Comunidades de propietarios. Videoporteros y protección de datos.

El presente artículo surge como reacción a la curiosa interpretación que hizo la Agencia Española de Protección de Datos, en adelante AEPD, de una situación creada como consecuencia de la instalación de una cámara en el garaje de un establecimiento, y que podría dar lugar a consecuencias importantes y muy gravosas.

En un primer momento el titular de la cámara indicó que su intención era averiguar quién accedía a sus instalaciones, y comunicó a la AEPD que la cámara no grababa imágenes sino que únicamente las reproducía en tiempo real. Posteriormente el titular de la cámara rectificó su definición e indicó a la AEPD que la cámara no era de videovigilancia, sino un videoportero.

La AEPD, a pesar del cambio de denominación del sistema consideró que el tratamiento realizado sería el mismo, y como consecuencia decidió apercibir al titular de la cámara para que en el plazo de 1 mes adaptase su funcionamiento a la legislación sobre protección de datos, o de lo contrario abriría expediente sancionador. Esta decisión tuvo como consecuencia que el titular decidiese retirar la cámara.

Analicemos la situación:

- Consideración de la posibilidad de visionado como tratamiento de datos. En diversas ocasiones la AEPD se ha pronunciado con respecto a esta cuestión indicando que “hay que señalar que las cámaras de videovigilancia aunque no graben, recogen imágenes, lo que en definitiva supone un tratamiento de datos, según lo dispuesto en el artículo 3. c) de la LOPD, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Este criterio se complementa con lo dispuesto en el artículo 1 de la Instrucción 1/2006 sobre videovigilancia, donde se delimita el ámbito subjetivo de ésta señalando que:

“1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.

El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su  reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas”.

En este sentido el visionado, por tanto, debe considerarse un tratamiento de datos de imagen y por tanto debe cumplir con los requisitos exigidos por la legislación sobre protección de datos.

- ¿Sería un videoportero un equipo capaz de realizar los tratamientos exigidos por la AEPD y con la finalidad exigida?

En mi modesta opinión, sí. Con este sistema lo que pretendemos en definitiva es comprobar quién pretende acceder al domicilio o local donde se encuentre instalado, y como consecuencia de ello el titular decide si esta persona accede o no. Por lo tanto la finalidad podríamos encuadrarla como un tratamiento con fines de vigilancia y control de acceso a las instalaciones.

El tratamiento efectuado sería un procedimiento técnico que permite la recogida o captación de imágenes. En este apartado podríamos hacer una distinción: si el sistema permite el visionado de imágenes de forma continuada o sólo a petición del visitante al pulsar el timbre. El primer supuesto se daría porque existen en el mercado equipos que permiten ver apretando un botón desde el propio domicilio, y en este sentido el titular de la imagen desconocería que se le está vigilando. En el segundo supuesto, por el contrario, sólo se ofrece la posibilidad cuando el titular de la imagen acciona el timbre, y en este caso éste sabría perfectamente que va a ser visionada al decidir pulsar el timbre, prestando su consentimiento tácito al visionado de la imagen.

Las consecuencias serían distintas como veremos.

- Necesidad de consentimiento del titular de los datos para el tratamiento.

El artículo 6 de la LOPD exige el consentimiento de los afectados para el tratamiento de sus datos personales, salvo que la Ley determine otra cosa, o cuando concurra alguna de las circunstancias previstas en el apartado 2 del citado artículo.

En los supuestos de videovigilancia se da una situación diferenciadora, y es que resultaría una labor titánica pedir el consentimiento a cada persona que pase por delante de la cámara. Esta situación se ha solucionado por parte de la AEPD en la Instrucción antes mencionada, y a través de diversas resoluciones. En resumen, no se podrá grabar sobre la vía pública, únicamente se debe enfocar en el interior del inmueble donde se pone la cámara, además existe obligación de colocar un cartel informativo, haciendo alusión a que se está grabando, e informando del responsable del fichero, a los efectos de permitir el ejercicio de los derechos ARCO, así mismo existe obligación de tener a disposición del interesado un formulario en papel con la información que exige la ley de protección de datos por si alguien lo solicitase.

