Cada vez son más las entidades que por su propia seguridad optan por la instalación de sistemas de videovigilancia, cuando una organización opta por este sistema de seguridad para sus instalaciones debe atender a la diferente normativa que le aplica, nosotros nos centraremos a la referida en materia de protección de datos:
Contar con un sistema de videovigilancia implica, como regla general, el tratamiento de datos de carácter personal (imágenes), atendiendo a la definición del Art.4.1 RGPD;
“Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”
Por lo tanto, como todo tratamiento de datos de carácter personal la videovigilancia ha de cumplir con las premisas de la normativa en materia de protección de datos, más en concreto con el Art. 22 LOPDGDD;
- Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en la LOPDGDD (Art.11) y RGPD (Arts.12 y 13). A tal fin deberán colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados. Tiene que estar en un lugar visible y cumplimentado correctamente.
- Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible. No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.
- La información hacia los interesados se llevará a cabo a través de un distintivo que como mínimo ha de contener la existencia del tratamiento (videovigilancia), la identidad del responsable del tratamiento o del sistema de videovigilancia, su dirección y la posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD.
- Licitud y transparencia, los datos e imágenes obtenidos con las cámaras deben ser tratados de forma lícita, leal y transparente.
- Limitación del tratamiento, los datos obtenidos a través de los sistemas de videovigilancia han de tratarse solamente para la finalidad para la que se han obtenido y de la cual se ha informado previamente.
- Minimización de los datos, el uso de videocámaras debe basarse en el principio de proporcionalidad, en su doble versión de idoneidad y de intervención mínima.
- Conservación de los datos, el RGPD indica “las grabaciones serán destruidas en el plazo máximo de un mes desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, con una investigación policial en curso o con un procedimiento judicial o administrativo abierto”.
- El responsable del tratamiento ha de adaptar las medidas técnicas u organizativas apropiadas para el sistema de videovigilancia con el que cuente, dichas medidas se encuentran reguladas en el artículo 32 RGPD.
Además, se establece la prohibición de grabar conversaciones o demás sonidos, excepto cuando concurra un riesgo concreto y preciso. En relación con esta prohibición la Agencia Española de Protección de Datos (AEPD) se ha pronunciado, recientemente, a través del procedimiento PS/00377/2021, al cual vamos a dedicar la siguiente parte del presente artículo:
La resolución de referencia se basa en la denuncia de un usuario de un ayuntamiento, el cual en su visita a la casa consistorial es consciente de que se está procediendo a la grabación tanto de imágenes como de sonido a través de una cámara de videovigilancia, todo ello sin previa información, pues si bien se cuenta con un cartel de videovigilancia, este no refleja los aspectos básicos que hemos indicado anteriormente.
A consecuencia de esta falta de transparencia por parte de la corporación local, la parte interesada procede a interponer la pertinente reclamación ante la AEPD, procediendo la autoridad de control a sancionar al ayuntamiento por la instalación de cámaras de videovigilancia, con captación de audio, sin informar de ello, ni a los trabajadores ni a los ciudadanos que acuden al consistorio.
De la resolución indicada se desprende que la motivación de la AEPD para proceder a la imposición de la sanción de apercibimiento se fundamenta en una serie de puntos principales:
- Se detecta por un usuario la presencia de dispositivos de videovigilancia en el interior de las dependencias municipales, procediendo dichos dispositivos a grabar no solo la imagen sino el audio de los usuarios y empleados del ayuntamiento sin haber sido previamente informados de forma lícita. Por lo indicado la AEPD entiende que se está produciendo una invasión enla intimidad de los interesados, además de una infracción del Artículo 5.1.c) RGPD.
- Las cámaras se deben limitar a la finalidad perseguida con las mismas, teniendo que ser informados los representantes legales de los empleados públicos de tales aspectos, así como contar con la correspondiente cartelería que informe que se trata de una zona videovigilada, debiendo existir una relación de proporcionalidad entre la finalidad perseguida (la seguridad) y el modo en el que se capten y se traten los datos.
- El sistema de videovigilancia ha de estar orientado de tal manera que grabe lo estrictamente necesario para su finalidad, en este caso la protección de la seguridad de acceso a las dependencias municipales. Por lo que las mismas no pueden estar orientadas de manera permanente a los puestos de trabajo (en este caso el monitor del ordenador), ni permitir la grabación mediante audio de las conversaciones privadas de los mismos de los empleados.
- Asimismo, los carteles informativos de videovigilancia han de contar con una mínima información para que se consideren lícitos, en este caso concreto los carteles instalados en el ayuntamiento denotan que los mismos están incompletos en cuanto a la información requerida, lo que supone una vulneración de artículo 13 RGPD.
De todo lo expuesto, la AEPD concluye imponiendo al ayuntamiento por una infracción del Artículo 5.1.c) del RGPD y 13 RGPD, tipificada en el Artículo 83.5 a) y b) del RGPD, una sanción de apercibimiento.
Además, ordena a la casa consistorial la adopción de las siguientes medidas en el plazo de un mes desde la resolución;
- Colocar distintivo informativo debidamente homologados al actual RGPD en los principales accesos del Ayuntamiento.
- Informar al conjunto de empleados (as) públicas de las medidas adoptadas en particular las relacionadas con la finalidad (es) del tratamiento.
- Acredite la reorientación de la cámara de entrada de manera que la misma se ciña a la función de seguridad de la Casa consistorial, evitando captar la zona de trabajo de los empleados (as) de manera exclusiva, desactivando en su caso la opción de audio.
Por lo tanto, una vez el ayuntamiento realice dichos cambios estaría cumpliendo con la normativa en materia de protección de datos (LOPDGDD y RGPD).
No queremos finalizar el artículo sin indicar una serie de pautas básicas en materia de protección de datos para tener en cuenta a la hora de instalar sistemas de videovigilancia:
- Toda imagen que permita identificar a una persona será considerada un dato de carácter personal y por ende implica el cumplimiento de la normativa en materia de protección de datos.
- La voz también es considerada un dato de carácter personal (pincha aquí para conocer este tema más a fondo) y como regla general se encuentra prohibida la grabación de conversaciones o demás sonidos a través de los sistemas de videovigilancia, excepto cuando concurra un riesgo concreto y preciso.
- Los datos obtenidos mediante la videovigilancia han de ser objeto de tratamiento independiente y encontrarse debidamente registrados en el Registro de Actividades del Tratamiento de la entidad, todo ello en base al artículo 30 RGPD.
- El distintivo de videovigilancia deberá colocarse antes de que comiencen a realizarse las grabaciones, incluyendo información sobre la existencia del tratamiento, identidad del responsable, derechos de los interesados y donde encontrar la información adicional.
- Los datos de carácter personal, las imágenes, se conservarán durante el menor tiempo posible, no superando, salvo alguna excepción, el plazo máximo de un mes desde su captación.
- En el caso de que se quiera realizar un control laboral por parte del empleador a sus empleados utilizando el sistema de videovigilancia, se deberá informar a estos previamente de manera clara, respetando siempre la dignidad de los trabajadores. Si quieres conocer más sobre el control laboral puedes hacerlo en este post del presente blog.
- Si el servicio de videovigilancia se ha encargado a un tercero se exige la firma de un contrato de acceso a datos por cuenta de terceros, siendo consecuencia esto del acceso a las imágenes de dicha empresa externa y todo ello en virtud del artículo 28 RGPD.
- En el caso de que contemos con un sistema de seguridad, alarma que solamente proceda a la grabación si se detecta alguna presencia de una persona física también debe ajustarse al cumplimiento de todo lo indicado en los puntos anteriores y en el artículo 22 LOPDGDD.