¿Necesitamos una base de legitimación para suprimir las imágenes?
Hace unas semanas, una famosa cadena de supermercados era sancionada (PS/00267/2021) por la Agencia Española de Protección de Datos por no haber atendido el derecho de acceso de una clienta a las imágenes captadas por las cámaras de videovigilancia de uno de sus establecimientos, procediendo al borrado de las mismas pasado el mes desde su captación. En el artículo de hoy, vamos a desgranar las infracciones cometidas por la entidad, así como las soluciones que pueden implementarse de cara al futuro.
Poniéndonos en antecedentes, la reclamante, que había sufrido un accidente días antes en uno de los supermercados, se pone en contacto con el Departamento de Atención al Cliente de la entidad, solicitando copia de las imágenes captadas por el sistema de videovigilancia del día del siniestro a través del formulario web.
A falta de contestación, reitera la petición a través del canal de denuncias y, semanas más tarde, se pone en contacto a través de su representante con el Delegado de Protección de Datos de la entidad, quien le informa de que las imágenes habían sido borradas por haber transcurrido el plazo máximo de conservación, negando haber recibido la solicitud de acceso pertinente. Tras este hecho, la clienta decide interponer reclamación ante la AEPD, que finalmente sanciona a la entidad por los siguientes quebrantos en la normativa:
- Infracción del artículo 12 RGPD con relación al derecho de acceso contenido en el artículo 15 RGPD: No se atendió la solicitud de acceso.
La entidad señala que la solicitud de acceso de la reclamante no fue gestionada debido a que no llegó a conocimiento del delegado de Protección de Datos por un error humano involuntario en la gestión de la solicitud, que impidió que la misma llegase a conocimiento del DPD, siguiendo un procedimiento no automatizado para la comunicación de solicitudes de ejercicio de derecho.
A pesar de esta “anomalía en el funcionamiento”, tal y como la define la propia AEPD, la entidad ha implantado un sistema de reglas de flujo de correo en el Exchange Server (también conocidas como reglas de transporte), mediante las cuales se orienta el flujo de mensajes dentro de la organización, automatizándose la notificación al DPD siempre que se cumplan ciertos criterios, buscando minimizar el riesgo para los derechos y libertades de las personas.
A mayor abundamiento, durante la instrucción del procedimiento, la reclamante llegó a un acuerdo con la entidad reclamada, quedando resarcidos los daños y perjuicios sufridos por el accidente y por la no atención del derecho de acceso a sus datos personales, solicitando que se considere atendida su reclamación y se procediese al archivo del procedimiento, entendiendo que así han quedado restaurados las garantías y derechos de la interesada.
La AEPD, por su parte, señala que el desistimiento de quien reclama no es suficiente para proceder al archivo de un procedimiento sancionador incoado, pues la reparación que entiende la entidad que se ha producido tras la satisfacción extrajudicial de lo acontecido, no exonera a la entidad de la responsabilidad derivada de los incumplimientos, pues el acuerdo puede compensar los daños, pero no restaura el derecho no atendido, al haberse suprimido los datos.
Es decir, a pesar de la involuntariedad del error y la indemnización por el accidente, la aplicación de la normativa en materia de protección de datos no puede quedar desvirtuada, más si tenemos en cuenta que el propio artículo 12 RGPD establece que el responsable del tratamiento debe de desplegar todas las medidas oportunas y necesarias para facilitar al interesado el ejercicio de derechos, debiendo contestar en todo caso en el plazo máximo de un mes, haciendo alusión a que si el error es provocado por la falta de diligencia en nuestras actuaciones como responsable, el tipo es aplicable.
Además, debemos tener en cuenta que a pesar de que existan dentro de la entidad cauces específicos para la recogida y tramitación de solicitudes de ejercicio de derechos, lo cierto es que el interesado puede usar cualquier otro canal para dicho ejercicio, como fue el caso, razón por la que es más que conveniente clarificar de forma concisa y transparente toda la información relacionada con dicho tratamiento, pues a pesar de no eliminarse el riesgo a que puedan llegar peticiones por otros cauces, reducimos la posibilidad de pérdida.
Es por ello por lo que, en función del tamaño, sector y predisposición de la entidad, además de establecer líneas directas entre los distintos departamentos con vinculación a terceros y el DPD, así como la formación del personal para saber discernir cuándo podemos encontrarnos ante tales ejercicios de derechos, pasaría por disponer de un apartado web específico, fuera de lo contenido en la política de privacidad, en la que nos encontráramos con un formulario exclusivo para el ejercicio de derechos.
Por otro lado, debemos tener en cuenta que el interesado que realiza la petición no tiene por qué conocer la jerga técnica o el contenido del clausulado normativo, por lo que habrá casos en los que a pesar de no hacer referencia explícita, por ejemplo, al artículo 15 del Reglamento o al “derecho de acceso”, cuando recibamos dicho mensaje, debemos tener la capacidad de interpretar (siempre dentro de unos márgenes que nos da el sentido común) qué es lo que se nos está pidiendo y, en cualquier caso, consultar al DPD de la entidad si surgen dudas.
- Infracción del artículo 6 RGPD: Falta de legitimación para el borrado de las imágenes.
