Algunos aspectos sobre la videovigilancia para fines de seguridad

Las imágenes que se obtienen por medio de un sistema de videocámaras son datos de carácter personal y, por lo tanto, lo que se haga con ellas (es decir, los tratamientos que se lleven a cabo con dichas imágenes -y sonidos-) deberá ser conforme a lo determinado por la normativa de protección de datos: el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales principalmente.

Podemos considerar que las finalidades por las que se instalan los sistemas de videovigilancia se dividen en dos clases, o para fines de seguridad o para fines diferentes de la seguridad; en este segundo caso se pueden poner como ejemplos las grabaciones llevadas a cabo en centros educativos, la monitorización de pacientes en centros sanitarios o la videovigilancia para el control empresarial en una relación laboral. En esta entrada vamos a centrarnos en la videovigilancia con la primera finalidad, la de seguridad de las personas, los bienes y las instalaciones.

Las obligaciones en este caso, en materia de tratamientos de imágenes por medio de un sistema de videovigilancia, tal y como nos recuerda la Agencia Española de Protección de Datos en su reciente expediente sancionador nº EXP202301411, son las siguientes:

  1. Todas las personas, ya sean físicas o jurídicas, públicas o privadas, están en su derecho de instalar un sistema de videovigilancia con la finalidad de preservar la seguridad de las personas, los bienes y las instalaciones. Para ello, previamente, debe haberse determinado si para alcanzar esa finalidad de protección no exista otra forma menos intrusiva de hacerlo, es decir, que se afecte en menor medida a los derechos y las libertades de los ciudadanos que van a ser grabados.

  2. Las imágenes obtenidas (y sonidos) no se van a poder usar más tarde para otras finalidades posteriores que vayan a ser incompatibles con la finalidad de seguridad por la que se instaló el sistema de videovigilancia.

  3. Se debe informar a los afectados antes de que puedan ser grabados por el sistema, y esta información hay que hacerla en dos capas, es decir, de la manera siguiente:

    1. En una primera capa, que debe quedar expuesta en un dispositivo o en un mensaje colocado en un lugar suficientemente visible, hay que avisar de la existencia de la videovigilancia, de quién o quiénes son los responsables de esta, de la posibilidad que tienen las personas cuya imagen va a ser obtenida por medio de la videovigilancia de ejercer los derechos de protección de datos personales previstos en su normativa y dónde pueden obtener más información sobre el tratamiento de sus datos personales.

    2. En la segunda capa, que debe estar disponible en un lugar de fácil acceso y visibilidad y debe, por tanto, estar colocada en un espacio público o en un sitio web, hay que informar del resto de elementos que, según los artículos 13 y 14 del Reglamento General de Protección de Datos, hay que dar noticia a los interesados: de a qué destinatarios se van a ceder los datos, si se van a transferir a un tercer país y de qué garantías ofrece el responsable en estas transferencias, el plazo de conservación de los datos (imágenes o imágenes y sonidos), si con esos datos se va a proceder más adelante a tomar decisiones automatizadas, y si posteriormente esa información, esos datos, esas imágenes y sonidos van a ser utilizados para otros fines… otros fines que bajo ningún concepto pueden ser, como hemos visto anteriormente, incompatibles con los fines de seguridad con los que se instaló el sistema de videovigilancia.

  4. El tratamiento de imágenes mediante videovigilancia debe ser lícito y ajustarse a dos principios concretos de la protección de datos y que se encuentran recogidos en el artículo 5 del Reglamento, el de proporcionalidad y el de minimización de los datos (es decir, que el uso de los datos debe estar limitado a lo necesario en relación con los fines para los que se obtuvieron).

  5. Las imágenes pueden conservarse un plazo máximo de un mes desde que fueron recogidas salvo que se deban conservar para acreditar la comisión de actos que hayan atentado contra la integridad de las personas, de los bienes o de las instalaciones; en ese caso, se deberán poner las imágenes a disposición de la autoridad competente, disponiéndose para ello de un plazo máximo de 72 horas.

  6. El responsable del tratamiento deberá cumplir con las siguientes obligaciones generales de protección de datos:

    1. Llevar un registro de todas las actividades de tratamiento que lleve a cabo.

    2. Realizar un análisis de riesgos o una evaluación de impacto relativa a la protección de datos del tratamiento de videovigilancia, para detectar los riesgos derivados de la implantación del sistema para los derechos y libertades de las personas físicas (que puedan ser captados por las cámaras), valorarlos y adoptar las medidas de seguridad apropiadas. En el caso de que se tenga que realizar una evaluación de impacto, el art. 35 del Reglamento General de Protección de Datos obliga a que se haga con el asesoramiento del Delegado de protección de datos.

  7. Si se produce una brecha de seguridad que afecte a los derechos y las libertades de las personas físicas, el responsable del tratamiento deberá notificarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Se entiende que ha tenido lugar una brecha de seguridad cuando los datos:

    1. Se han perdido o han sido destruidos, ya sea accidentalmente o con voluntad de hacerlo.

    2. Han sido alterados, ya sea de nuevo de forma accidental o, por el contrario, de forma voluntaria (y se supone que también de forma ilícita), ya sea en su transmisión o en su conservación (o incluso en su recogida).

    3. Se produce una comunicación de esta información o un acceso no autorizado a ella.

  8. Cuando el sistema vaya a estar conectado a una central de alarma, solo podrá hacer su instalación una empresa de seguridad privada, tal y como así lo determina el art. 5 de la Ley 5/2014, de 4 de abril, de Seguridad Privada, que son, conforme a la definición que de ellas se hace en el art. 2 de esta ley, las “personas físicas o jurídicas, privadas, autorizadas o sometidas al régimen de declaración responsable, para prestar servicios de seguridad privada”, y que tienen que encontrarse inscrita en el Registro Nacional de Seguridad Privada (o en el registro autonómico equivalente).

Finalmente se recuerda que en muchas ocasiones los responsables o encargados del tratamiento tienen que haber designado un Delegado de protección de datos (como mínimo, para todas las entidades enumeradas en el artículo 34 de la Ley 3/2018), pero que el Reglamento, en su artículo 37, determina que el nombramiento es necesario cuando “las actividades principales… requieran una observación habitual y sistemática de interesados a gran escala”, y puede darse el caso de que un sistema de videovigilancia se instale para llevar a cabo justamente esta “observación habitual y sistemática de interesados a gran escala”.

Te interesa:

658 140 999

Llámanos

Menú