho a la protección de datos.

La LOPD precisa sin embargo, en que supuestos puede prescindirse de ese consentimiento; uno de esos supuestos es la disposición legal habilitante.

Si una ley exime de recabar el consentimiento, este no será necesario a la hora de recoger y tratar datos de carácter personal, como ocurre en el caso de grabación por cámaras de videovigilancia donde únicamente se cumple con el deber de informar mediante el/los cartel(es) correspondiente(s). Por ejemplo la Ley 5/2014, de 4 de Abril, de Seguridad Privada (LSP) en su artículo 42.1; El Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores, en su artículo 20.3; etc.

Veamos un ejemplo de ley habilitadora de las videocámaras: Cuando éstas se instalan en una empresa y enfocan y graban únicamente imágenes de los empleados trabajando, si la FINALIDAD es “el control laboral” por parte del empresario, y ha sido debidamente informada a los trabajadores y a sus representantes, queda habilitado el tratamiento por el Real Decreto Legislativo 1/1995, de 24 de marzo, conocido como Estatuto de los Trabajadores en su artículo 20.3 sobre medidas de control empresarial.

Otros ejemplos de ley habilitadora pueden consultarse en el apartado 13.8. (LEY 5/2014, DE 4 DE ABRIL, DE SEGURIDAD PRIVADA) de este mismo artículo.

5. PRINCIPIO DE PROPORCIONALIDAD

5.1. DOCTRINA

Ha sido asumida por la doctrina una concepción del principio de proporcionalidad como examen global de los siguientes aspectos: si la intervención persigue la protección de un bien; si esa intervención es idónea para alcanzar tal fin; si además es necesaria; y, por último, si es proporcional en sentido estricto.

El Tribunal Constitucional, en su Sentencia 207/1996, determina que cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad viene determinada por la estricta observancia del principio de proporcionalidad.

En concreto, la videovigilancia debe ser una medida adecuada, pertinente y no excesiva en relación con la finalidad perseguida y que haya justificado la instalación de cámaras. Además, la proporcionalidad requiere que esos fines no puedan alcanzarse a través de otros medios, menos intrusivos para los derechos fundamentales.

Así, La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que los mismos sean adecuados a la finalidad que motiva su recogida.

La recogida y tratamiento de datos de carácter personal debe efectuarse desde su subordinación a los principios de calidad de los datos y de proporcionalidad que establece la Ley. No puede obviarse que estamos tratando de un derecho fundamental.

5.2. APLICACIÓN

Con carácter previo a la instalación de un sistema de video vigilancia el responsable del fichero debe analizar si no es posible alcanzar el fin perseguido con la citada instalación, mediante la adopción de otros medios que sean menos intrusivos para la protección de datos de carácter personal. Esto supone aplicar en consecuencia el principio de proporcionalidad.

La proporcionalidad se constituye como un elemento fundamental en la instalación de los sistemas de video vigilancia, ya que la vulneración de este principio puede originar situaciones abusivas. No sólo nos estamos refiriendo a aquellos supuestos en que se han colocado cámaras en lugares donde no está permitido su uso, como cuartos de baño o vestuarios, sino al hecho de colocar más cámaras de las necesarias o hacerlo en la vía pública sin la autorización correspondiente, o incluso cuando se utilizan para otro fin que no sea el de seguridad o cualquiera de los otros fines posibles.

Además, el principio de proporcionalidad también se aplicará en el número de cámaras que se vayan a instalar, si son fijas o móviles, y el zoom que tenga las mismas, de manera que por regla general no habrá que instalar cámaras en todos los espacios de, por ejemplo, un edificio. Es decir, las cámaras se deben instalar en aquellos espacios en los que su fin sea estrictamente necesario.

La INSTRUCCIÓN 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, cita textualmente:

“Artículo 4. Principios de calidad, proporcionalidad y finalidad del tratamiento.

1. De conformidad con el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.

3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

Para valorar este principio de proporcionalidad, algunas agencias como la ACPD (en su momento también lo hizo la APDCM) exigen con carácter previo no sólo a la instalación sino a la creación del correspondiente fichero, que el responsable elabore un informe o memoria de proporcionalidad.

6. INFORME / MEMORIA DE PROPORCIONALIDAD

Concretamente la Instrucción 1/2009, de 10 de febrero, de la ACPD cita textualmente:

Diario Oficial de la Generalitat de Catalunya Núm. 5322 – 19.2.2009 13265. Disposiciones. (…)

Artículo 10. Memoria

10.1 Con carácter previo a la creación del fichero, o a la puesta en marcha del sistema de video vigilancia en aquellos casos en que no se registren las imágenes, se debe elaborar una Memoria, que debe hacer referencia a los siguientes puntos:

a) Órgano, organismo o entidad responsable: concreción de la persona responsable del fichero, de las personas operadoras del sistema de video vigilancia, como también, en su caso, de la persona responsable de la instalación y de su mantenimiento.

b) Justificación de la legitimidad de la captación y de los tratamientos posteriores que se prevean: debe hacerse constar si se cuenta con el consentimiento de los afectados o, si no es el caso, cuál de los apartados del artículo 6.2 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y en su caso otra normativa aplicable, concurre en el caso concreto, a efectos de legitimar el tratamiento de las imágenes y voces.

c) Justificación de la finalidad y de la proporcionalidad del sistema, de acuerdo con lo que establecen los artículos 6 y 7 de la presente Instrucción.

d) Datos personales tratados: hay que concretar si se registrará también la voz y si la finalidad conlleva, previsiblemente, la captación de imágenes que revelen datos personales especialmente protegidos u otros que exijan un nivel medio o alto de seguridad.

e) Ubicación y campo de visión de las cámaras: debe hacerse referencia a la ubicación y orientación de las cámaras. En especial, cuando se trate de cámaras en el exterior, debe hacerse constar si en un radio de 50 metros hay centros de salud, centros religiosos, de culto o sedes de partidos políticos o centros educativos donde asistan menores. También debe hacerse referencia a los espacios que entren dentro del campo de visión de las cámaras.

f) Definición de las características del sistema. En este apartado hay que especificar:

  • Número total de cámaras que forman el sistema.
  • Condiciones técnicas de las cámaras y de otros elementos.
  • Si las cámaras disponen de ranuras o conexiones para dispositivos de almacenamiento externo.
  • Si las cámaras son fijas o móviles.
  • Si se captan imágenes en un plano fijo o móvil.
  • Si se dispone de la posibilidad de obtener primeros planos en el momento de la captación o una vez registradas las imágenes.
  • Si las imágenes se visionan directamente o sólo se registran, con acceso limitado a determinados supuestos previstos en la Memoria.
  • Si la captación, y en su caso la grabación, se hace de manera continuada o discontinua.
  • Si las imágenes se transmiten.
  • Previsiones relativas a los mecanismos de identificación y de disociación para atender al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • Cuando se grabe la voz, también hay que especificar la distancia a la que se puede registrar.