La entidad reclamada, además de no facilitar el acceso a las imágenes de las cámaras de seguridad, procedió al borrado de las imágenes (que lo tienen establecido en el máximo, esto es, 30 días desde su captación), debido a un error en la cadena de comunicación de la solicitud de acceso, pues fue la falta de esta la que impidió la entrega de las imágenes, aduciendo la entidad reclamada que no se ha incumplido disposición alguna que establezca una obligación de conservación de las imágenes, ya que el artículo 22.3 LOPDGDD sólo contempla la conservación si un tercero atenta contra la integridad de personas, bienes o instalaciones, debiendo ser puestas a disposición de la autoridad competente en un plazo máximo de 72h desde que se tuviera conocimiento de la existencia de la grabación, pero que no podrían bloquearse ni conservarse sin motivo, pues no sería proporcional guardar por defecto las imágenes de todo aquel que sufra un accidente por si decide ponerse en contacto con la entidad para buscar ejercer su derecho a la tutela judicial. Aceptar lo contrario, insiste la entidad reclamada, supondría la obligación de los responsables de revisar todas las grabaciones diariamente en la que una persona pudiera haberse caído, desmayado, etc…
En definitiva, la entidad reclamada aduce que en modo alguno puede argumentarse que exista una obligación general de conservación que contradiga el plazo máximo legal de almacenamiento de las imágenes, con independencia de que este salvaguardara un posible derecho a la tutela judicial efectiva de una persona que no ha ejercitado un derecho de acceso, con la consiguiente valoración de si nos encontramos ante un interés legítimo del interesado que pueda justificarla extensión del plazo.
Por parte de la AEPD, llama poderosamente la atención de que a pesar de que tras la entrada en vigor del RGPD y LOPDGDD, queden reminiscencias vigentes de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámara, como es el artículo 6, que asevera que “los datos serán cancelados en el plazo máximo de un mes desde su captación”, sobre todo si tenemos en cuenta que habría que interpretarlo de conformidad con la normativa actual, que ha desplazado esta denominación por la de supresión, de modo que podemos concluir que, a pesar de que en ambos casos el plazo máximo de conservación es de un mes, y que la operación de tratamiento que acontece es la supresión de los datos, para estos casos habría que acudir a dicho precepto.
Si tomamos esto en consideración, el supuesto contenido en el artículo 22 LOPDGDD se circunscribe exclusivamente al tratamiento de videovigilancia con base en el cumplimiento de una misión realizada en interés público con la finalidad de proteger los bienes y personas, pero no para aquellos casos en los que concurra una petición de ejercicios basada en el interés legítimo de un particular.
Por otro lado, la reclamada alegaba como hemos señalado antes, que no se requiere base de legitimación para la supresión de las imágenes. Pues bien, el artículo 4 del RGPD define “tratamiento de datos” como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales … como la recogida, registro, organización, estructuración, conservación, … o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Es decir, dentro de un tratamiento, que en este caso es el de videovigilancia, se realizan varias operaciones de tratamiento que son naturales por el recorrido que realiza el dato desde su recopilación por las cámaras de videovigilancia hasta que el mismo es suprimido, de hecho, dado el tipo de videocámara y finalidad, encontraríamos las operaciones de registro, almacenamiento o conservación, acceso, posible cotejo, extracción y transmisión (en el caso de un acceso), y la supresión.
Cada una de estas operaciones suponen un tratamiento de datos en sí mismo que forman parte de una actividad que las engloba, pero en ningún caso esto implica que haya que buscar una base diferente o adicional a la inicial, siempre que estas sean adecuadas y pertinentes a la finalidad expresada e informada.
La entidad señala que sólo hay que buscar base de legitimación para los tratamientos en positivo, como es la recopilación o el almacenamiento, pero no para los negativos, como sería la supresión, porque al decaer la necesidad (establecida o no por un plazo legal) por la que se llevó a cabo el tratamiento, su licitud también.
Aun tomando esto como punto de partida, la AEPD puntualiza que la supresión no se debía haber producido pues la base de legitimación para la conservación de las imágenes (que impedía el borrado) venía determinada por la solicitud de acceso.
Además, sostiene que en estos casos existe una colisión de derechos entre la protección de datos y la tutela judicial efectiva, y que el primero cede en favor del segundo, de modo que se podría haber extendido el plazo de conservación más allá del máximo establecido puesto que las imágenes captadas constituían una prueba para la defensa de los intereses de la reclamante.
Por todo ello, la AEPD, considera que existe una habilitación legal para el tratamiento de los datos de las imágenes una vez rebasado el plazo establecido para su supresión, siempre que el mismo busque garantizar la tutela judicial efectiva (derivada de lo dispuesto en el artículo 24 CE), resultando esta conservación acorde con los principios de necesidad y proporcionalidad según el caso.
En definitiva, por encima del plazo máximo legal dispuesto en la normativa relativo a la supresión de las imágenes, se encuentra la aplicación de los principios contenidos en el artículo 5 RGPD, de modo que, en cada caso, debemos poner de relieve si es o no pertinente y proporcional la operación de tratamiento. Además, habrá que implementar medidas organizativas claras y concisas que deriven el flujo de las peticiones en materia de derechos al departamento correspondiente o al mismo DPD, para lo que es necesario formar previamente al personal que está en contacto con los interesados, así como la creación de un canal de consultas internas para aquéllos casos en que surjan dudas a la hora de derivar las peticiones de ejercicio de derechos y verificando de forma regular que el procedimiento interno diseñado para la gestión de dicho ejercicios funciona correctamente.
Para más información sobre videovigilancia y protección de datos, os dejo dos artículos aquí y aquí