Estamos en:
Como es ampliamente conocido, en la mayor parte de los casos, el consentimiento del interesado en supuestos de captación de imágenes mediante cámaras o videocámaras con fines de vigilancia, deviene una tarea imposible.
Si bien es cierto que la videovigilancia puede tener a su vez distintos fines, la anterior afirmación cobra especial trascendencia cuando su finalidad es la seguridad. En parte porque en ocasiones el colectivo cuya imagen puede ser objeto de captación llega a ser tan amplio y dispar como el que, por poner un ejemplo, transite diariamente por las instalaciones de un Centro Comercial, y por otro lado porque no parece muy coherente la idea de pedir el consentimiento para captar su imagen a alguien cuya intención es la de cometer algún tipo de actividad ilícita.
Vamos a centrar nuestro análisis no solo en esa finalidad concreta de la videovigilancia relativa a la seguridad, sino además en un tipo específico de seguridad, la que se desarrolla en espacios privados en mayor o menor medida accesibles al público, teniendo en cuenta que este tipo de tratamientos cuando son realizados por las Fuerzas y Cuerpos de Seguridad en espacios públicos abiertos o cerrados, quedan sometidos a la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.
Nos referimos por tanto a la proliferación de cámaras y dispositivos de videovigilancia que se ha producido como consecuencia del progresivo abaratamiento de este tipo de tecnología y el incremento de la inseguridad ciudadana o al menos de la sensación de inseguridad, y que ha llevado a que actualmente nos encontremos constantemente vigilados en joyerías, estaciones de servicio, bazares, bares y restaurantes, oficinas y centros comerciales y de ocio, habiendo pasado éste, de ser un sistema reservado a empresas capaces de sufragar su costosa instalación y mantenimiento, a estar presente en casi cualquier pequeño comercio e incluso en comunidades de vecinos y hogares.
No cabe duda de que la imagen es un dato de carácter personal y que por tanto la captación de la misma mediante cámaras o videocámaras se convierte en un tratamiento de datos de carácter personal sujeto a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) y su normativa de desarrollo, concretamente, y refiriéndonos únicamente a ficheros privados [1] para no complicar el análisis en exceso, a la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Esta circunstancia somete a dicho tratamiento, entre otras cosas, al artículo 6 de la LOPD [2], requiriendo por tanto el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa, y ante la imposibilidad de aplicar a este tipo de tratamiento alguna de las excepciones al consentimiento recogidas en el apartado 2 de dicho artículo, era necesario encontrar una Ley que habilitase el tratamiento.
Así la Ley 23/1992, de 30 de julio, de Seguridad Privada disponía en su artículo 5.1 que con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades:
…
e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad.
…
De forma que, de acuerdo con la interpretación de la AEPD[3], dicha Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras y videocámaras, siempre con la finalidad de prestar un servicio de vigilancia y seguridad de personas o de bienes.
A los efectos de dicha norma únicamente podían realizar dicha actividad las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados. Por tanto para que pudiese ser llevada a cabo la captación de imágenes con cámaras o videocámaras con fines de seguridad sin necesidad de consentimiento, dicha captación solo podía ser llevada a cabo con dispositivos y sistemas instalados, y en su caso mantenidos por empresas de seguridad y accedidos por personal de seguridad.[4]
Sin embargo esta no ha sido la situación que se ha dado en el mercado en los últimos años [5], dando lugar a repetidas quejas de las empresas de seguridad privada que veían constantemente invadido el ámbito de actuación que la Ley les había reservado, por empresas que sin cumplir con los rígidos requisitos y formalidades de la norma prestaban servicios de instalación y mantenimiento de sistemas de videovigilancia, encontrándose por tanto en una posición ventajosa con respecto a las primeras.
El riesgo que desde el punto de vista de la protección de datos suponía el contratar a empresas que no tuviesen la condición de empresas de seguridad regulada en la normativa de Seguridad Privada [6], era la posibilidad de que la AEPD en el marco de una inspección, llegase a sancionar al responsable del fichero, es decir la entidad que hubiese contratado al instalador del sistema, por recoger los datos sin el consentimiento del interesado, al no encontrarse amparado ya dicho tratamiento por lo dispuesto en la mencionada Ley. Así mismo, la AEPD recalcaba en su Guía de Videovigilancia la notificación de oficio de las incidencias detectadas a la autoridad gubernativa para su conocimiento y eventual actuación en aplicación de la Ley de Seguridad Privada.
Esta era la situación hasta la entrada en vigor, el pasado 27 de diciembre, de la Ley 25/2009 de 22 de diciembre, de modificación de diversas Leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio, la denominada Ley Ómnibus.
De acuerdo con la nueva regulación la Ley de Seguridad Privada, queda modificada en los siguientes términos:
Uno. Se modifica la letra e del artículo 5.1, que queda redactada como sigue:
e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta.