g) Deber de información: hay que incluir una referencia al número y emplazamiento de los carteles informativos, como también a los otros medios adicionales de información, con el fin de acreditar el cumplimiento del deber de información.

h) Periodo por el que se instala el sistema y periodo de conservación de las imágenes.

i) Medidas previstas para evaluar los resultados del funcionamiento del sistema y la necesidad de su mantenimiento.

j) Medidas de seguridad: concreción del nivel de seguridad exigible y descripción de las medidas de seguridad aplicadas.
10.2 La información a que se refieren los apartados e) y g) debe ir acompañada de la información gráfica correspondiente.
10.3 En los ficheros de titularidad pública, esta Memoria puede formar parte de la memoria prevista en el procedimiento de elaboración de disposiciones de carácter general.
10.4 La Memoria se debe elaborar también cuando el tratamiento de la imagen, y en su caso de la voz, sea accesorio de otro tratamiento. En este supuesto, hay especificar y justificar esta circunstancia.

10.5 La Memoria debe estar a disposición de los funcionarios y funcionarias de la Agencia Catalana de Protección de Datos que ejercen tareas de inspección.

NOTA DEL EDITOR. En su día, la APDCM de conformidad con lo establecido en la Instrucción 1/2007, estableció que el informe o memoria de proporcionalidad debería contener un análisis jurídico en el que se evaluara:

  • Juicio de idoneidad: si el tratamiento de datos personales a través de la video vigilancia constituye una medida susceptible de conseguir el objetivo que se pretende.
  • Juicio de necesidad: si los fines perseguidos pueden alcanzarse o no de una manera menos intrusiva, teniendo en cuenta la protección de los datos de carácter personal, debiendo argumentar el responsable del fichero que dicha medida es necesaria por no existir otra más moderada para la consecución de tal propósito con la misma eficacia.
  • Juicio de proporcionalidad: si la medida adoptada es proporcional resultando equilibrada en atención a la ponderación entre la finalidad perseguida y el grado de restricción del derecho fundamental a la protección de datos de carácter personal, con expresa mención a si de la referida medida derivan más beneficios o ventajas para el interés general que perjuicios sobre la protección de datos.

Seguramente se basaron en que el TC considera necesario constatar para la estricta observancia del principio de proporcionalidad si se cumplen las tres siguientes condiciones: “si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

7. MODELO DE CONTRATO DE ENCARGADO DEL TRATAMIENTO

Presentamos diferentes tipos de cláusulas, que deben adecuarse a la finalidad y tipo de tratamiento que se vaya a realizar, en relación a la implantación de video vigilancia, a partir de otra propuesta rescatada de la APDCM:

El contratista, como Encargado del Tratamiento, tal y como se define en la letra g) del artículo 3 de ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, declara expresamente que conoce quedar obligado al cumplimiento de lo dispuesto en la citada LOPD y especialmente en lo indicado en sus artículos 9, 10, 12 y adoptará las medidas de seguridad que le correspondan según el Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la LOPD.

El/los adjudicatario/s se compromete/n a cumplir lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (y, muy especialmente, lo indicado en su artículo 12). El/los adjudicatario/s se comprometen explícitamente a formar e informar a su personal en las obligaciones que de tales normas dimanan.

Igualmente, serán de aplicación las disposiciones de desarrollo de las normas anteriores que se encuentren en vigor a la adjudicación de este contrato o que puedan estarlo durante su vigencia, y aquellas normas del Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la LOPD.

La empresa adjudicataria declara expresamente que conoce quedar obligada al cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y, expresamente, en lo indicado en su artículo 10, en cuanto al deber de secreto. La empresa adjudicataria se compromete explícitamente a formar e informar a su personal en las obligaciones que de tales normas dimanan.

La empresa adjudicataria y el personal encargado de la realización de las tareas guardará secreto profesional sobre todas las informaciones, documentos y asuntos a los que tenga acceso o conocimiento durante la vigencia del contrato, estando obligado a no hacer públicos o enajenar cuantos datos conozcan como consecuencia o con ocasión de su ejecución, incluso después de finalizar el plazo contractual.

El/los licitador/es aportarán una memoria descriptiva de las medidas que adoptarán para asegurar la confidencialidad e integridad de los datos manejados y de la documentación facilitada. Asimismo, el/los adjudicatario/s deberán comunicar a “el organismo contratante”, antes de transcurridos siete días de la fecha de comunicación de la adjudicación, la persona o personas que serán directamente responsables de la puesta en práctica y de la inspección de dichas medidas de seguridad, adjuntando su perfil profesional.

Si la empresa adjudicataria aporta equipos informáticos, una vez finalizadas las tareas el adjudicatario, previamente a retirar los equipos informáticos, deberá borrar toda la información utilizada o que se derive de la ejecución del contrato, mediante el procedimiento técnico adecuado. La destrucción de la documentación de apoyo, si no se considerara indispensable, se efectuará mediante máquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, efectuándose esta operación en el lugar donde se realicen los trabajos.

La documentación se entregará al adjudicatario para el exclusivo fin de la realización de las tareas objeto de este contrato, quedando prohibido para el adjudicatario y para el personal encargado de su realización, su reproducción por cualquier medio y la cesión total o parcial a cualquier persona física o jurídica. Lo anterior se extiende asimismo al producto de dichas tareas.

El resultado de las tareas realizadas, así como el soporte utilizado (papel, fichas, cintas, disquetes, memorias USB, etc.) serán propiedad de la empresa contratante en calidad de Responsable del Fichero”.

8. EJERCICIO DEL DERECHO DE INFORMACIÓN

8.1. INTRODUCCIÓN

El responsable del fichero debe cumplir con el deber de información regulado en el artículo 5 de la LOPD, puesto que mediante los sistemas de video vigilancia se recaba y trata el dato de la imagen, que es un dato de carácter personal.

Para dar efectivo cumplimiento al deber de información, correlativo al derecho de información de los afectados, los responsables deben colocar en emplazamientos claramente visibles de las zonas video vigiladas, tantos distintivos como resulten necesarios para garantizar que en todo momento los afectados conozcan la presencia de la cámara o videocámara y por consiguiente, del tratamiento de datos realizados.

La ubicación concreta de dichos distintivos dependerá en cada caso de la naturaleza y estructura de las zonas y espacios videovigilados. Para cumplir con el derecho de información resultará admisible la utilización de un único distintivo ubicado en un espacio de acceso principal, preferentemente antes de entrar en la zona video vigilada.

