Blog

Olvidos comunes en el cumplimiento de la normativa de protección de datos en materia de videovigilancia

En la actualidad son muchas las empresas, al igual que sucede en el sector público, que por razones diversas cuentan con videocámaras en sus establecimientos

Los objetivos más comunes de su instalación suelen ser la seguridad de los bienes y las personas o bien verificar el cumplimiento de las obligaciones de los trabajadores en el marco de la relación laboral o incluso, en ocasiones, coexisten ambas finalidades sin problema.

Habida cuenta que las videocámaras pueden captar y, en su caso, grabar imágenes de personas identificadas o identificables es por lo que resulta de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, y su Reglamento de desarrollo, R.D. 1720/2007 de 21 de diciembre.

Una vez la entidad ha instalado las videocámaras que graban imágenes y/o voz (dejo fuera aquellas que reproducen las imágenes en tiempo real y que por tanto no constituyen un fichero entendido desde el punto de vista de la LOPD) inscribe el correspondiente fichero en el Registro General de la Agencia Española de Protección de Datos informa sucintamente a los interesados de la existencia del fichero y del ejercicio de sus derechos ARCO a través de impresos a disposición de los usuarios e instala distintivos informativos ubicados en un lugar visible es cuando las empresas responsables de Fichero creen equívocamente cumplir la Ley y no es así…

La decisión de instalar videocámaras que graban a terceros/as supone otra serie de obligaciones, en ocasiones olvidadas, a fin de garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado tal y como establece la Instrucción 1/2006 de 8 de noviembre en su artículo 8. El responsable de las videocámaras debe adoptar las medidas técnicas y organizativas necesarias de nivel básico establecidas en el Real Decreto 1720/2007 sobre las imágenes captadas como si de cualquier otro fichero de datos, sujeto a la LOPD, se tratara.

La práctica más olvidada es la realización de las copias de seguridad de las imágenes grabadas en las videocámaras pese la exigencia legal de su realización mínimo semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de datos. Sin embargo, el olvido de esta obligación junto con la equivocada eliminación de los datos al mes de su captación puede suponer ciertos riesgos y problemas en el futuro para el responsable de Fichero sin darse cuenta.

El plazo de conservación de las imágenes captadas debe ser como máximo de un mes y una vez transcurrido éste deben ser canceladas de acuerdo con lo dispuesto en el artículo 6 de la Instrucción 1/2006. Ahora bien, la parte oscura de esto que muchos desconocen es que, la cancelación de las imágenes en ningún caso supone el borrado físico sino el bloqueo, es decir, supone la identificación y reserva con el fin de impedir su tratamiento excepto para la puesta a disposición de las Administraciones Públicas, Jueces y Tribunales para atender posibles responsabilidades nacidas del tratamiento, pues así lo establece el artículo 16.3 de la LOPD.

¿Qué implica el bloqueo en las imágenes?

El bloqueo de las imágenes debe realizarse de forma que no sea posible el acceso a las mismas por el personal que tenga habitualmente acceso, limitándose el acceso únicamente a una persona con la máxima responsabilidad y exclusivamente en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto.

En este sentido, tal y como estableció la AEPD en su informe de fecha 5 de junio de 2007, pese a que permanezca el tratamiento de los datos, el acceso a las imágenes queda enteramente restringido a excepción de Jueces, Tribunales y Administraciones Públicas.

¿Cuánto tiempo deben permanecer bloqueadas las imágenes?

Con carácter general la AEPD ha manifestado en varias ocasiones que resulta imposible establecer una enumeración taxativa del tiempo del bloqueo de los datos dado que hay que tener en consideración los plazos de prescripción de las acciones que pudiera derivarse de la relación jurídica entre el responsable y el interesado.

¿Qué sucedería si alguien ejercita su derecho de acceso a datos cuando las imágenes son canceladas?

Siendo rigurosos, en principio nada ya que bastaría con informar al interesado de que las imágenes están bloqueadas y reservado su tratamiento a petición de las Administraciones Públicas, Jueces y Tribunales.

Sin embargo, pese a todo lo expuesto y contradictoriamente a los distintos informes de la AEPD analizados (472/2009/313/2008), en cuanto a obligación de cancelación y el posterior bloqueo, en 2010 se dictó la resolución Nº R/01454/2010 en la que se consideró que la empresa responsable de fichero había obrado bien contestando la petición de acceso informando que había procedido al borrado físico de las imágenes al haber transcurrido el plazo establecido de un mes desde su captación.

Si bien en el marco de un procedimiento de tutela de derechos básicamente se dictamina si se ha atendido correctamente y en el plazo legalmente establecido la petición de los derechos de los interesados en el caso referenciado, no entra analizar el fondo del asunto como es el borrado de los datos al mes desde su captación…y si se han borrado ¿cómo van a quedar a disposición de los Jueces, Tribunales y Administraciones Públicas?

Lo prudente, no obstante, es atender al caso en concreto para conocer la relación jurídica entre responsable e interesado así como las finalidades de tratamiento para poder atender y cumplir los correspondientes plazos de prescripción.

Enlace de noticia

eye109525_150_thumb

Por Paco Rivero

Resumen
Título
Olvidos comunes en el cumplimiento de la normativa de protección de datos en materia de videovigilancia
Autor
Descripción
En la actualidad son muchas las empresas, al igual que sucede en el sector público, que por razones diversas cuentan con videocámaras en sus establecimientos

Ya confían en Malaca Seguridad