La AEPD celebró en enero de 2009 su 2ª Sesión Anual Abierta, con la presentación de la Guía sobre Videovigilancia. Sin embargo, hay ciertos temas sobre los que la Agencia se ha visto obligada a pasar «de puntillas«… y es que la Protección de Datos, en su aplicación más estricta, es un animal salvaje e incontrolado capaz de comerse al más pintado.
¿Sabías que…
… la DGT no debería poder sancionar a nadie por las infracciones captadas por sus cámaras?
La jurisprudencia constitucional prohíbe la valoración de pruebas obtenidas con vulneración de los derechos fundamentales.
La intimidad es un derecho fundamental protegido, entre otras normas, por la LOPD, que exige el cumplimiento de un Deber de Información por parte del Responsable del Fichero al afectado de quien se recaban los datos de carácter personal.
Según la AEPD, la matrícula de un vehículo es un dato de carácter personal toda vez que hace identificable a una persona física.
Ergo… si la DGT no cumple con su Deber de Información con respecto a las cámaras de vigilancia del tráfico, se produce una vulneración del derecho fundamental a la intimidad de las personas y las imágenes tomadas no deberían ser utilizadas como prueba.
… el Responsable del Fichero, aunque no grabe imágenes, está obligado a informar sobre derechos cuyo ejercicio no es posible?
La Instrucción 1/2006 de la AEPD exige que se informe a los afectados de lo dispuesto en el artículo 5 de la LOPD, aún cuando no se graben imágenes.
Esto implica que el Responsable del Fichero está obligado a informar a los afectados de unos derechos que en realidad no pueden ejercer, porque no hay fichero.
Además, el Responsable del Fichero que deniegue un derecho por cualquier motivo (por ejemplo, inexistencia de fichero), está obligado a informar al afectado de la posibilidad de recurrir a la tutela de derechos de la Agencia.
… aunque se grabe, los derechos de rectificación, cancelación y oposición son imposibles de ejercitar?
En realidad no es del todo imposible rectificar ni cancelar tu imagen en una grabación, pero se necesitan programas de edición de video muy caros, así como una competencia técnica que no está al alcance de todo el mundo.
Con respecto a la oposición, se podrían utilizar programas de reconocimiento facial con el parámetro de no grabar las caras de las personas que se han opuesto al tratamiento, pero esto sería más propio de una película de Hollywood que de una pyme o comunidad de propietarios española.
… el derecho de acceso en videovigilancia puede llegar a suponer una infracción de la LOPD por cesión de datos?
El Responsable de Fichero que atienda una solicitud de derecho de acceso sobre una grabación de video, seguramente pensará en aportar una captura de video o una simple imagen de la secuencia sin manipular.
Muy probablemente, en la secuencia aparezcan otras personas, lo que implicaría una comunicación de datos sin el consentimiento de estas otras personas.
La comunicación de datos fuera de los casos en los que está permitida es una infracción MUY GRAVE de la LOPD, con sanciones entre 300.000 y 600.000 euros.
… el fichero de videovigilancia también está sujeto a la obligación de realización de copias de respaldo y recuperación, al menos semanalmente?
El fichero de videovigilancia, aparte de las obligaciones legales de notificación del fichero, calidad, información y consentimiento, debe cumplir con todas las medidas de seguridad de nivel básico: elaboración de un documento de seguridad, definición de las funciones y obligaciones del personal, registro de las incidencias sufridas, control de acceso a la información por el personal autorizado, identificación y autenticación de dicho personal, identificación y gestión de los soportes… y realización de una copia de seguridad semanal.
¿Para qué una copia de seguridad de unas imágenes que estás obligado a cancelar en un plazo máximo de 30 días? En otras palabras, no hay un plazo mínimo, ni siquiera hay obligación de grabar, pero si se graba hay que hacer una copia de seguridad semanal.
En cualquier caso, ¿qué sentido tiene la imposición de una copia de seguridad semanal en un Reglamento de Desarrollo de una Ley Orgánica que tiene por objeto garantizar y proteger un derecho fundamental de las personas? ¿Quién es la Agencia para sancionar a una empresa temeraria que no quiere hacer copias de seguridad de sus datos?
… un fichero de videovigilancia no debería ser borrado hasta pasados 20 años, o incluso NUNCA?
La cancelación en el plazo de un mes, no implica el borrado, sino el bloqueo del fichero para la atención de las posibles responsabilidades, y sólo durante el plazo de prescripción de éstas.
Al término del Informe 0672/2008, el Gabinete Jurídico de la AEPD se confiesa incapaz de concretar un plazo para la prescripción de las posibles responsabilidades nacidas del tratamiento, ya que «en el caso de la videovigilancia habría que tener en cuenta además el supuesto especifico de que la toma de imágenes puede constatar la comisión de un delito o una infracción administrativa que debe ser puesta en conocimiento de una autoridad, debiendo conservarse las imágenes a disposición de ésta.»
Si acudimos al artículo 131 del Código Penal, descubriremos que el plazo máximo de prescripción de los delitos es de 20 años, salvo los delitos de lesa humanidad y genocidio, que no prescriben nunca.
En conclusión… ¿estás seguro de que necesitas una videocámara en tu establecimiento?
Departamento de Comunicación
Áudea Seguridad de la Información