Asimismo, en el supuesto de edificios divididos en plantas, será suficiente con la utilización de un único distintivo ubicado en un espacio de acceso principal, siempre y cuando dicho distintivo cumpla con la información mínima que a continuación se especifica.

El/los distintivo/s debe cumplir con los siguientes requisitos:

  • Identidad del Responsable del Fichero
  • Mención al ejercicio de los derechos ARCO
  • Finalidad de la recogida de las imágenes (“Zona videovigilada”)
  • Referencia a la LOPD

8.2. MODELO DE CARTEL INFORMATIVO

8.3. INFORMACIÓN A DISPOSICIÓN DE LOS INTERESADOS

Además de los carteles informativos, el responsable deberá tener a disposición de los interesados documentación comprensible ofrecida en cualquier soporte inteligible, en la que se proporcione la información prevista en el artículo 5.1 de la LOPD.

En concreto, a través de dicha documentación, deberá informarse a los afectados de modo expreso, preciso e inequívoco:

  • De la existencia de un tratamiento de datos de carácter personal realizado por medio de cámaras o videocámaras.
  • De la finalidad de la recogida de las imágenes y de los destinatarios de dichas imágenes.
  • Del carácter obligatorio o facultativo de la captación y tratamiento de las imágenes a través de cámaras o videocámaras.
  • De las consecuencias de la obtención de las imágenes a través de las cámaras o videocámaras y de las consecuencias de la negativa a su obtención.
  • De la posibilidad de ejercitar los derechos de acceso, cancelación y oposición.
  • De la identidad y dirección del Responsable del Tratamiento o, en su caso, de su representante.

9. EJERCICIO DE LOS DERECHOS ARCO

9.1. DERECHOS ARCO

La LOPD reconoce como derechos de los afectados, respecto al tratamiento de sus datos personales, los derechos de “acceso, rectificación, cancelación y oposición”.

Puesto que la grabación de la imagen es un tratamiento de datos personales, se podrán ejercitar estos derechos ante el Responsable del tratamiento, salvo el derecho de rectificación, que lógicamente no cabe su ejercicio en este ámbito.

El Responsable del tratamiento deberá atender la solicitud de acceso, cancelación u oposición ejercida por el interesado adoptando las medidas oportunas para garantizar, en todo caso, la debida disociación de la imagen o, en su caso, de cualquier otro dato de carácter personal de las terceras personas afectadas por los tratamientos.

A dichos efectos, el responsable del tratamiento se servirá de los programas y/o herramientas informáticas adecuadas que, aplicadas sobre los datos de carácter personal de las terceras personas afectadas, impidan su identificación y la cesión de su imagen a la persona que realice la solicitud.

9.2. EJERCICIO DE LOS DERECHOS DEL AFECTADO

9.2.1. Derecho de Acceso

El afectado tiene en primer lugar el derecho de acceso, el cual requiere aportar como documentación complementaria una imagen actualizada que permita al responsable verificar y contrastar su presencia en los registros.

Resulta prácticamente imposible acceder a imágenes sin que pueda verse comprometida la imagen de un tercero. Por ello, según indica la AEPD, puede facilitarse el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento.

Si se ejerciese el derecho de acceso ante el responsable de un sistema que únicamente reproduzca imágenes sin registrarlas deberá responderse en todo caso indicando la ausencia de imágenes grabadas.

9.2.2. Derecho de Rectificación

No es posible el ejercicio del derecho de rectificación, ya que por la naturaleza de los datos —imágenes tomadas de la realidad que reflejan un hecho objetivo—, se trataría del ejercicio de un derecho de contenido imposible.

9.2.3. Derecho de Oposición

Tampoco es posible el ejercicio del derecho de oposición, ya que si éste se interpreta como la imposibilidad de tomar imágenes de un sujeto concreto en el marco de instalaciones de videovigilancia vinculadas a fines de seguridad privada no resultaría posible su satisfacción en la medida en la que prevalecería la protección de la seguridad.

9.2.4. Derecho de Cancelación

En lo que respecta al derecho de cancelación, se rige por lo previsto en la LOPD sin especialidad alguna. Todo depende de la existencia y posibilidades de un software de tratamiento de imágenes.

9.2.5. Recurso ante denegación del ejercicio de los derechos

Caso de que al afectado se le deniegue el ejercicio de estos derechos podrá instar la iniciación del procedimiento de tutela ante la AEPD, a que se refiere el artículo 18 de la LOPD.

9.3. SUPUESTOS DE EXCEPCIÓN

Pueden darse una serie de excepciones al ejercicio de estos derechos ArCo:

  • Cuando se trate de la mera captación de imágenes que se reproduzcan en tiempo real sin que se incorporen a un fichero de datos de carácter personal.
  • Cuando el tratamiento de la imagen se encuentre vinculado a los fines policiales recogidos en el art. 22 de la LOPD.
  • Cuando el responsable del tratamiento tuviera fundadas dudas en relación con la coincidencia existente entre las imágenes tratadas y la correspondiente a la persona que ejercite sus derechos. En dicho supuesto se deberá denegar la solicitud del interesado, fundamentando la resolución en la carencia de la certidumbre necesaria.
  • Cuando el sistema de cámaras o videocámaras disponga de herramientas u otros productos de «software» adecuados para el reconocimiento de imágenes, el responsable del tratamiento podrá denegar la solicitud del interesado si el porcentaje de coincidencia entre la imagen aportada en su solicitud y la imagen objeto de tratamiento no permite asegurar que esta última corresponda al interesado. En este supuesto deberá ofrecerse al afectado la información relativa al porcentaje de coincidencia que el sistema de reconocimiento haya facilitado en el procedimiento de búsqueda.

10. PERMANENCIA TEMPORAL DE LAS IMÁGENES CAPTADAS

10.1. CONSERVACIÓN Y CANCELACIÓN

La LOPD señala que los datos (en este caso, las imágenes) sólo se podrán conservar por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron, y en todo caso, según la Instrucción 1/2006, de 12 de diciembre, deben ser canceladas en el plazo de un mes desde su captación:

Artículo 6. Cancelación

“Los datos serán cancelados en el plazo máximo de un mes desde su captación”.

Tal cancelación significa su bloqueo, pues así lo establece el artículo 16.3 de la LOPD. El modo de llevarlo a cabo, tal y como señala la AEPD en su Informe de 5 junio de 2007, es tratando de evitar la posibilidad de acceso a las imágenes por parte del personal que tuviera habitualmente tal acceso, limitándose el mismo a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto.