Dos. Se añade una Disposición adicional sexta, con la siguiente redacción:
DISPOSICIÓN ADICIONAL SEXTA. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.
Desde el punto de vista del libre acceso a las actividades de servicios y su ejercicio, tal y como indica el preámbulo de dicha norma se pretende favorecer, en relación a los servicios en el área de la instalación y mantenimiento de equipos, la reducción de cargas administrativas y de trabas desproporcionadas en el ejercicio de la actividad de las pequeñas y medianas empresas e impulsar la simplificación de trámites. Sin embargo esta exclusión de la aplicación de la Ley de Seguridad Privada ha sido interpretada por la AEPD en una nota informativa publicada en su página Web de la siguiente forma:
a) Cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá: “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas.
b) Dado que la ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran estos dispositivos para tratar los datos personales derivados de la captación de las imágenes sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.
c) La instalación de un sistema de videovigilancia conectado a una central de alarma, sí seguirá requiriendo la concurrencia de los requisitos exigidos hasta ahora; esto es, que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento.
No podía ser de otra forma, puesto que si dicha exclusión de la aplicación de una norma no se hubiese considerado legitimadora del tratamiento, nos volveríamos a encontrar con el problema de la imposibilidad de solicitar su consentimiento a todas y cada una de las personas que por motivos de seguridad, fuesen captadas por cámaras de videovigilancia que no hubiesen sido instaladas por empresas de seguridad, empresas a las que se sigue aplicando la normativa de Seguridad Privada.
En cualquier caso entendemos que el objeto de la modificación sea la liberalización del mercado y libre acceso a los servicios y no se hayan considerado otras posibles consecuencias de dicha regulación [7], pero nos parece sorprendente la interpretación tan laxa de la AEPD cuando lo que está en juego es un tratamiento tan invasivo como puede ser la captación de nuestra imagen e incluso nuestra voz, sin consentimiento.
Es cierto que la AEPD considera que en todo caso, el tratamiento de las imágenes deberá cumplir los restantes requisitos exigibles por la LOPD y la instrucción 1/2006, como son, entre otros, los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida; el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información; la notificación de la existencia de los ficheros a la AEPD; o la implantación de medidas de seguridad.
Sin embargo no podemos dejar de plantearnos si es adecuado al espíritu de la normativa sobre protección de datos de carácter personal lo siguiente: el que la Ley permita a efectos de liberalización y acceso al mercado la venta, entrega, instalación y mantenimiento de determinados equipos técnicos por cualquier prestador de servicios sin más exigencias, sea legitimador del tratamiento que quien adquiere dichos equipos pueda hacer con ellos.
Ante esta situación cobra especial importancia el, tan necesario, juicio de proporcionalidad [8] que debe de ser realizado por el futuro responsable del fichero previa la instalación del sistema. Pero ¿se está llevando a cabo siempre?
Esperemos al menos que el tratamiento que ahora se entiende legitimado se siga vinculando exclusivamente con la finalidad de seguridad, ya que la exclusión hace referencia a “equipos técnicos de seguridad”, puesto que como sabemos el uso de dichos equipos puede estar destinado a otros tipos de control que deberían ser objeto de análisis específicos al efecto de determinar la necesidad de consentimiento o no por parte de los interesados.
Por otro lado puede resultar preocupante el hecho de que a la luz de esa nueva Disposición Adicional Sexta, desaparezca el deber de asesoramiento en cuanto al resto de obligaciones en materia de protección de datos, que van asociadas a la puesta en funcionamiento del sistema de videovigilancia, cuando no es realizado por una empresa de seguridad.
Así se pronunciaba a este respecto la AEPD en uno de sus informes jurídicos [9]: Por último debe señalarse que aún cuando la empresa de seguridad que efectúe la instalación no tenga el carácter de responsable del tratamiento, siendo los servicios de videovigilancia y seguridad prestados por empresas específicamente autorizadas en virtud de sus condiciones y cualificación, y sujetas a lo dispuesto en la Ley 23/1992, de 30 de julio, de Seguridad Privada y su Reglamento de desarrollo, dichas empresas están sometidas a una especial diligencia en el asesoramiento al responsable que contrate sus servicios respecto al cumplimiento de la LOPD y, en particular, respecto de la inscripción del fichero ante el Registro General de Protección de Datos, la ubicación de distintivos informáticos, la definición del espacio vigilado y la adopción de medidas de seguridad.
Este deber de asesoramiento encuentra su razón de ser, de acuerdo con la argumentación de la AEPD [10], en el artículo 5.g) de la Ley de Seguridad Privada que al establecer los servicios y actividades que las empresas de seguridad únicamente podrán prestar o desarrollar incluye planificación y asesoramiento de las actividades de seguridad contempladas en esta Ley.
