Video vigilancia y privacidad en la empresa privada

Instrucción 1/2006, de 8 de noviembre, de la AEPD (Agencia Española de Protección de Datos) sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras .

Instrucción 1/2007, de 16 de mayo, de la APDCM (Agencia de Protección de Datos de la Comunidad de Madrid), sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los Órganos y Administraciones Públicas de la Comunidad de Madrid.

Instrucción 1/2009, de 10 de febrero, de la APDCAT (Autoridad Catalana de Protección de Datos), sobre el tratamiento de datos de carácter personal mediante cámaras con fines de video vigilancia.

[Derogado en todo lo que se oponga a la nueva Ley de seguridad privada] Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de seguridad privada .

Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores (6) .

Ley 25/2009, de 22 de diciembre (Ley Ómnibus), de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (7) .

Real Decreto 195/2010, de 26 de febrero, por el que se modifica el Reglamento de seguridad privada (8) .

En el ámbito de la empresa privada, podemos distinguir diferentes finalidades para la utilización de video vigilancia:

NOTA DEL EDITOR . Aunque éste artículo trate sobre la videovigilancia en la empresa, si las videocámaras se instalan con la finalidad de garantizar la seguridad de una vivienda particular sí deberá cumplirse lo dispuesto en la Instrucción 1/2006, de 12 de Diciembre de la AEPD y demás de aplicación, concretamente cuando se trate de espacios comunes en comunidades de propietarios, urbanizaciones privadas o cuando afecte al personal del servicio doméstico.

Empresa que adopta el sistema: Responsable de fichero (Data Controller): Cuando una empresa decide incorporar un sistema de video vigilancia, y su finalidad, debe cumplir con los principios de protección de datos de carácter personal.

Empresa que visiona y registra las grabaciones por encargo del responsable: Encargado del tratamiento (Data Processor): En el caso de que exista un encargado de tratamiento, es decir, una empresa de seguridad contratada para vigilar y custodiar las imágenes, la relación entre responsable y encargado deberá formalizarse y conllevará también otras obligaciones.

En ese caso, en el cartel de "zona videovigilada" Empresa de seguridad que decide, por delegación, que medios, y con qué finalidad, se implantarán y gestionarán: Responsable del tratamiento (Data Controller): : Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento". deberá constar la tercera empresa de seguridad como ante quién ejercer los derechos , si procede, por parte de los afectados. Debe analizarse con detenimiento cada caso concreto para poder discernir si nos encontramos ante este supuesto o ante el planteado en el párrafo anterior.

Empresa de mantenimiento de la instalación: Encargado del tratamiento (Data Processor): En el caso de ser una empresa distinta de la que vigila y custodia las imágenes. Siempre que tenga o pueda tener acceso aunque sea ocasional al visionado, deberá formalizarse mediante el preceptivo contrato de acceso a datos o cláusula de confidencialidad por prestación de servicio sin acceso específico a datos.

Backup de imágenes en el CLOUD : Encargado del tratamiento (Data Processor): Los datos en formato imagen suelen consumir mucho espacio de almacenamiento en disco pese a utilizar técnicas de compresión. Si las grabaciones deben conservarse hasta un mes permaneciendo activas, pero hasta tres años canceladas, no es descabellado pensar en éste supuesto. El CSP (Cloud Services Provider) que almacenará los datos será considerado un Encargado del tratamiento. Debe tenerse en cuenta en qué país se almacenarán las imágenes por si al estar fuera del EEE(Espacio Económico Europeo) debe contemplarse una TID (Transferencia Internacional de Datos).

A modo de resumen, estos son los principios de protección de datos que deben ser cumplidos:

El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias". La garantía del derecho a la protección de datos, conferida por la normativa de referencia, requiere que exista una actuación que constituya un tratamiento de datos personales en el sentido expresado. En otro caso las mencionadas disposiciones no serán de aplicación. De acuerdo con dicha definición de tratamiento de datos personales, la captación de imágenes de las personas constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la normativa citada.

En consecuencia, podemos afirmar, al amparo de lo dispuesto en los artículos 3 y 7.2 de la Instrucción 1/2006, que la utilización de sistemas de videocámaras con fines de seguridad, que no graban imágenes, constituyen un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero a registrar en la AEPD.