En cuanto al plazo de conservación de las imágenes bloqueadas, la AEPD se ha manifestado en varias ocasiones al respecto (como por ejemplo, en el Informe 472/2009), señalando que resulta imposible establecer una enumeración taxativa de los mismos, debiendo, fundamentalmente, tenerse en cuenta, los plazos de prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al responsable con el interesado, así como los derivados de la normativa aplicable o el plazo de prescripción de tres años, previsto en el artículo 47.1 de la LOPD, en relación con las conductas constitutivas de infracción muy grave. Es decir, para definir el período de bloqueo de los datos se deberá tener en cuenta el derecho aplicable, en el que se determinará los criterios de delimitación del mismo. Cuando este plazo no exista, como entendemos que ocurre en este supuesto, o cuando sea inferior a un año, se deberán tener en cuenta los plazos de prescripción de las infracciones a la LOPD que, en el caso de las muy graves es de tres años. Este podía ser el plazo de mantenimiento de las grabaciones y sus copias de seguridad, en su fase de bloqueo.

10.2. RESUMEN

Las imágenes grabadas deben conservarse durante un mes, pasado el cual ese fichero debe pasar a una fase de bloqueo, guardando todos los soportes afectados en un lugar restringido en la organización, estando, únicamente, a disposición de Jueces y Tribunales y de la Administración Pública. Pasados tres años, que duraría la fase de bloqueo, esos soportes que contienen imágenes (y en su caso sus copias de seguridad) deberán ser materialmente destruidos o fehacientemente borrados.

11. VIDEOVIGILANCIA EN EL TRABAJO

11.1. JUSTIFICACIÓN DE LA INEXISTENCIA DE MEDIDAS MENOS INTRUSIVAS

Cuando la finalidad del uso de cámaras sea el control de la prestación laboral, las mismas solo podrán instalarse cuando el Responsable, con carácter previo a dicha instalación, pueda justificar que no existen medidas alternativas menos intrusivas con la privacidad e intimidad del trabajador para conseguir los fines previstos.

Si a juicio del responsable esos medios no existiesen o se hubiese demostrado su ineficacia, deberá presentar a la Agencia de Protección de Datos el correspondiente informe / memoria de proporcionalidad para su instalación. En su petición deberá justificar las razones descritas anteriormente.

Caso de que la Agencia, una vez estudiado el informe de proporcionalidad, finalmente autorice al Responsable a instalar las cámaras para esta finalidad, las obligaciones y ejercicio de los derechos de los afectados en relación con la protección de datos personales serán las reguladas por la Ley Orgánica 15/1999, de 13 de diciembre, su Reglamento de desarrollo así como demás normativa específica que sea de aplicación.

11.2. ESTATUTO DE LOS TRABAJADORES

En la normativa laboral se establece, en el Artículo 20.3 del Estatuto de los trabajadores (Real Decreto 1/1995, de 24 de marzo), que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Esta facultad de vigilancia y control que la legislación laboral otorga al empresario, se ve en parte limitada con la obligación de la emisión de un informe por el Comité de Empresa con carácter previo en lo que respecta a la “implantación o revisión de sistemas de organización y control del trabajo”. La normativa exige su comunicación a los representantes de los trabajadores, en tanto que el artículo 64.1 del Estatuto de los Trabajadores dispone que el comité de empresa tiene derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, y en el punto 5 que el comité de empresa tiene derecho a emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por éste, sobre las siguientes cuestiones, entre otras, el apartado f) se refiere a la implantación y revisión de sistemas de organización y control del trabajo.

Para plenamente aceptado que la única forma de videovigilancia justificada es aquella necesaria “para cumplir requisitos de producción y seguridad laboral”, eso sí, siempre que se lleve a cabo con las garantías necesarias. Entre esas garantías figura obligatoriamente el deber de advertir a la plantilla (no es suficiente con un cartel con un símbolo) y de explicar en qué casos las grabaciones serán examinadas por la dirección de la empresa y en qué circunstancias las imágenes podrán ser entregadas a las autoridades judiciales.

Recordar que el Derecho de Oposición por parte del trabajador no es posible ya que el artículo 20.3 del ET excluye el ejercicio de tal derecho.

Aunque se base en una concreta situación personal, las videocámaras tienen por objeto grabar el conjunto del entorno de trabajo y a otros trabajadores. En definitiva, si se respetan las condiciones previstas por la LOPD, prevalece el interés del empresario.

11.3. LOS REPRESENTANTES DE LOS TRABAJADORES

Entre otras funciones, los representantes de los trabajadores tienen atribuidas la del ejercicio de vigilancia en el cumplimiento de las normas vigentes en materia laboral, así como el resto de pactos con la empresa, y la de vigilar y controlar las condiciones de seguridad e higiene en el desarrollo del trabajo, por expresa habilitación del artículo 64.1-9 del ET.

Los representantes de los trabajadores (comité de empresa, delegados de personal, sindicales, de prevención, etc.) no son órganos de la empresa, por lo que la puesta a su disposición de los instrumentos de videovigilancia, o entrega total o parcial de las imágenes de los trabajadores, constituye una cesión de datos, sujeta a los requisitos del artículo 11 de la LOPD. Lo cual implica que es necesario el consentimiento de los trabajadores afectados (es decir, de todos los que hayan sido captados por las cámaras).

Los representantes de los trabajadores no son titulares del derecho de acceso a los datos personales (a las imágenes). Se trata de un derecho personalísimo que solo puede ejercitar el propio trabajador interesado, salvo que éste haya otorgado un poder específico para ello, por lo que bien pudiera atribuirse expresamente dicha posibilidad de ejercicio a un representante de los trabajadores.

11.4. APLICACIÓN DE LA LOPD

La instalación de cámaras de vigilancia en los centros de trabajo es una práctica que se encuentra plenamente sometida a la LOPD y la Instrucción 1/2006 de la AEPD y por tanto, el responsable debe tener en cuenta lo siguiente:

