Comunidades de propietarios. Videoporteros y protección de datos.
El presente artículo surge como reacción a la curiosa interpretación que hizo la Agencia Española de Protección de Datos, en adelante AEPD, de una situación creada como consecuencia de la instalación de una cámara en el garaje de un establecimiento, y que podría dar lugar a consecuencias importantes y muy gravosas.
En un primer momento el titular de la cámara indicó que su intención era averiguar quién accedía a sus instalaciones, y comunicó a la AEPD que la cámara no grababa imágenes sino que únicamente las reproducía en tiempo real. Posteriormente el titular de la cámara rectificó su definición e indicó a la AEPD que la cámara no era de videovigilancia, sino un videoportero.
La AEPD, a pesar del cambio de denominación del sistema consideró que el tratamiento realizado sería el mismo, y como consecuencia decidió apercibir al titular de la cámara para que en el plazo de 1 mes adaptase su funcionamiento a la legislación sobre protección de datos, o de lo contrario abriría expediente sancionador. Esta decisión tuvo como consecuencia que el titular decidiese retirar la cámara.
Analicemos la situación:
- Consideración de la posibilidad de visionado como tratamiento de datos. En diversas ocasiones la AEPD se ha pronunciado con respecto a esta cuestión indicando que “hay que señalar que las cámaras de videovigilancia aunque no graben, recogen imágenes, lo que en definitiva supone un tratamiento de datos, según lo dispuesto en el artículo 3. c) de la LOPD, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
Este criterio se complementa con lo dispuesto en el artículo 1 de la Instrucción 1/2006 sobre videovigilancia, donde se delimita el ámbito subjetivo de ésta señalando que:
“1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.
El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas”.
En este sentido el visionado, por tanto, debe considerarse un tratamiento de datos de imagen y por tanto debe cumplir con los requisitos exigidos por la legislación sobre protección de datos.
- ¿Sería un videoportero un equipo capaz de realizar los tratamientos exigidos por la AEPD y con la finalidad exigida?
En mi modesta opinión, sí. Con este sistema lo que pretendemos en definitiva es comprobar quién pretende acceder al domicilio o local donde se encuentre instalado, y como consecuencia de ello el titular decide si esta persona accede o no. Por lo tanto la finalidad podríamos encuadrarla como un tratamiento con fines de vigilancia y control de acceso a las instalaciones.
El tratamiento efectuado sería un procedimiento técnico que permite la recogida o captación de imágenes. En este apartado podríamos hacer una distinción: si el sistema permite el visionado de imágenes de forma continuada o sólo a petición del visitante al pulsar el timbre. El primer supuesto se daría porque existen en el mercado equipos que permiten ver apretando un botón desde el propio domicilio, y en este sentido el titular de la imagen desconocería que se le está vigilando. En el segundo supuesto, por el contrario, sólo se ofrece la posibilidad cuando el titular de la imagen acciona el timbre, y en este caso éste sabría perfectamente que va a ser visionada al decidir pulsar el timbre, prestando su consentimiento tácito al visionado de la imagen.
Las consecuencias serían distintas como veremos.
- Necesidad de consentimiento del titular de los datos para el tratamiento.
El artículo 6 de la LOPD exige el consentimiento de los afectados para el tratamiento de sus datos personales, salvo que la Ley determine otra cosa, o cuando concurra alguna de las circunstancias previstas en el apartado 2 del citado artículo.
En los supuestos de videovigilancia se da una situación diferenciadora, y es que resultaría una labor titánica pedir el consentimiento a cada persona que pase por delante de la cámara. Esta situación se ha solucionado por parte de la AEPD en la Instrucción antes mencionada, y a través de diversas resoluciones. En resumen, no se podrá grabar sobre la vía pública, únicamente se debe enfocar en el interior del inmueble donde se pone la cámara, además existe obligación de colocar un cartel informativo, haciendo alusión a que se está grabando, e informando del responsable del fichero, a los efectos de permitir el ejercicio de los derechos ARCO, así mismo existe obligación de tener a disposición del interesado un formulario en papel con la información que exige la ley de protección de datos por si alguien lo solicitase.