Con ello lo que se consigue es que el que lea el cartel, quede informado de que se va hacer un tratamiento de su imagen, y por tanto si entra en el recinto consiente tácitamente este tratamiento.

- Existencia del fichero

Otra peculiaridad de los sistemas de visionado de imágenes en tiempo real es que como tal no existe un fichero de datos, y por tanto no existe obligación de declarar el mismo ante la AEPD.

- Razonamiento final

Como conclusión a todo lo expuesto, podríamos decir que en el caso de videoporteros que ofrezcan la posibilidad de visionar imágenes, o escuchar conversaciones de terceros, sin su conocimiento, podríamos enfrentarnos a una sanción administrativa por un incumplimiento grave, con importe de40.001 a300.000 euros.

Para evitar esta situación el responsable del tratamiento, la comunidad de propietarios, debería colocar un cartel informativo en el acceso al edificio, justo antes del video portero.

He de decir, que de momento la AEPD cuando se ha pronunciado sobre estos temas, ha concluido que “dicho tratamiento de datos queda excluido del ámbito de aplicación de la citada LOPD, cuando es realizado por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.

Pero ¿qué ocurriría si el responsable del tratamiento fuese una persona jurídica?

He encontrado resoluciones, expediente Nº: E/00884/2008, en los que la agencia, a pesar de que el responsable del tratamiento era una persona jurídica, ha considerado que el tratamiento se encuadra dentro de las actividades personales o domésticas. Pero aun no sancionando al presunto infractor, destaca la conveniencia de colocar un cartel informativo a la entrada del local.

Aurelio J. Martínez Ferre.

Audea Seguridad de la Información.

www.audea.es

Derecho al olvido. Realidad o ficción

La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Artículo 18.4 de la Constitución Española de 1978.

Asombroso, ¿verdad?

¿Cómo es posible que en los años 70, cuando Internet no era más que un proyecto militar estadounidense, nuestros Constituyentes tuvieran la capacidad de intuir en la informática un peligro potencial para la intimidad de las personas?

¿Y cómo es posible que 33 años después, nosotros, que ya hemos visto el futuro, no estemos siendo capaces de llevar a cabo este mandato constitucional de un modo efectivo?

Los ejemplos son infinitos y se pueden escuchar en cualquier entorno:

“Yo utilizo Google para buscar los datos de los administradores de una sociedad a través de las multas publicadas en los boletines oficiales”

“Han creado un blog con mi nombre, y me ponen a parir”

“Han subido una foto mía a Facebook sin mi permiso”

“Hace 20 años cometí un delito. Fui a la cárcel. Cumplí condena. Cancelé mis antecedentes penales… Y aún así, la noticia está a golpe de ratón en cualquier hemeroteca de un periódico digital”

“Una empresa peruana sacó mis datos como administrador de una sociedad con deudas del registro mercantil español, y los ha publicado en su sitio web”

“No me han dado un trabajo porque a través de Google pueden ver que tengo muchas multas publicadas en boletín oficial”

“Soy una mujer de 62 años, y apenas tengo trato con Internet ni con los ordenadores… ninguno más allá del que me requiere mi trabajo… ¡y hay 15 entradas en Google con mis datos personales! ¿Cómo es posible?”

Todos estos testimonios son adaptaciones de situaciones reales (el último, en concreto, de mi señora madre)… y esto, cada día va a más.

Tampoco es que nuestra intimidad esté totalmente vendida. En Europa disponemos de los derechos de cancelación y/o de oposición (según el caso), reconocidos por la Directiva 95/46/CE, e incorporados a nuestro Ordenamiento Jurídico a través de la Ley Orgánica de Protección de Datos. Pero este poder está limitado al territorio Europeo… y en Internet, es muy fácil refugiarse en otro país.