  • Conforme a lo exigido por el artículo 4.2 LOPD, los datos (es decir, las imágenes grabadas) no podrán ser utilizadas por parte del empresario, para fines distintos que los propios de vigilancia y control.
  • Deberán respetar el principio de proporcionalidad, es decir, el empresario podrá adoptar esta medida cuando no exista otra más idónea para conseguir los fines perseguidos de vigilancia y control. En este sentido, el Tribunal Constitucional en Sentencia de 10 de julio de 2000, consideró que la instalación de videovigilancia con la finalidad de control en determinados puestos laborales, era conforme al principio de proporcionalidad.
  • Sólo se deben captar imágenes en los espacios indispensables para satisfacer las finalidades de control laboral. En este sentido, deben respetarse los derechos específicos de los trabajadores, como por ejemplo, a la intimidad, en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso; o el derecho a la propia imagen de los trabajadores, además de la vida privada en el entorno laboral no registrando en particular las conversaciones privadas.
  • Se debe garantizar el cumplimiento del principio de información en la recogida de las imágenes, mediante la presencia de carteles informativos y tener a disposición de los interesados impresos para el ejercicio de los derechos de acceso y cancelación.
  • Se recomienda que con el objeto de reforzar el principio de información, además de la comunicación a la representación sindical, se disponga de información referente a la existencia de un sistema de videovigilancia en tablones de anuncios o en la intranet corporativa de la empresa, en el caso de existir.
  • La empresa debe proceder, en su caso, a la inscripción del fichero de videovigilancia en el RGPD (Registro General de Protección de Datos); deberá proceder a cancelar las imágenes en el plazo de un mes, pudiendo conservar aquellas que registren una infracción o incumplimiento de los deberes laborales; y deberá, dar cumplida respuesta a los derechos de acceso y cancelación que potencialmente pudieran solicitar los trabajadores.
  • Se deberían formalizar, en su caso, contratos de acceso a datos por cuenta de terceros, por mandato del artículo 12 de la LOPD y 20 y siguientes del RLOPD, en el supuesto que intervengan empresas de seguridad en el mantenimiento del sistema, y ello implique un acceso a las imágenes, ya sea este puntual o continuado.
  • Y por último, deberán adoptarse las correspondientes medidas de seguridad.

12. VIDEOVIGILANCIA EN PARKINGS

12.1. INTRODUCCIÓN

La videovigilancia en parkings y zonas de aparcamiento presenta una serie de peculiaridades que la hacen merecedora de un apartado específico en este estudio. La razón es simple: Se entremezclan grabación de imágenes de personas junto a matrículas de vehículos. También se dan diferentes tipos de finalidades: Vigilancia y seguridad de instalaciones y personas, así como control de accesos (apertura de barreras) y facturación en base a la verificación automática de la matrícula del vehículo.

12.2. FICHEROS A DECLARAR

Lo primero que debemos plantearnos es si las matrículas de vehículos y las imágenes grabadas de personas son datos de naturaleza personal:

  • Según la AEPD los caracteres que conforman la matrícula de un automóvil son un dato de carácter personal ya que, mediante el “Registro de Vehículos” (Registro General de la DGT), se posibilita el conocer los datos del titular de un vehículo sin requerirse un esfuerzo desproporcionado. [En el apartado siguiente lo analizaremos con más detalle].
  • La imagen de las personas grabadas mediante las cámaras de videovigilancia también son datos de naturaleza personal debido a que pueden identificarlas.

En consecuencia deben notificarse ambos tipos de datos aunque no podemos hacerlo consolidándolos en un mismo fichero, pese a ser ambos de imágenes, al tratarse de finalidades claramente diferenciadas.

La existencia de dicho fichero de matrículas deberá notificarse a la AEPD para su incorporación en el RGPD (Registro General de Protección de Datos) como fichero de titularidad privada. Deberá especificarse que su finalidad será la de controlar la correspondencia entre el vehículo asociado al ticket introducido en el lector de control de la barrera de salida y el vehículo que efectivamente pretende salir.

Se trata, en consecuencia, una finalidad radicalmente distinta de la videovigilancia cuyo objetivo es la vigilancia para mejorar la seguridad de personas e instalaciones.

Al notificar un fichero a la AEPD debe indicarse, entre otras informaciones, la finalidad del fichero, el tipo de datos, su estructura y la organización.

Es evidente que la finalidad, el tipo de datos, la estructura y la organización es diferente en ambos ficheros. En consecuencia deberían notificarse a la AEPD como dos ficheros diferenciados.

12.3. CONTROVERSIA: LA MATRÍCULA COMO DATO PERSONAL

Por una parte el Gabinete Jurídico de la AEPD, en su informe 0427/2010, (12) concluye lo siguiente:

Es identificable el titular de un vehículo a partir de la aprobación del Reglamento General de Vehículos, en virtud de Real Decreto 2822/1998, de 23 de diciembre, cuyo artículo segundo establece en su párrafo primero que: “la Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados, que adoptará para su funcionamiento medios informáticos y en el que figurarán, al menos, los datos que deben ser consignados obligatoriamente en el permiso o licencia de circulación, así como cuantas vicisitudes sufran posteriormente aquéllos o su titularidad”.

En cuanto a su finalidad, el párrafo segundo del precepto previene que: “estará encaminado preferentemente a la identificación del titular del vehículo, al conocimiento de las características técnicas del mismo y de su aptitud para circular, a la comprobación de las inspecciones realizadas, de tener concertado el seguro obligatorio de automóviles y del cumplimiento de otras obligaciones legales, a la constatación del Parque de Vehículos y su distribución, y a otros fines estadísticos”.

Por último, y en lo atinente a la publicidad de sus datos, el párrafo tercero del citado artículo 2 añade que: “el Registro de Vehículos (…) será público para los interesados y terceros que tengan interés legítimo y directo, mediante simples notas informativas o certificaciones”.

En consecuencia, se establece el carácter público del Registro, bastando para la consulta de sus datos la alegación de la existencia de un interés legítimo y directo en la consulta.

De lo que se ha venido indicando cabe desprender que la identificación del titular de los vehículos cuya matrícula sea conocida únicamente exigirá la consulta del Registro de Vehículos, cuya finalidad esencial es la identificación del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante.

Otro informe de la AEPD, que se pronuncia en el mismo sentido, es el Informe 425/2006, (13) sobre matrículas de vehículos y concepto de dato de carácter personal.

No obstante, la SAN 5832/2013 (14) de la Sección 1ª de la Sala de lo Contencioso, en relación al recurso 89/2012 y pronunciada el 26 de diciembre de 2013, viene a contradecir el criterio aplicado hasta ahora por la AEPD en relación a la consideración del número de matrícula de un vehículo, por sí solo, como un dato identificativo personal.

Según la Audiencia Nacional: “(…). De un lado ha de ponerse de manifiesto que si bien esta Sala ha declarado con reiteración (SSAN 10-2-2011, Rec. 95/2010, entre otras muchas) que las imágenes captadas por las cámaras son datos de carácter personal, de conformidad con los artículos 3.a) de la LOPD y 5.1. f) del Real Decreto 1720/2007, y también que tales imágenes constituyen, en sí mismas consideradas, un tratamiento de datos con sometimiento, por ende, a las previsiones de la LOPD, ello ha de entenderse referido siempre a imágenes de personas, y no a imágenes de placas o números de matrícula cuya caracterización como dato de carácter personal, a pesar de lo argumentado en la resolución, no se comparte por esta Sala, pues en definitiva un número o placa de matrícula, si bien identifica un vehículo, en ningún caso identifica una persona, ya que el conductor del vehículo ni siquiera tiene porqué ser el titular del mismo, es decir, aquel a cuyo nombre figura dicho vehículo en la Dirección General de Tráfico. (…)”.

