La Agencia Española de Protección de Datos impuso a un Hotel de San Sebastián una multa de 1000 Euros por tener instaladas dos cámaras de videovigilancia que enfocaban la calle sin señalizar, es decir, que tuvo sanción por disponer de cámaras que graban la calle.
En sus alegaciones, el Hotel manifestó que disponía de 18 cámaras interiores activas que estaban señalizadas, y que en el exterior tenían tres falsas y que por tanto estaban sin señalizar.
Sin embargo, la denuncia de la ciudadana que motivó el expediente informaba de que las cámaras estaban junto a una valla metálica que, por su ubicación y orientación eran susceptibles de captar imágenes de la vía pública.
QUÉ TRATAMIENTO PODEMOS DAR A ESTOS DATOS PERSONALES
En relación al tratamiento de datos personales mediante la captación de imágenes a través de un sistema de videovigilancia con la finalidad de preservar la seguridad de las personas y los bienes, así como de sus instalaciones, hay que decir, en primer lugar, que se debe distinguir entre el tratamiento las imágenes por razones de seguridad pública del tratamiento con fines de seguridad privada.
Esta distinción tiene importancia porque en las vías públicas solo están legitimados para captar las imágenes personales las Fuerzas y Cuerpos de Seguridad conforme a lo establecido en la Ley Orgánica 4/97, que regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y en la Ley Orgánica 7/2021, sobre tratamiento de datos, incluidos los obtenidos por la videovigilancia de acuerdo con lo establecido en los artículos 15 a 18 de la misma, para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales y de prevención de la seguridad ciudadana.
LIMITACIONES EN EL TRATAMIENTO
Por tanto, la primera limitación del tratamiento de imágenes con fines de videovigilancia por razones de seguridad privada es que las cámaras instaladas no pueden grabar la vía pública salvo, a tenor de lo establecido en el artículo 22.2 de la Ley Orgánica 3/2018, de Protección de Datos de carácter personal y Derechos Digitales, “que sea imprescindible para la finalidad mencionada en el apartado anterior”.
Además, añade que: “…. Será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos, o de infraestructuras vinculadas al transporte, sin que en ningún caso puedan suponer la captación de imágenes del interior de un domicilio privado”.
Es decir, que en las instalaciones catalogadas como infraestructuras críticas o estratégicas, especialmente las del transporte, de acuerdo con la Ley 8/2011 y su Reglamento aprobado por Real Decreto 704/2011, vinculadas a los servicios esenciales para la comunidad, las cámaras pueden captar un espacio público mayor si fuere necesario para garantizar la seguridad perimetral exterior a las instalaciones, con la limitación de que, en ningún caso, pueden captar un ámbito de privacidad como es un domicilio privado.
El apartado 1 del legitima que las personas físicas o jurídicas puedan instalar cámaras de videovigilancia con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
MÁS LIMITACIONES
Otra limitación del tratamiento de datos mediante la captación de imágenes con fines de videovigilancia es que, en ningún caso, pueden instalarse en ámbitos de privacidad.
No sólo en domicilios particulares – salvo por la Policía con autorización judicial- sino en cualquier otro ámbito en el que la persona desarrolle aspectos personales que quiere mantener fuera de la vista de los demás como puede ser un vestuario, unos lavabos, etc.
Y así mismo lo establece el artículo 89 de la Ley Orgánica 3/2018, cuando autoriza a las empresas a tratar las imágenes obtenidas a través de las cámaras con fines de control laboral – siempre que previamente, de forma clara y expresa a los trabajadores y empleados públicos, acerca de esta medida- y prohíbe la instalación de sistemas de grabación de sonidos ni de videovigilancia en “ lugares destinados al descanso o esparcimiento de los trabajadores, tales como vestuarios, aseos, comedores y análogos.
La captación de sonidos sólo cabe cuando puedan resultar relevantes para prevenir riegos graves para la seguridad de las personas o de las instalaciones y respetando siempre el principio de proporcionalidad.
La imagen física de una persona es un dato personal, como queda dicho, y por tanto goza de la protección del Reglamento Europeo de Protección de Datos (RGPD), 2016/679 – la captada con fines de seguridad pública por las FCS tiene una regulación especial contenida en la Directiva UE 2016/680, transpuesta al Derecho interno mediante la cita Ley Orgánica 7/2021- y de la Ley española que adaptó el RGPD al derecho español, la repetida Ley Orgánica 3/2018.
OBLIGACIONES
Y otra de las obligaciones básicas del responsable del tratamiento es informar a los interesados tal como exige el artículo 12.1 del RGPD, información que debe incluir el contenido del artículo 13 y 14 del mismo Reglamento.
En los mismos se recogen los Derechos de los que es titular el interesado, pero debido a la amplitud de los datos y derechos que se incluyen las disposiciones la AEPD autoriza lo que se denomina “información por capas”.
De forma que el responsable del tratamiento puede, en la primera capa, informar de sus datos de identidad, de la dirección donde ejercer sus derechos, y del Delegado de Protección de Datos, si está obligado a contar con él, como es el caso en el que exista un sistema de videovigilancia de control masivo de imágenes.
Este deber de información, cuando se trata de sistemas de videovigilancia, se cumple situando en un lugar visible a la entrada del local que disponga de cámaras, ya sean interiores o exteriores, el “cartel de videovigilancia”, cuyo modelo ha publicado la Agencia Española de Protección de Datos – el Hotel sancionado disponía de un cartel informativo no actualizado ya que hacía referencia a la Ley anterior, la Ley orgánica 15/99 de Protección de Datos, derogada por la actual Ley Orgánica- que incluye el aviso de zona videovigilada, la identidad del responsable del tratamiento, la dirección donde el ciudadano puede ejercer sus derechos, y otro apartado donde el ciudadano puede obtener más información sobre sus derechos, haciendo constar una dirección Web, postal o de correo electrónico.
Con ese apartado se da cumplimiento a esa necesidad de informar “por capas” pues por esa vía el ciudadano obtendrá toda la información que exige el RGPD.
FINALIDAD PREVISTA PARA LAS IMÁGENES
Como es sabido, las imágenes solamente pueden ser utilizadas para la finalidad prevista, deben preservarse cumpliendo el deber de confidencialidad y, salvo que se graben hechos delictivos o infracciones, deben ser borradas en el plazo máximo de un mes.
Si se graba algún tipo de infracción se deben guardar y poner a disposición de la Policía o de la Autoridad Judicial (Art. 42.4 de la Ley 5/2014, de Seguridad Privada).
Por infringir el artículo 13 del RGPD, es por lo que la Agencia impuso al citado establecimiento público una multa de 1.000 euros.
Contra la resolución sancionadora cabe como es lógico plantear una demanda de recurso contencioso-administrativo ante la Sala de lo Contencioso de la Audiencia Nacional.
EN RESUMEN
Es importante tener en cuenta que si bien la ley autoriza a los particulares para adoptar medidas de seguridad, (art. 51 de la Ley de Seguridad Privada), incluyendo medidas técnicas y electrónicas que incorporen cámaras de videovigilancia, también se debe saber que ello no autoriza para desconocer los derechos de los demás ciudadanos, derechos que pueden ser afectados siempre que se respete el principio de proporcionalidad (idoneidad, necesidad y proporcionalidad en sentido estricto), y por ello, tratándose de un sistema muy intrusivo para los derechos de las personas (imagen, privacidad, dignidad) su uso legítimo exige el cumplimiento escrupuloso de las normas que rigen el uso de la medida, ya que, en caso contrario, sin perjuicio de otras posibles responsabilidades (penales y/o civiles), el infractor puede ser sancionado, como hemos visto, por la Autoridad de referencia en esta materia como es la Agencia Española de Protección de Datos.