Comunidades de propietarios. Videoporteros y protección de datos.
El presente artículo surge como reacción a la curiosa interpretación que hizo la Agencia Española de Protección de Datos, en adelante AEPD, de una situación creada como consecuencia de la instalación de una cámara en el garaje de un establecimiento, y que podría dar lugar a consecuencias importantes y muy gravosas.
En un primer momento el titular de la cámara indicó que su intención era averiguar quién accedía a sus instalaciones, y comunicó a la AEPD que la cámara no grababa imágenes sino que únicamente las reproducía en tiempo real. Posteriormente el titular de la cámara rectificó su definición e indicó a la AEPD que la cámara no era de videovigilancia, sino un videoportero.
La AEPD, a pesar del cambio de denominación del sistema consideró que el tratamiento realizado sería el mismo, y como consecuencia decidió apercibir al titular de la cámara para que en el plazo de 1 mes adaptase su funcionamiento a la legislación sobre protección de datos, o de lo contrario abriría expediente sancionador. Esta decisión tuvo como consecuencia que el titular decidiese retirar la cámara.
Analicemos la situación:
- Consideración de la posibilidad de visionado como tratamiento de datos. En diversas ocasiones la AEPD se ha pronunciado con respecto a esta cuestión indicando que “hay que señalar que las cámaras de videovigilancia aunque no graben, recogen imágenes, lo que en definitiva supone un tratamiento de datos, según lo dispuesto en el artículo 3. c) de la LOPD, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
Este criterio se complementa con lo dispuesto en el artículo 1 de la Instrucción 1/2006 sobre videovigilancia, donde se delimita el ámbito subjetivo de ésta señalando que:
“1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.
El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas”.
En este sentido el visionado, por tanto, debe considerarse un tratamiento de datos de imagen y por tanto debe cumplir con los requisitos exigidos por la legislación sobre protección de datos.
- ¿Sería un videoportero un equipo capaz de realizar los tratamientos exigidos por la AEPD y con la finalidad exigida?
En mi modesta opinión, sí. Con este sistema lo que pretendemos en definitiva es comprobar quién pretende acceder al domicilio o local donde se encuentre instalado, y como consecuencia de ello el titular decide si esta persona accede o no. Por lo tanto la finalidad podríamos encuadrarla como un tratamiento con fines de vigilancia y control de acceso a las instalaciones.
El tratamiento efectuado sería un procedimiento técnico que permite la recogida o captación de imágenes. En este apartado podríamos hacer una distinción: si el sistema permite el visionado de imágenes de forma continuada o sólo a petición del visitante al pulsar el timbre. El primer supuesto se daría porque existen en el mercado equipos que permiten ver apretando un botón desde el propio domicilio, y en este sentido el titular de la imagen desconocería que se le está vigilando. En el segundo supuesto, por el contrario, sólo se ofrece la posibilidad cuando el titular de la imagen acciona el timbre, y en este caso éste sabría perfectamente que va a ser visionada al decidir pulsar el timbre, prestando su consentimiento tácito al visionado de la imagen.
Las consecuencias serían distintas como veremos.
- Necesidad de consentimiento del titular de los datos para el tratamiento.
El artículo 6 de la LOPD exige el consentimiento de los afectados para el tratamiento de sus datos personales, salvo que la Ley determine otra cosa, o cuando concurra alguna de las circunstancias previstas en el apartado 2 del citado artículo.
En los supuestos de videovigilancia se da una situación diferenciadora, y es que resultaría una labor titánica pedir el consentimiento a cada persona que pase por delante de la cámara. Esta situación se ha solucionado por parte de la AEPD en la Instrucción antes mencionada, y a través de diversas resoluciones. En resumen, no se podrá grabar sobre la vía pública, únicamente se debe enfocar en el interior del inmueble donde se pone la cámara, además existe obligación de colocar un cartel informativo, haciendo alusión a que se está grabando, e informando del responsable del fichero, a los efectos de permitir el ejercicio de los derechos ARCO, así mismo existe obligación de tener a disposición del interesado un formulario en papel con la información que exige la ley de protección de datos por si alguien lo solicitase.