Veamos un ejemplo de ley habilitadora de las videocámaras: Cuando éstas se instalan en una empresa y enfocan y graban únicamente imágenes de los empleados trabajando,
Si una ley exime de recabar el consentimiento, este no será necesario a la hora de recoger y tratar datos de carácter personal , como ocurre en el caso de grabación por cámaras de videovigilancia donde únicamente se cumple con el deber de informar mediante el/los cartel(es) correspondiente(s). Por ejemplo la Ley 5/2014, de 4 de Abril, de Seguridad Privada (LSP) en su artículo 42.1; El Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores, en su artículo 20.3; etc.
si la FINALIDAD es "el control laboral" por parte del empresario , y ha sido debidamente informada a los trabajadores y a sus representantes, queda habilitado el tratamiento por el Real Decreto Legislativo 1/1995, de 24 de marzo, conocido como Estatuto de los Trabajadores en su artículo 20.3 sobre medidas de control empresarial .
Otros ejemplos de ley habilitadora pueden consultarse en el apartado 13.8. (LEY 5/2014, DE 4 DE ABRIL, DE SEGURIDAD PRIVADA) de este mismo artículo.

5. PRINCIPIO DE PROPORCIONALIDAD

La recogida y tratamiento de datos de carácter personal debe efectuarse desde su subordinación a los principios de calidad de los datos y de proporcionalidad que establece la Ley. No puede obviarse que estamos tratando de un derecho fundamental.

Con carácter previo a la instalación de un sistema de video vigilancia el responsable del fichero debe analizar si no es posible alcanzar el fin perseguido con la citada instalación, mediante la adopción de otros medios que sean menos intrusivos para la protección de datos de carácter personal. Esto supone aplicar en consecuencia el principio de proporcionalidad.

"Artículo 4. Principios de calidad, proporcionalidad y finalidad del tratamiento.

Concretamente la Instrucción 1/2009, de 10 de febrero, de la ACPD cita textualmente:

Artículo 10. Memoria

j) Medidas de seguridad: concreción del nivel de seguridad exigible y descripción de las medidas de seguridad aplicadas.

10.2 La información a que se refieren los apartados e) y g) debe ir acompañada de la información gráfica correspondiente. 10.3 En los ficheros de titularidad pública, esta Memoria puede formar parte de la memoria prevista en el procedimiento de elaboración de disposiciones de carácter general.

El/los licitador/es aportarán una memoria descriptiva de las medidas que adoptarán para asegurar la confidencialidad e integridad de los datos manejados y de la documentación facilitada. Asimismo, el/los adjudicatario/s deberán comunicar a "el organismo contratante", antes de transcurridos siete días de la fecha de comunicación de la adjudicación, la persona o personas que serán directamente responsables de la puesta en práctica y de la inspección de dichas medidas de seguridad, adjuntando su perfil profesional.

El responsable del fichero debe cumplir con el deber de información regulado en el artículo 5 de la LOPD, puesto que mediante los sistemas de video vigilancia se recaba y trata el dato de la imagen, que es un dato de carácter personal.

No es posible el ejercicio del derecho de rectificación, ya que por la naturaleza de los datos -imágenes tomadas de la realidad que reflejan un hecho objetivo-, se trataría del ejercicio de un derecho de contenido imposible.

Tampoco es posible el ejercicio del derecho de oposición, ya que si éste se interpreta como la imposibilidad de tomar imágenes de un sujeto concreto en el marco de instalaciones de videovigilancia vinculadas a fines de seguridad privada no resultaría posible su satisfacción en la medida en la que prevalecería la protección de la seguridad.

9.2.5. Recurso ante denegación del ejercicio de los derechos

La LOPD señala que los datos (en este caso, las imágenes) sólo se podrán conservar por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron, y en todo caso, según la Instrucción 1/2006, de 12 de diciembre, deben ser canceladas en el plazo de un mes desde su captación:

Esta facultad de vigilancia y control que la legislación laboral otorga al empresario, se ve en parte limitada con la obligación de la emisión de un informe por el Comité de Empresa con carácter previo en lo que respecta a la "implantación o revisión de sistemas de organización y control del trabajo". L a normativa exige su comunicación a los representantes de los trabajadores, en tanto que el artículo 64.1 del Estatuto de los Trabajadores dispone que el comité de empresa tiene derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, y en el punto 5 que el comité de empresa tiene derecho a emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por éste, sobre las siguientes cuestiones, entre otras, el apartado f) se refiere a la implantación y revisión de sistemas de organización y control del trabajo.

(comité de empresa, delegados de personal, sindicales, de prevención, etc.) Los representantes de los trabajadores no son órganos de la empresa, por lo que la puesta a su disposición de los instrumentos de videovigilancia, o entrega total o parcial de las imágenes de los trabajadores, constituye una cesión de datos, sujeta a los requisitos del artículo 11 de la LOPD. Lo cual implica que es necesario el consentimiento de los trabajadores afectados (es decir, de todos los que hayan sido captados por las cámaras).

Y por último, deberán adoptarse las correspondientes medidas de seguridad.