Ante la diferencia manifiesta de criterio entre la AEPD y la doctrina de la AN, y mientras no exista jurisprudencia que dé más luz al respecto, aconsejo recordar que la Ley Orgánica 15/1999, de 13 de diciembre, tiene por objeto la protección de un derecho fundamental de naturaleza jurisprudencial: el derecho a la protección de datos de carácter personal. Por este motivo, las excepciones y dudas a la aplicación de dicha normativa deberán ser objeto de interpretación restrictiva, debiendo prevalecer la interpretación proclive a la protección del derecho fundamental, conforme establece reiterada jurisprudencia del Tribunal Constitucional.

13. INSTALACIÓN Y VISIONADO

NOTA DEL EDITOR. Aunque se citen todas las leyes e informes que afectan a la videovigilancia cronológicamente, debe considerarse que ciertos artículos de leyes posteriores modifican o derogan artículos de leyes anteriores.

13.1. LSP (LEY 23/1992 DE SEGURIDAD PRIVADA)

La LSP (Ley 23/1992 (4), de 30 de julio, de Seguridad Privada), dispone que la instalación y gestión técnica de cámaras de videovigilancia, debe estar respaldada por una empresa de seguridad de las autorizadas por el Ministerio del Interior.

Dicha ley establece en su artículo 1.2 que:

“únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”.

La empresa de seguridad debe poseer la correspondiente autorización administrativa mediante su inscripción en un registro del Ministerio del Interior. Además es preceptivo que el contrato de prestación de servicios de seguridad tenga que comunicarse al Ministerio del Interior antes de la puesta en marcha de los dispositivos de grabación.

13.2. SENTENCIA DEL TS, DE 14 DE JUNIO DE 2005

El Tribunal Supremo dictó la Sentencia, de 14 de junio de 2005 en recurso de casación para unificación de doctrina. Se venía a establecer que no se infringía la LSP cuando la conducta consistía en la mera instalación y colocación de cámaras de videovigilancia. En cambio, las labores de control, seguimiento y, en definitiva, vigilancia (por ejemplo, visionado de las imágenes grabadas) debían llevarse a cabo por empresas de seguridad autorizadas por el Ministerio del Interior.

13.3. OPINIÓN DEL MINISTERIO DEL INTERIOR

La Secretaría General Técnica del Ministerio del Interior se pronunció al respecto después de dicha sentencia del TS, manifestando que las imágenes generadas por las cámaras deberían ser visionadas por personal de seguridad, es decir, vigilantes de seguridad o bien por el personal de una empresa de seguridad autorizada para la actividad de centralización de alarmas. Todo ello en al ámbito de la vigilancia y seguridad privada.

Por lo tanto, parece que en el ámbito de la seguridad privada nada impedía que fuera un particular el que realizara la instalación de las cámaras de videovigilancia pero que, de poco le servirá, porque tendría finalmente que contratar los servicios de una empresa de seguridad para que realizara las efectivas labores de vigilancia.

En términos de Protección de Datos, sería necesario que, al menos, existiera un Encargado del Tratamiento que fuera una empresa de seguridad privada.

Quedan al margen las instalaciones de cámaras conectadas a CRA (Central Receptora de Alarmas).

13.4. INFORME MINISTERIO DEL INTERIOR, DE MARZO DE 2009

Ministerio del Interior. Informe sobre instalación y mantenimiento de cámaras de video-vigilancia. (Marzo de 2009) (10).

En la actividad de instalación y mantenimiento de los sistemas de seguridad privada definidos en el apartado vigésimo cuarto de la citada Orden Ministerial de 23 de abril de 1997, se incluyen todas aquellas actividades técnicas directamente vinculadas a la consecución del efectivo funcionamiento de los dispositivos. Por el contrario –como es lógico-, las actividades auxiliares o complementarias necesarias para el acabado total de la instalación de los sistemas de seguridad, pero no relacionadas directamente con su función de seguridad (albañilería, carpintería, pintura, etc.), pueden ser directamente realizadas o subcontratadas con empresas no inscritas en el Registro de Empresas de Seguridad.

No obstante la vigencia de las consideraciones y criterios anteriores, el Tribunal Supremo, en Sentencia de 14 de junio de 2005, dictada en recurso de casación para unificación de doctrina núm. 281/2002, ha realizado una interpretación de determinados preceptos de la normativa de seguridad privada en relación con los conceptos “servicios y actividades de seguridad privada”, diferenciando la prestación de servicios de seguridad privada de las conductas de mera colocación o instalación de equipos de seguridad, quedando estas últimas excluidas del tipo infractor previsto en el artículo 22.1.a) de la Ley 23/1992, de 30 de julio.

Ello implica, desde el punto de vista técnico-jurídico, que la mera instalación de sistemas de seguridad no supone la “prestación de un servicio de seguridad” y, por lo tanto, no puede calificarse como infracción muy grave del artículo 22.1.a) de la Ley 23/1992, de 30 de julio.

Ello no obstante, y en todo caso, la Sentencia afirma que las empresas que realizan la instalación de sistemas de seguridad tiene la obligación de hallarse inscritas en el Registro de Empresas de Seguridad de este Ministerio.

En consecuencia, cabe considerar que la prestación del servicio de instalación de aparatos, dispositivos y sistemas de seguridad en los términos previstos en el artículo 39 y siguientes del Reglamento de Seguridad Privada (aprobación del material, certificado de instalación, revisiones, averías, manuales del sistema, etc.) corresponde en exclusiva a las empresas inscritas en el Registro de Empresas de Seguridad para la actividad de instalación y mantenimiento de dichos aparatos, dispositivos o sistemas.

Por el contrario, las actividades o conductas en las que se concreta el hecho físico de la instalación, no tienen por qué ser necesariamente realizadas por empresas que estén inscritas en dicho Registro como Empresas de Seguridad.

13.5. ÓMNIBUS (LEY 25/2009 DE MODIFICACIÓN DE DIVERSAS LEYES)

Al entrar en vigor la Ley Ómnibus (Ley 25/2009 (7), de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio) modifica, entre otros, el artículo 5.1 de la LSP:

Artículo 5.1. Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades: (…)

e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta.

Disposición adicional sexta: Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.

Entiende la AEPD que la Ley ómnibus extiende la legitimación a cualquiera para el tratamiento de datos recogidos mediante cámaras de videovigilancia, sin necesidad del consentimiento previo. Únicamente se necesitaría la contratación de una empresa de seguridad para el caso de que la prestación incluya conexión con centrales de alarma.