Por tanto si cualquier particular o empresa privada se dedica a la venta, entrega, instalación y mantenimiento de sistemas de videovigilancia ¿estará en disposición de prestar ese asesoramiento cualificado? ¿Asistirá al responsable del fichero a la hora de desarrollar el juicio de proporcionalidad? ¿Y tendrá alguna consecuencia el no hacerlo si ninguna norma le obliga a ello más allá de la buena fe contractual? Obviamente la tendrá para su cliente si no está al tanto de sus obligaciones en materia de protección de datos de carácter personal.
Concluyendo, puede no parecer muy adecuado asociar la legitimación de un tratamiento de datos de carácter personal a la habilitación legal a un colectivo delimitado para realizar la instalación y mantenimiento de una determinada tecnología, en este caso dispositivos y sistemas de seguridad, sin embargo al menos la Ley de Seguridad Privada, aseguraba el cumplimiento por parte de las empresas de seguridad de una serie de requisitos a efectos de control, así como una especial diligencia en el asesoramiento al responsable del fichero, que la AEPD estaba dispuesta a reforzar notificando de oficio las incidencias detectadas a la autoridad gubernativa. Afortunadamente esta sigue siendo la situación de aquellos servicios que incluyan la conexión con centrales de alarma y que van a suponer un acceso a las imágenes por parte de la empresa de seguridad. [11]
Actualmente la interpretación va más allá, considerando suficiente legitimación la exclusión de la aplicación de la Ley de Seguridad Privada a cualquiera que se dedique a la venta, entrega, instalación y mantenimiento de equipos técnicos de seguridad, siempre que no realice otras actividades sujetas a la norma. Es cierto que quien los adquiera tiene que cumplir con la normativa de protección de datos, pero hay menos garantías de que quien vende el sistema realice un asesoramiento adecuado o de que a falta de éste el comprador conozca cuales son sus deberes en la materia, y a la luz de este panorama y en virtud de una disposición adicional, el interesado pierde uno de los pilares fundamentales para la protección de sus derechos, el consentimiento.
[1] No hemos de confundir, en relación con la materia a la que nos estamos refiriendo, el concepto de seguridad pública y seguridad privada sujeta cada una a su normativa específica, con el de fichero público y fichero privado regulado por la LOPD. Puesto que si bien todos los ficheros creados al amparo de la Ley 4/1997 serían ficheros públicos, cabe la posibilidad de que la captación de imágenes mediante cámaras o videocámaras en el interior de edificios afectos a un servicio público sea llevada a cabo por empresas de seguridad privada sujetas a su propia normativa, considerándose dichos ficheros de titularidad pública al ser ésta la condición del responsable del fichero, en este caso el ente público que decide la instalación de las cámaras.
[2] Centramos nuestra atención en el consentimiento necesario para la recogida de los datos, en este caso la captación de la imagen, sin perjuicio de que éste también puede ser necesario para proceder a su cesión, en cuyo caso sería aplicable el artículo 11 de la LOPD, situación que no va a ser analizada en esta ocasión.
[3] Informe jurídico 323/2007 sobre legitimación para el tratamiento. www.agpd.es a 5 de enero de 2010.
[4] Sin perjuicio de las consecuencias que a efectos de la aplicación de la Ley de Seguridad Privada pudiese tener el que dicha actividad fuese llevada a cabo por otro tipo de empresas, lo que en cualquier caso escapa a la protección de datos de carácter personal y la potestad sancionadora de la AEPD.
[5] Tampoco ha sido estricta la interpretación de la AEPD en cuanto a los accesos a las imágenes captadas que para caber en la excepción apuntada deberían ser realizados por personal de seguridad y sin embargo eran permitidos a conserjes, presidentes de comunidades de vecinos y otras personas que no cumplían con dicha condición.
[6] Lo que incluye, entre otras cosas, su inscripción en el Registro creado al efecto por el Ministerio del Interior, así como la existencia de un contrato escrito con arreglo al modelo oficial, comunicado al Ministerio del Interior con una antelación mínima de tres días a la iniciación de los servicios.
[7] Especialmente teniendo en cuenta que la Ley Ómnibus adapta la normativa estatal de rango legal a lo dispuesto en la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio, que incorpora, parcialmente, al Derecho español, la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior.
[8] Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). Tribunal Constitucional. Sala Primera. Sentencia nº 207/1996, de 16 de diciembre de 1996.
[9] Informe jurídico 314/2009 sobre normativa aplicable al tratamiento de datos personales con fines de videovigilancia. www.agpd.es a 05 de enero de 2010.
[10] Informe jurídico 360/2009 Las empresas de seguridad según el tipo de cliente tendrán la consideración de encargados del tratamiento o responsable del fichero. www.agpd.es a 5 de enero de 2010
[11] Además de ser considerada la empresa de seguridad en estos casos encargada del tratamiento, con todas las consecuencias, especialmente en materia de responsabilidad, que esto conlleva.
© 2009 IEE Informáticos Europeos Expertos.