La videovigilancia en parkings y zonas de aparcamiento presenta una serie de peculiaridades que la hacen merecedora de un apartado específico en este estudio. La razón es simple: Se entremezclan grabación de imágenes de personas junto a matrículas de vehículos . También se dan diferentes tipos de finalidades: Vigilancia y seguridad de instalaciones y personas , así como control de accesos (apertura de barreras) y facturación en base a la verificación automática de la matrícula del vehículo.

Lo primero que debemos plantearnos es si las matrículas de vehículos y las imágenes grabadas de personas son datos de naturaleza personal:

• Según la AEPD los caracteres que conforman la matrícula de un automóvil son un dato de carácter personal ya que, mediante el "Registro de Vehículos" (Registro General de la DGT), se posibilita el conocer los datos del titular de un vehículo sin requerirse un esfuerzo desproporcionado. [En el apartado siguiente lo analizaremos con más detalle].
• La imagen de las personas grabadas mediante las cámaras de videovigilancia también son datos de naturaleza personal debido a que pueden identificarlas.

En consecuencia deben notificarse ambos tipos de datos aunque no podemos hacerlo consolidándolos en un mismo fichero, pese a ser ambos de imágenes, al tratarse de finalidades claramente diferenciadas.

Por una parte el Gabinete Jurídico de la AEPD, en su informe 0427/2010, concluye lo siguiente:

Es identificable el titular de un vehículo a partir de la aprobación del Reglamento General de Vehículos, en virtud de Real Decreto 2822/1998, de 23 de diciembre, cuyo artículo segundo establece en su párrafo primero que: "la Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados, que adoptará para su funcionamiento medios informáticos y en el que figurarán, al menos, los datos que deben ser consignados obligatoriamente en el permiso o licencia de circulación, así como cuantas vicisitudes sufran posteriormente aquéllos o su titularidad".

En cuanto a su finalidad, el párrafo segundo del precepto previene que: "estará encaminado preferentemente a la identificación del titular del vehículo, al conocimiento de las características técnicas del mismo y de su aptitud para circular, a la comprobación de las inspecciones realizadas, de tener concertado el seguro obligatorio de automóviles y del cumplimiento de otras obligaciones legales, a la constatación del Parque de Vehículos y su distribución, y a otros fines estadísticos".

Por último, y en lo atinente a la publicidad de sus datos, el párrafo tercero del citado artículo 2 añade que: "el Registro de Vehículos (...) será público para los interesados y terceros que tengan interés legítimo y directo, mediante simples notas informativas o certificaciones".

De lo que se ha venido indicando cabe desprender que la identificación del titular de los vehículos cuya matrícula sea conocida únicamente exigirá la consulta del Registro de Vehículos, cuya finalidad esencial es la identificación del titular , para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante.

Otro informe de la AEPD, que se pronuncia en el mismo sentido, es el Informe 425/2006, (13) sobre matrículas de vehículos y concepto de dato de carácter personal.

No obstante, la SAN 5832/2013 de la Sección 1ª de la Sala de lo Contencioso, en relación al recurso 89/2012 y pronunciada el 26 de diciembre de 2013, viene a contradecir el criterio aplicado hasta ahora por la AEPD en relación a la consideración del número de matrícula de un vehículo, por sí solo, como un dato identificativo personal.

NOTA DEL EDITOR. Aunque se citen todas las leyes e informes que afectan a la videovigilancia cronológicamente, debe considerarse que ciertos artículos de leyes posterioresmodifican o derogan artículos de leyes anteriores.

El Tribunal Supremo dictó la Sentencia, de 14 de junio de 2005 en recurso de casación para unificación de doctrina. Se venía a establecer que no se infringía la LSP cuando la conducta consistía en la mera instalación y colocación de cámaras de videovigilancia. En cambio, las labores de control, seguimiento y, en definitiva, vigilancia (por ejemplo, visionado de las imágenes grabadas) debían llevarse a cabo por empresas de seguridad autorizadas por el Ministerio del Interior.

Ministerio del Interior. Informe sobre instalación y mantenimiento de cámaras de video-vigilancia.(Marzo de 2009)

Por el contrario, las actividades o conductas en las que se concreta el hecho físico de la instalación, no tienen por qué ser necesariamente realizadas por empresas que estén inscritas en dicho Registro como Empresas de Seguridad.

e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta.

Disposición adicional sexta: Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma,quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.

A efectos de su instalación y mantenimiento, tendrán la misma consideración que las centrales de alarmas los denominados centros de control o de video vigilancia, entendiendo por tales los lugares donde se centralizan los sistemas de seguridad y vigilancia de un edificio o establecimiento y que obligatoriamente deban estar controlados por personal de seguridad privada."