13.6. INFORME 0650/2009 GABINETE JURÍDICO AEPD

Respuesta de la AEPD (9) a una consulta que plantea, si la entrada en vigor de la Ley 25/2009, de 27 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios, modifica el criterio hasta ahora mantenido por la Agencia Española de Protección de Datos, en relación con el tratamiento de las imágenes a través de sistemas de videovigilancia por razones de seguridad.

(…) Podemos extraer las siguientes conclusiones;

Primera; la Ley permite la instalación y mantenimiento de sistemas de seguridad, por cualquier prestador de servicios, por lo que se legitima el tratamiento de las imágenes derivados de estos dispositivos, sin necesidad de obtener el consentimiento de los interesados, al amparo del artículo 11.2 a) de ley Orgánica 15/1999 y el artículo 10.2 a) del Reglamento de desarrollo de la misma.

Segunda; Para la instalación y mantenimiento de los dispositivos de seguridad, no se exige como regla general, el cumplimiento de los requisitos formales, exigidos hasta la entrada en vigor de la Ley 25/2009, sino que podrá instalarlos y mantenerlos cualquier prestador de servicios.

Tercera; Sólo será necesario que se cumplan los requisitos exigidos tanto en la Ley de Seguridad Privada como en su Reglamento, y que hasta ahora debían de cumplirse en todos los casos; esto es, empresa de seguridad debidamente autorizada por el Ministerio del Interior, previa inscripción en su Registro y notificación del contrato, cuando el dispositivo de seguridad esté conectado a una central de alarmas.

Cuarto; Resulta necesario seguir cumpliendo con todos los requisitos previstos en la Ley Orgánica 15/1999 y su normativa de desarrollo.

13.7. REAL DECRETO 195/2010, DE 26 DE FEBRERO

El Real Decreto 195/2010 (8), de 26 de febrero, por el que se modifica el Reglamento de Seguridad Privada, establece que la CRA (Central Receptora de Alarmas) tendrá la misma consideración que los lugares donde se centralizan los sistemas de seguridad y vigilancia de un edificio o establecimiento y que estos últimos obligatoriamente deberán estar controlados por personal de seguridad privada, instalaciones que sí o sí, tendrán que estar gestionadas por empresas de seguridad autorizadas por el Ministerio del Interior y resto de garantías.

Artículo segundo. Modificación del Reglamento de Seguridad Privada, aprobado por el Real Decreto 2364/1994, de 9 de diciembre.

Uno. El párrafo e) del apartado 1 del artículo 1 queda redactada del siguiente modo: «e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad conectados a centrales de alarma.»

Dos. El apartado 1 del artículo 39 queda redactado del siguiente modo: «1. Únicamente las empresas autorizadas podrán realizar las operaciones de instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad electrónica contra robo e intrusión y contra incendios que se conecten a centrales receptoras de alarmas.

A efectos de su instalación y mantenimiento, tendrán la misma consideración que las centrales de alarmas los denominados centros de control o de video vigilancia, entendiendo por tales los lugares donde se centralizan los sistemas de seguridad y vigilancia de un edificio o establecimiento y que obligatoriamente deban estar controlados por personal de seguridad privada.»

Da la sensación, interpretando éste Real Decreto posterior a la Ley Ómnibus, que en el ámbito de la seguridad privada nada impide que sea un particular el que realice la instalación de las cámaras de videovigilancia pero que, de poco le servirá, porque tendrá finalmente que contratar los servicios de una empresa de seguridad para que realice las efectivas labores de vigilancia.

En términos de Protección de Datos, será necesario que, al menos, exista un Encargado del Tratamiento que sea una empresa de seguridad privada.

En consecuencia podemos afirmar que la Ley “Omnibus”, refrendada por el RD 195/2010 de 26 de febrero, ha liberalizado la prestación del servicio ya que con anterioridad sólo las empresas de seguridad privada, debidamente acreditadas y cumpliendo con los requisitos exigidos por la normativa, podían instalar cámaras de videovigilancia. Con la aprobación de la Ley “Omnibus” se ha modificado la Ley 23/1992, de 30 de julio, de Seguridad Privada, de manera que los prestadores de servicios o filiales de empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad -siempre que no incluyan la prestación de servicios de conexión con centrales de alarma- quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los fines definidos en el artículo 5 de la citada Ley, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.

En consecuencia, la instalación, venta o mantenimiento de sistemas de video vigilancia puede realizarse por particulares y empresas cuyo objeto no sea la seguridad privada, a condición de que la instalación no se conecte con centrales de alarma.

No obstante lo anterior, se deberá cumplir con lo dispuesto en la normativa de protección de datos y con la Instrucción 1/2006, de 8 de noviembre, de la AEPD [y en Cataluña también con la Instrucción 1/2009, de 10 de febrero, de la ACPD].

13.8. LEY 5/2014, DE 4 DE ABRIL, DE SEGURIDAD PRIVADA
13.8.1. Texto de la Norma

En relación a la videovigilancia, el artículo 42 de esta nueva ley de seguridad privada dispone:

Artículo 42. Servicios de videovigilancia.

1. Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos, incluido cualquier medio técnico o sistema que permita los mismos tratamientos que éstas.

Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales.

No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control de accesos a aparcamientos y garajes, o las actividades que se desarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal distinto del de seguridad privada.

2. No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos o de acceso público salvo en los supuestos y en los términos y condiciones previstos en su normativa específica, previa autorización administrativa por el órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el consentimiento del titular.

3. Las cámaras de videovigilancia que formen parte de medidas de seguridad obligatorias o de sistemas de recepción, verificación y, en su caso, respuesta y transmisión de alarmas, no requerirán autorización administrativa para su instalación, empleo o utilización.

4. Las grabaciones realizadas por los sistemas de videovigilancia no podrán destinarse a un uso distinto del de su finalidad. Cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes, respetando los criterios de conservación y custodia de las mismas para su válida aportación como evidencia o prueba en investigaciones policiales o judiciales.

5. La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima.

6. En lo no previsto en la presente ley y en sus normas de desarrollo, se aplicará lo dispuesto en la normativa sobre videovigilancia por parte de las Fuerzas y Cuerpos de Seguridad.

Los párrafos segundo y tercero del artículo 1 de ésta ley 5/2014, de 4 de abril, de seguridad privada, vienen a dar forma a la liberalización parcial del uso de los sistemas de videovigilancia tras la entrada en vigor de la Ley 25/2009, de 22 de diciembre, conocida como “ley Omnibus”. En esa ley, con excepción de que la instalación de videovigilancia estuviera conectada a una central de alarma, legitimaba a cualquier empresa o particular su adquisición e instalación siempre que cumpliera con los requisitos de la demás normativa aplicable.

