Actualmente es muy frecuente que las entidades instalen sistemas de videovigilancia, esto puede realizarse con diversas finalidades, desde la seguridad de los bienes e instalaciones hasta el control laboral de los empleados de la entidad. No obstante, el hecho de que sea una práctica común no implica que no deba de realizarse cumpliendo con una serie de premisas en materia de protección de datos:
- Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El tratamiento de datos personales con fines de videovigilancia por el responsable del tratamiento, ya sea una persona física o jurídica, pública o privada, queda sujeto a las condiciones de legitimación previstas en el artículo 22 de esta ley.
Una vez sentadas las bases normativas, en esta entrada del blog vamos a centrarnos en analizar un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) al respecto, ps-00096-2024:
El procedimiento se inicia por la reclamación de un interesado, el cual alega que ha podido ser grabado por las cámaras de videovigilancia que se hallan en una nave industrial y afirma que dichas instalaciones carecen de un cartel visible e informativo en el que conste la identidad del responsable del tratamiento y la dirección a la que pueden dirigirse los afectados para ejercer los derechos. El reclamante aporta junto a la reclamación varias fotografías en las que se visualizan las cámaras de videovigilancia, no apreciándose carteles informativos en materia de protección de datos.
La AEPD procede a notificar a la parte reclamada instándoles para que procediesen a su análisis e informase en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. En tiempo y forma responde la entidad reclamada indicando lo siguiente:
“Se optó en su día por advertir de la existencia de dispositivos de videovigilancia, informando de quién es el responsable del tratamiento en función de la ubicación de esas cámaras, así el Interesado puede conocer en todo momento quién es la responsable del tratamiento de datos obtenidos por videovigilancia y a quién debe dirigirse para, en su caso, ejercitar los derechos reconocidos en el artículo 12 y ss. del RGPD. Así, los carteles informativos ubicados en la entrada a las instalaciones y en la planta baja aluden a la entidad x, como responsable del tratamiento de videovigilancia y los carteles informativos de la primera planta aluden a la entidad x, como responsable del tratamiento.” Asimismo, adjunta foto de carteles en diferentes dependencias de la nave donde hay instaladas cámaras de videovigilancia.
Se procede a solicitar por parte de la AEPD a la entidad reclamada para que adjuntara fotos de la fachada donde se encontrara aviso del responsable de los datos (dado que estas no se encuentran en la primera documentación enviada por la entidad reclamada a la autoridad de control), en las fotos adjuntas en la respuesta se observa dicho cartel en el lateral izquierdo de la entrada, también se observa que no está presente la cámara lateral derecha que denunciaba el reclamante y que enfocaba el espacio del concesionario de coches colindante.
De la documentación aportada la AEPD estima que las instalaciones del reclamado solo contenían aviso del responsable del tratamiento detrás de una persiana, con lo cual este cartel solo podía ser visible cuando el establecimiento estuviera abierto (con la persiana subida), aunque en respuesta, a un posterior requerimiento de información, el reclamado hubiera adjuntado fotos con cartel en la parte lateral izquierda el cual si está visible permanentemente, este cartel no se encontraba al momento de la reclamación, entendiendo la AEPD que se ha colocado a posteriori.
Por lo tanto, las alegaciones esgrimidas determinan que si bien la entidad responsable del sistema de videovigilancia disponía de cartel informativo, el mismo quedaba ocultado al bajarla, puerta principal del establecimiento, lo que implica que no se pueda conocer el responsable al que dirigirse en caso de querer ejercitar los derechos correspondientes en el marco del actual RGPD, ya que el cartel queda oculto y lo interesados no pueden visualizarlo si la entidad esta cerrada.
Hemos de partir de la base de que la imagen de una persona en la medida que identifique o pueda identificar a la misma constituye un “dato de carácter personal” que puede ser objeto de tratamiento para diversas finalidades, motivo por el cual la AEPD entiende que se están incumpliendo los siguientes preceptos normativos:
El artículo 13 del RGPD establece la información que deberá facilitarse cuando los datos personales se obtengan del interesado, en virtud del cual:
«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; b) los datos de contacto del delegado de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero; e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso; f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición….”
El artículo 22 apartado 4º de la LOPDGDD que dispone que la entidad que cuente con sistemas de videovigilancia ha de tener un distintivo informativo al respecto:
“El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información”.
Por lo expuesto a lo largo del presente artículo, la AEPD estima conveniente imponer una sanción de 1000€ a la entidad reclamada, los cuales quedarían en 600€ aplicando las reducciones de pronto pago y reconocimiento de responsabilidad de la infracción. La entidad reclamada procede a pagar la cantidad de 600€ por lo que se cierra y finaliza el procedimiento por parte de la AEPD.
En resumen, si cuentas o tienes previsto contar con sistemas de videovigilancia en tu entidad y quieres evitar sanciones del tipo de la analizada deberás de seguir las siguientes pautas:
- Cumple con el principio de responsabilidad proactiva (Art.5.2. RGPD); la entidad que cuente con sistemas de videovigilancia deberá de inscribir el tratamiento de datos de carácter personal en su Registro de Actividades del Tratamiento (RAT) como un tratamiento independiente.
- Ten en cuenta el principio de limitación de finalidad del tratamiento, siendo los datos de carácter personal que se recaben utilizados solamente para la finalidad que ha motivado la instalación de los sistemas de videovigilancia (como por ejemplo la seguridad de las instalaciones).
- No olvides el principio de información (Arts.13 y 14 RGPD), cumpliremos este principio a través del cartel de videovigilancia, el cual ha de estar colocado en todas las entradas videovigiladas de la entidad, avisando al interesado antes de ser grabado. Según la Agencia Española de Protección de Datos (AEPD) este cartel debe contener como mínimo;
- La existencia del tratamiento (videovigilancia).
- La identidad del responsable del tratamiento o del sistema de videovigilancia, y la dirección del mismo.
- La posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD.
- Dónde obtener más información sobre el tratamiento de los datos personales.
- Asimismo, también se pondrá a disposición de los interesados el resto de la información que debe facilitarse a los afectados en cumplimiento del derecho de información regulado en el RGPD.
- Atento al principio de minimización, artículo 5 RPGD, en el ámbito de la videovigilancia, supone que:
- El número de cámaras se limite a las necesarias para cumplir la función de vigilancia.
- Que el responsable analice también los requisitos técnicos de las cámaras, ya que el zoom o las denominadas «cámaras domo» pueden afectar y limitar al citado principio de minimización.
- Evita almacenar las imágenes más tiempo del necesario, Art.22.3 LOPDGDD, indica que los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
- Si cuentas con un prestador de servicios que accede a las imágenes del sistema de videovigilancia es importante que firmes con el un contrato de acceso a datos por cuenta de terceros, cumpliendo con el Art.28 RGPD.
Por lo tanto, si cumples con todas las premisas referenciadas y detalladas en los anteriores párrafos podrás evitar ser sancionado en tu entidad por incumplimiento de la normativa en materia de protección de datos. Si quieres conocer más información al respecto puedes leer otras entradas de nuestro blog al respecto: pinchando aquí y aquí.