En consecuencia, la instalación, venta o mantenimiento de sistemas de video vigilancia puede realizarse por particulares y empresas cuyo objeto no sea la seguridad privada, a condición de que la instalación no se conecte con centrales de alarma.

Artículo 42. Servicios de videovigilancia.

Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales.

No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control de accesos a aparcamientos y garajes , o las actividades que se desarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal distinto del de seguridad privada.

4. Las grabaciones realizadas por los sistemas de videovigilancia no podrán destinarse a un uso distinto del de su finalidad. Cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes, respetando los criterios de conservación y custodia de las mismas para su válida aportación como evidencia o prueba en investigaciones policiales o judiciales.

5. La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima.

Los párrafos segundo y tercero del artículo 1 de ésta ley 5/2014, de 4 de abril, de seguridad privada, vienen a dar forma a la liberalización parcial del uso de los sistemas de videovigilancia tras la entrada en vigor de la Ley 25/2009, de 22 de diciembre, conocida como " ley Omnibus ". En esa ley, con excepción de que la instalación de videovigilancia estuviera conectada a una central de alarma, legitimaba a cualquier empresa o particular su adquisición e instalación siempre que cumpliera con los requisitos de la demás normativa aplicable.

Si bien estando en vigor esa ley no se marcaba ningún límite "" en lo referente a la finalidad de la instalación, la nueva ley de seguridad privada distingue entre comprobación del estado de instalaciones o bienes" y prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados ", disponiendo en este último caso que los servicios "serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales".

El artículo 5 de la nueva Ley de seguridad privada clarifica en su artículo 5.1 aquellas actividades que se consideran de seguridad privada. En lo que se refiere a la videovigilancia nos puede interesar:

"a) La vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto públicos como privados, así como de las personas que pudieran encontrarse en los mismos.

f) La instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o acentros de control o de videovigilancia.
g) La explotación de centrales para la conexión, recepción, verificación y, en su caso, respuesta y transmisión de las señales de alarma, así comola monitorización de cualesquiera señales de dispositivos auxiliares para la seguridad de personas, de bienes muebles o inmuebles o de cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y Cuerpos de Seguridad competentes en estos casos".

Por su parte, el artículo 6.1 de la nueva ley de seguridad privada, sin perjuicio de la normativa específica que pudiera resultar de aplicación, clarifica las actividades que quedan fuera del ámbito de aplicación de esta ley:

"(...) b) La fabricación, comercialización, venta o entrega de equipos técnicos de seguridad electrónica, así como la instalación o mantenimiento de dichos equipos siempre que no estén conectados a centrales de alarma o centros de control o de videovigilancia.

Si analizamos el artículo 42.1 de la LSP, vemos que distingue entre una doble casuística:

• ", según dispone la ley 5/2014, de 4 de abril, de seguridad privada, en su artículo 42.1 párrafo segundo, Si la videocámara se instala con la FINALIDAD de "evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados habilita el tratamiento si es"prestado necesariamente por vigilantes de seguridad".

• vemos que la misma ley 5/2014 en su artículo 42.1 párrafo tercero dispone que Si la videocámara se instala con la FINALIDAD de "comprobación del estado de instalaciones o bienes y (...)" "estas funciones podrán realizarse por personal distinto del de seguridad privada".

Vemos que todo depende de la finalidad del tratamiento y, por extensión, de cómo se haya declarado el fichero ante el RGPD de la AEPD.

- Ley [derogada - ver (11)]23/1992, de 30 de julio, de Seguridad Privada. 4 de Agosto de 1992. 18489.

- (5) BOE nº 8. Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada. 10 de Enero de 1995. 607.

- Real Decreto 195/2010, de 26 de febrero, por el que se modifica el Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada, para adaptarlo a las modificaciones introducidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada, por la Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la ley sobre el libre acceso a las actividades de servicios y su ejercicio. 10 de Marzo de 2010. 3996.

- (10) MINISTERIO DEL INTERIOR. Informe sobre instalación y mantenimiento de cámaras de video-vigilancia en las vías públicas. (Marzo de 2009).

El cartel de zona videovigilada ha sido facilitado por la AEPD.

Se publican diversas tablas de la anterior APDCM.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

José Luis Colom Planas es auditor y consultor empresarial especializado en protección de datos y gestión de la seguridad de la información.A partir de su dilatada experiencia, edita el Blog temático "Aspectos Profesionales" relacionado con el Derecho digital en sentido amplio.

Posee un doble perfil, jurídico y tecnológico que le facilita el desempeño profesional en el ámbito de la privacidad: Ha cursado Ingeniería técnica de Telecomunicaciones en "la Salle BCN" estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). También ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia.

Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos .