El presente artículo surge como reacción a la curiosa interpretación que hizo la Agencia Española de Protección de Datos, en adelante AEPD, de una situación creada como consecuencia de la instalación de una cámara en el garaje de un establecimiento, y que podría dar lugar a consecuencias importantes y muy gravosas.
En un primer momento el titular de la cámara indicó que su intención era averiguar quién accedía a sus instalaciones, y comunicó a la AEPD que la cámara no grababa imágenes sino que únicamente las reproducía en tiempo real. Posteriormente el titular de la cámara rectificó su definición e indicó a la AEPD que la cámara no era de videovigilancia, sino un videoportero.
La AEPD, a pesar del cambio de denominación del sistema consideró que el tratamiento realizado sería el mismo, y como consecuencia decidió apercibir al titular de la cámara para que en el plazo de 1 mes adaptase su funcionamiento a la legislación sobre protección de datos, o de lo contrario abriría expediente sancionador. Esta decisión tuvo como consecuencia que el titular decidiese retirar la cámara.
Analicemos la situación:
– Consideración de la posibilidad de visionado como tratamiento de datos. En diversas ocasiones la AEPD se ha pronunciado con respecto a esta cuestión indicando que “hay que señalar que las cámaras de videovigilancia aunque no graben, recogen imágenes, lo que en definitiva supone un tratamiento de datos, según lo dispuesto en el artículo 3. c) de la LOPD, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
Este criterio se complementa con lo dispuesto en el artículo 1 de la Instrucción 1/2006 sobre videovigilancia, donde se delimita el ámbito subjetivo de ésta señalando que:
“1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.
El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas”.
En este sentido el visionado, por tanto, debe considerarse un tratamiento de datos de imagen y por tanto debe cumplir con los requisitos exigidos por la legislación sobre protección de datos.
– ¿Sería un videoportero un equipo capaz de realizar los tratamientos exigidos por la AEPD y con la finalidad exigida?
En mi modesta opinión, sí. Con este sistema lo que pretendemos en definitiva es comprobar quién pretende acceder al domicilio o local donde se encuentre instalado, y como consecuencia de ello el titular decide si esta persona accede o no. Por lo tanto la finalidad podríamos encuadrarla como un tratamiento con fines de vigilancia y control de acceso a las instalaciones.
El tratamiento efectuado sería un procedimiento técnico que permite la recogida o captación de imágenes. En este apartado podríamos hacer una distinción: si el sistema permite el visionado de imágenes de forma continuada o sólo a petición del visitante al pulsar el timbre. El primer supuesto se daría porque existen en el mercado equipos que permiten ver apretando un botón desde el propio domicilio, y en este sentido el titular de la imagen desconocería que se le está vigilando. En el segundo supuesto, por el contrario, sólo se ofrece la posibilidad cuando el titular de la imagen acciona el timbre, y en este caso éste sabría perfectamente que va a ser visionada al decidir pulsar el timbre, prestando su consentimiento tácito al visionado de la imagen.
Las consecuencias serían distintas como veremos.
– Necesidad de consentimiento del titular de los datos para el tratamiento.
El artículo 6 de la LOPD exige el consentimiento de los afectados para el tratamiento de sus datos personales, salvo que la Ley determine otra cosa, o cuando concurra alguna de las circunstancias previstas en el apartado 2 del citado artículo.
En los supuestos de videovigilancia se da una situación diferenciadora, y es que resultaría una labor titánica pedir el consentimiento a cada persona que pase por delante de la cámara. Esta situación se ha solucionado por parte de la AEPD en la Instrucción antes mencionada, y a través de diversas resoluciones. En resumen, no se podrá grabar sobre la vía pública, únicamente se debe enfocar en el interior del inmueble donde se pone la cámara, además existe obligación de colocar un cartel informativo, haciendo alusión a que se está grabando, e informando del responsable del fichero, a los efectos de permitir el ejercicio de los derechos ARCO, así mismo existe obligación de tener a disposición del interesado un formulario en papel con la información que exige la ley de protección de datos por si alguien lo solicitase.
Con ello lo que se consigue es que el que lea el cartel, quede informado de que se va hacer un tratamiento de su imagen, y por tanto si entra en el recinto consiente tácitamente este tratamiento.
– Existencia del fichero
Otra peculiaridad de los sistemas de visionado de imágenes en tiempo real es que como tal no existe un fichero de datos, y por tanto no existe obligación de declarar el mismo ante la AEPD.
– Razonamiento final
Como conclusión a todo lo expuesto, podríamos decir que en el caso de videoporteros que ofrezcan la posibilidad de visionar imágenes, o escuchar conversaciones de terceros, sin su conocimiento, podríamos enfrentarnos a una sanción administrativa por un incumplimiento grave, con importe de40.001 a300.000 euros.
Para evitar esta situación el responsable del tratamiento, la comunidad de propietarios, debería colocar un cartel informativo en el acceso al edificio, justo antes del video portero.
He de decir, que de momento la AEPD cuando se ha pronunciado sobre estos temas, ha concluido que “dicho tratamiento de datos queda excluido del ámbito de aplicación de la citada LOPD, cuando es realizado por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.
Pero ¿qué ocurriría si el responsable del tratamiento fuese una persona jurídica?
He encontrado resoluciones, expediente Nº: E/00884/2008, en los que la agencia, a pesar de que el responsable del tratamiento era una persona jurídica, ha considerado que el tratamiento se encuadra dentro de las actividades personales o domésticas. Pero aun no sancionando al presunto infractor, destaca la conveniencia de colocar un cartel informativo a la entrada del local.
Aurelio J. Martínez Ferre.
Audea Seguridad de la Información.