Bien es cierto que cada vez son más los países que aplican el modelo europeo de protección de datos, pero ¿cómo podemos jugar a un juego global que tiene reglas distintas en cada parte del campo?

Hasta que llegue el momento en que se produzca un acuerdo global, con herramientas eficaces que garanticen la autodeterminación informativa, todos y cada uno de nosotros estaremos condenados a vivir bajo la amenaza de una foto o un dato mal publicado que pueda arruinar nuestras vidas.

En cualquier caso, no debemos equivocarnos. En realidad, la culpa última no es de una ley ineficaz, ni tampoco de Internet. Los culpables somos nosotros. El ser humano es tan celoso de su propia intimidad como generoso con la intimidad de los demás.

Sí, de acuerdo, los usuarios de las redes sociales, no son precisamente celosos de su propia intimidad… pero son ellos mismos los que deciden lo que quieren compartir, y aceptan el riesgo. Cuando es un tercero el que toma esa decisión le está privando al afectado de un derecho fundamental.

También hay quien se escuda en conflictos de derechos, como la libertad de expresión, para seguir tranquilamente con su maltrato a la intimidad de otros.

Nuevamente, hay que quitarse el sombrero ante las mentes preclaras que redactaron nuestra Constitución, pues su artículo 20.4 (que ya he citado en varias ocasiones), resuelve brillantemente este conflicto dejando bien claro que los derechos reconocidos en el artículo 20 (propiedad intelectual, libertad de cátedra, de expresión y de prensa) “tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia.”

 

Como siempre, “la tecnología no es buena ni mala”. Los malos somos nosotros… y por eso necesitamos que nos impongan normas y disciplina.

 

Áudea Seguridad de la Información

José Carlos Moratilla

Departamento Legal

Más de 2,5 millones de ficheros inscritos en la AEPD

El Registro General de Protección de Datos – RGPD – ha superado ya los 2.500.000 ficheros inscritos, según se refleja de la estadística mensual mencionada por dicho organismo correspondiente al mes de septiembre. Este dato representa un incremento de un 22,7 % al dato del mismo mes un año antes.

Entre los sectores que se han notado una mayor actividad en las notificaciones a la AEPD destaca en primer lugar las comunidades de propietarios, con más de 300.000 ficheros inscritos y un incremento de un 25%. Por otro lado, destacan tanto el incremento de las pequeñas y medianas empresas del sector comercio principalmente, como las empresas del sector sanitario; empresas conscientes del tratamiento de datos de salud que realizan.

De los ficheros inscritos, se desprende que 115.000 son de titularidad pública, pertenecientes a las Administraciones Públicas, y 2.400.000 de titularidad privada, habiendo sido inscritos por más de 900.000 empresas y organizaciones. Cataluña, Andalucia y Madrid son las comunidades autónomas que más ficheros inscriben.

La LOPD establece la obligación para todos los organismos y entidades, sean públicas o privadas, dar de alta los ficheros que contengan datos de carácter personal (clientes, pacientes, videovigilancia, personal, etc.), con un simple objetivo; hacer público a los ciudadanos quién trata sus datos y así poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Áudea Seguridad de la Información SL

Departamento Legal

Fuente: www.agpd.es

Video Vigilancia en las Comunidades de Propietarios

Es cada vez más habitual que con motivo de la vigilancia de las comunidades de propietarios  bien se contrate un portero, o con intención de ahorrar un salario, se coloquen videocámaras que controlen la entrada y salida de personas al edificio. El problema en este último caso consiste en saber si las cámaras están tratando datos de carácter personal, y en el caso de que así fuera, qué obligaciones existen con respecto a estas imágenes por parte de las Comunidades. En este artículo veremos la evolución que la Agencia Española de Protección de datos ha seguido hasta la actualidad. (más…)

EL 95% DE LAS PYMES INCUMPLEN LA LEY DE PROTECCIÓN DE DATOS, SEGÚN UN ESTUDIO