Si bien estando en vigor esa ley no se marcaba ningún límite en lo referente a la finalidad de la instalación, la nueva ley de seguridad privada distingue entre “comprobación del estado de instalaciones o bienes” y “prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados”, disponiendo en este último caso que los servicios “serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales”.

El artículo 5 de la nueva Ley de seguridad privada clarifica en su artículo 5.1 aquellas actividades que se consideran de seguridad privada. En lo que se refiere a la videovigilancia nos puede interesar:

“a) La vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto públicos como privados, así como de las personas que pudieran encontrarse en los mismos.

(…)
f) La instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o a centros de control o de videovigilancia.
g) La explotación de centrales para la conexión, recepción, verificación y, en su caso, respuesta y transmisión de las señales de alarma, así como la monitorización de cualesquiera señales de dispositivos auxiliares para la seguridad de personas, de bienes muebles o inmuebles o de cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y Cuerpos de Seguridad competentes en estos casos”.

Por su parte, el artículo 6.1 de la nueva ley de seguridad privada, sin perjuicio de la normativa específica que pudiera resultar de aplicación, clarifica las actividades que quedan fuera del ámbito de aplicación de esta ley:

“(…) b) La fabricación, comercialización, venta o entrega de equipos técnicos de seguridad electrónica, así como la instalación o mantenimiento de dichos equipos siempre que no estén conectados a centrales de alarma o centros de control o de videovigilancia.
13.8.2. Matices de la Norma

Si analizamos el artículo 42.1 de la LSP, vemos que distingue entre una doble casuística:

Si la videocámara se instala con la FINALIDAD de “evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados”, según dispone la ley 5/2014, de 4 de abril, de seguridad privada, en su artículo 42.1 párrafo segundo, habilita el tratamiento si es “prestado necesariamente por vigilantes de seguridad”.

  • Si la videocámara se instala con la FINALIDAD de “comprobación del estado de instalaciones o bienes y (…)” vemos que la misma ley 5/2014 en su artículo 42.1 párrafo tercero dispone que “estas funciones podrán realizarse por personal distinto del de seguridad privada”.

El que la ley 5/2014 (LSP) de momento tenga poco recorrido, careciendo de informes de la AEPD así como de doctrina y jurisprudencia reciente, significa que puede costar discernir entre ambos tratamientos anteriores, estando sujetos a interpretación subjetiva pudiendo llegar a considerarse que provoca inseguridad jurídica.

Vemos que todo depende de la finalidad del tratamiento y, por extensión, de cómo se haya declarado el fichero ante el RGPD de la AEPD.

14. BIBLIOGRAFÍA CONSULTADA

(1) AEPD (Agencia Española de Protección de Datos). Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

INSTRUCCIÓN 1/2006 AEPD

(2) APDCM (Agencia de Protección de Datos de la Comunidad de Madrid) Instrucción 1/2007, de 16 de mayo, sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los Órganos y Administraciones Públicas de la Comunidad de Madrid.

INSTRUCCIÓN 1/2007 APDCM
(3) APDCAT (Autoridad Catalana de Protección de Datos). Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de video vigilancia.

INSTRUCCIÓN 1/2009 APDCAT

Javier Álvarez Hernando. GUÍA PRÁCTICA SOBRE PROTECCIÓN DE DATOS. TEMA 6. Páginas 267 a 297. Editorial Lex Nova. Junio 2011.

Javier Álvarez Hernando. RÉGIMEN JURÍDICO DE LA VIDEOVIGILANCIA EN ESPAÑA. Blog de Javier Álvarez Hernando. Enero 2011.

RÉGIMEN JURÍDICO VIDEOVIGILANCIA

APDCM. GUIA DE VIDEOVIGILANCIA. COMUNIDAD DE MADRID.

GUIA DE VIDEOVIGILANCIA
Juan Carlos Galvañ Barceló. LOPD Y VIDEOVIGILANCIA: ¿PUEDO INSTALAR CÁMARAS O NO? Blog ACTUALIDADLOPD.COM. 18 de Diciembre de 2010.

BLOG ACTUALIDADLOPD.COM
AEPD. GUÍA DE VIDEOVIGILANCIA.

GUIA VIDEOVIGILANCIA AEPD
AEPD. CANAL DEL RESPONSABLE DEL FICHERO. VIDEO VIGILANCIA. DESCARGA DE DOCUMENTOS EN PDF. Página web.

DESCARGAS PDF VIDEOVIGILANCIA
(4) BOE nº 186. Ley [derogada – ver (11)] 23/1992, de 30 de julio, de Seguridad Privada. 4 de Agosto de 1992. 18489.

LSP LEY 23/1992

(5) BOE nº 8. Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada. 10 de Enero de 1995. 607.

RD 2364/1994 RLSP
(6) BOE nº 75. Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores. 29 de Marzo de 1995. 7730.

RDL 1/1995 ESTATUTO TRABAJADORES
(7) BOE nº 308. Ley 25/2009, de 22 de diciembre (Ley Ómnibus), de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio. 23 de Diciembre de 2009. 20725.

ÓMNIBUS LEY 25/2009
(8) BOE nº 60. Real Decreto 195/2010, de 26 de febrero, por el que se modifica el Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada, para adaptarlo a las modificaciones introducidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada, por la Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la ley sobre el libre acceso a las actividades de servicios y su ejercicio. 10 de Marzo de 2010. 3996.

RD 195/2010 MODIFICACIÓN RDLSP
(9) AEPD. INFORME 0650/2009 DEL GABINETE JURÍDICO. “La consulta plantea, si la entrada en vigor de la Ley 25/2009, de 27 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios, modifica el criterio hasta ahora mantenido por la Agencia Española de Protección de Datos, en relación con el tratamiento de las imágenes a través de sistemas de videovigilancia por razones de seguridad”. 2009.

INFORME 0650/2009 AEPD

(10) MINISTERIO DEL INTERIOR. Informe sobre instalación y mantenimiento de cámaras de video-vigilancia en las vías públicas. (Marzo de 2009).

CONSULTA MINISTERIO DEL INTERIOR

(11) BOE nº 83. “Ley 5/2014, de 4 de abril, de seguridad privada.

Ley 5/2014

(12) AEPD. “Informe 0427/2010 sobre placas de matrícula de vehículos”. Gabinete Jurídico.

Informe 0427/2010 de la AEPD

(13) AEPD. “Informe 0425/2006 sobre matrículas de vehículos y concepto de dato de carácter personal”. Gabinete Jurídico.

Informe 425/2006 de la AEPD

(14) SAN 5832/2013. Sección 1ª de la Sala de lo Contencioso. “En relación al recurso 89/2012 sobre videovigilancia en el estacionamiento de un centro comercial”. Pronunciada el 26 de diciembre de 2013.

SAN 5832/2013