Con ello lo que se consigue es que el que lea el cartel, quede informado de que se va hacer un tratamiento de su imagen, y por tanto si entra en el recinto consiente tácitamente este tratamiento.
- Existencia del fichero
Otra peculiaridad de los sistemas de visionado de imágenes en tiempo real es que como tal no existe un fichero de datos, y por tanto no existe obligación de declarar el mismo ante la AEPD.
- Razonamiento final
Como conclusión a todo lo expuesto, podríamos decir que en el caso de videoporteros que ofrezcan la posibilidad de visionar imágenes, o escuchar conversaciones de terceros, sin su conocimiento, podríamos enfrentarnos a una sanción administrativa por un incumplimiento grave, con importe de40.001 a300.000 euros.
Para evitar esta situación el responsable del tratamiento, la comunidad de propietarios, debería colocar un cartel informativo en el acceso al edificio, justo antes del video portero.
He de decir, que de momento la AEPD cuando se ha pronunciado sobre estos temas, ha concluido que “dicho tratamiento de datos queda excluido del ámbito de aplicación de la citada LOPD, cuando es realizado por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.
Pero ¿qué ocurriría si el responsable del tratamiento fuese una persona jurídica?
He encontrado resoluciones, expediente Nº: E/00884/2008, en los que la agencia, a pesar de que el responsable del tratamiento era una persona jurídica, ha considerado que el tratamiento se encuadra dentro de las actividades personales o domésticas. Pero aun no sancionando al presunto infractor, destaca la conveniencia de colocar un cartel informativo a la entrada del local.
Aurelio J. Martínez Ferre.
Audea Seguridad de la Información.
Semana de la Seguridad
INTECO continúa con su labor de concienciación y apoyo a la cultura de seguridad de la información. Para ello y junto con OSI (Oficina de Seguridad del Internauta) y el Centro de Respuesta a Incidentes de Seguridad (INTECO- CERT) han organizado con motivo del Día Internacional de la Seguridad de la Información, la “Semana de la Seguridad”.
El Día Internacional de la Seguridad de la Información será el 30 de noviembre y desde el 28 al 4 se realizarán acciones dirigidas a concienciar a los usuarios de la importancia de este tema, El lema será “Tu Sentido Común”.
Coincidiendo con el Día Internacional de la Seguridad de la Información está previsto una mesa redonda, para analizar retos a los que se enfrenta la seguridad en Internet con expertos de marketing digital y de redes sociales, “Tu Sentido Común en Internet”.
Además durante la “Semana de la Seguridad” participarán blogueros a través de vídeos exponiendo sus experiencias personales en estos temas, habrá un taller práctico para ciudadanos denominado “Compra Electrónica Segura”, realizaran charlas en colegios para la concienciación de las nuevas generaciones y realizarán un seminario de carácter técnico junto con el Clúser de Seguridad de la Comunicad de Madrid.
Para más información http://tusentidocomun.com/
Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
www.audea.com
LOPD: Greatest Hits (Vol. IV)
Más de un año después de la tercera entrega de esta saga, que bien podría haber quedado en una trilogía, la casuística de algunos de nuestros clientes nos ha empujado a elaborar una cuarta edición. Y podrá haber una quinta.
Pero antes, hagamos repaso de lo que hemos analizado en los tres primeros volúmenes:
- Volumen I: Inscripción de ficheros, principio de calidad y deber de información.
- Volumen II: El Consentimiento.
- Volumen III: Datos especialmente protegidos.
Siguiendo la misma metodología de análisis que en anteriores ocasiones, llevando la estricta aplicación de la norma hasta sus últimas consecuencias, hoy trataremos ciertas curiosidades de los derechos de los ciudadanos a acceder a sus datos, rectificarlos, cancelarlos, y también a oponerse a que sean utilizados con determinada finalidad. En definitiva, los denominados Derechos ARCO.
¿Sabías que…
… en la mayoría de los casos, podrían desatenderse libremente estos derechos?
Las empresas y demás responsables de fichero tienen la obligación de ofrecer un cauce, sencillo y gratuito para que los afectados puedan ejercer sus derechos.
Es precisamente la exigencia de gratuidad lo que suele llevar aparejada una carencia de valor probatorio. Sabiendo, además, que en derecho administrativo sancionador opera el principio de presunción de inocencia, el ciudadano que denunciase tal infracción, tendría que acreditar la recepción de su solicitud por parte del responsable del fichero.
… en la mayoría de los casos, no atender debidamente el derecho, no implicará una sanción económica?
La Agencia Española de Protección de Datos es famosa por sus multas, que no van dirigidas a satisfacer al afectado, sino a castigar al infractor (es decir, no son indemnizaciones, sino multas).
Sin embargo, no es tan conocido que cuando la Agencia recibe una denuncia porque una empresa no ha atendido debidamente un derecho (ha ignorado la solicitud, o no lo ha hecho efectivo en el plazo fijado), no suele abrir un procedimiento sancionador, sino un procedimiento de Tutela de Derechos.
El procedimiento de Tutela de Derechos no tiene como fin sancionar, sino obligar a la empresa, en caso de que proceda, a atender la solicitud.
…para ejercer tus derechos ARCO es necesario que facilites una copia de tu DNI, aún cuando no hayas tenido que acreditarla cuando tus datos fueron recogidos?
La normativa establece que los derechos ARCO son derechos personalísimos, y que sólo pueden ser ejercidos por el propio afectado, previa acreditación (o por representante, con autorización firmada por el afectado, debiendo acreditarse ambas personas).
Es decir, por un lado, la normativa establece que la empresa deberá creerse los datos que le des cuando te los pida directamente. Y, sin embargo, deseas ejercer uno de tus derechos, la misma normativa te pone la traba de tener que acreditar tu identidad.
Aunque no lo parezca, puede llegar a tener todo el sentido del mundo.
Si una esposa celosa ejerciese un derecho de acceso sobre datos de su alegre marido, con engaño suficiente para que la empresa que tiene los datos se creyese que se trata de su esposo, la empresa podría llegar a ceder un historial completo de infidelidades, incumpliendo así toda base de la protección de datos.
… para ejercer los derechos ARCO de tus hijos/as, menores de 14 años, no bastará con que facilites copia del DNI, sino que también deberás facilitar copia del libro de familia, y si lo tuviesen, del DNI de tus hijos?
La normativa es tajante: “Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél”.
Es decir, ejercer un derecho ARCO en nombre de tus hijos, supone acreditar tu identidad, la identidad del representado, y el poder de representación que ostentas.
Tiene tanto sentido como en el caso anterior.
El problema en este caso, no es de la normativa de protección de datos, sino que actualmente no disponemos de mecanismos de acreditación de identidad y representación que sean tan ágiles como deberían.
Será que todavía no soy padre, pero antes de hacer todo eso, preferiría que siguiesen recibiendo publicidad no deseada.
Nos vemos en la próxima edición de los Grandes Éxitos de la LOPD.
Áudea Seguridad de la Información
José Carlos Moratilla
Responsable del Departamento Derecho NNTT
www.audea.com
Enlaces de Interés
Áudea os ofrece una serie portales de interés, donde encontraréis temática relacionadas con la seguirdad de la información y noticias del sector.
Nuevas recomendaciones de INTECO sobre navegación Web
INTECO en continuación de sus labores de concienciación de los usuarios respecto a la seguridad en la Red ha lanzado un microsite a través de la OSI (Oficina de Seguridad del Internauta) con la intención de concienciar y formar a los usuarios de Internet de los peligros existentes en la Red, de las medidas de seguridad que se deben adoptar y de cómo deben actuar en caso de ser victimas de alguno de los peligros que acechan como estafas, spam, malware, etc. (más…)