Con ello lo que se consigue es que el que lea el cartel, quede informado de que se va hacer un tratamiento de su imagen, y por tanto si entra en el recinto consiente tácitamente este tratamiento.
- Existencia del fichero
Otra peculiaridad de los sistemas de visionado de imágenes en tiempo real es que como tal no existe un fichero de datos, y por tanto no existe obligación de declarar el mismo ante la AEPD.
- Razonamiento final
Como conclusión a todo lo expuesto, podríamos decir que en el caso de videoporteros que ofrezcan la posibilidad de visionar imágenes, o escuchar conversaciones de terceros, sin su conocimiento, podríamos enfrentarnos a una sanción administrativa por un incumplimiento grave, con importe de40.001 a300.000 euros.
Para evitar esta situación el responsable del tratamiento, la comunidad de propietarios, debería colocar un cartel informativo en el acceso al edificio, justo antes del video portero.
He de decir, que de momento la AEPD cuando se ha pronunciado sobre estos temas, ha concluido que “dicho tratamiento de datos queda excluido del ámbito de aplicación de la citada LOPD, cuando es realizado por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.
Pero ¿qué ocurriría si el responsable del tratamiento fuese una persona jurídica?
He encontrado resoluciones, expediente Nº: E/00884/2008, en los que la agencia, a pesar de que el responsable del tratamiento era una persona jurídica, ha considerado que el tratamiento se encuadra dentro de las actividades personales o domésticas. Pero aun no sancionando al presunto infractor, destaca la conveniencia de colocar un cartel informativo a la entrada del local.
Aurelio J. Martínez Ferre.
Audea Seguridad de la Información.
Organización de eventos familiares o de amigos y LOPD.
Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado. Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.
Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.
Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:
- Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.
La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.
Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.
- Concepto de tratamiento. El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”
Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.
Que paséis buenas fiestas.
Áudea Seguridad de la Información.
Aurelio J. Martínez Ferre
Departarmento Derecho NNTT
www.audea.com
Derecho al olvido en boletines oficiales
La publicación de los distintos boletines oficiales tiene como propósito dar publicidad, con fines de difusión y de manera que quede accesible al público para su consulta, de las normas y de aquellas otras disposiciones o actos que el ordenamiento jurídico considera que deben ser publicados. Esta información es considerada como un derecho democrático básico. (más…)
Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal.
De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”. En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).
En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que “El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.”, y el apartado 9° atribuye a dicho órgano “Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley”. En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.
La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.
¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?
Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.
Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.
Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.
Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.
A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que “Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega”.
En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.
Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD:
Áudea, Seguridad de la Información
Karol Sedkowski
Consultor Legal
www,audea.com
Reseña del reciente informe 0411/2010 de la AEPD
El informe versa sobre la cesión de datos concernientes a accidentes de tráfico a las compañías aseguradoras y/o abogados defensores de los implicados.
Al objeto de determinar la existencia de Leyes que amparen la cesión de datos, la AEPD diferencia, en primer término, la comunicación de datos a las compañías aseguradoras, de la comunicación a los particulares, por fundamentarse ambas en diferentes preceptos legales.
En este sentido, la Ley 50/1980, de 8 de octubre, de Contrato de Seguro, establece en su art. 18 “el asegurador está obligado a satisfacer la indemnización al término de las investigaciones y peritaciones necesarias para establecer la existencia del siniestro y, en su caso, el importe de los daños que resulten del mismo. En cualquier supuesto, el asegurador deberá efectuar, dentro de los cuarenta días, a partir de la recepción de la declaración del siniestro, el pago del importe mínimo de lo que el asegurador pueda deber, según las circunstancias por él conocidas (…)”.
Como apunta la AEPD, del anterior artículo se desprende que el asegurador tiene la obligación legal de realizar las investigaciones (y peritaciones) necesarias tanto sobre la propia existencia del siniestro, como sobre el importe de los daños si estos se hubieran producido.
De otro lado, la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de seguros privados, impone en su art. 16.1 letra a) a las entidades aseguradoras “la obligación de constituir y mantener en todo momento provisiones técnicas suficientes para el conjunto de sus actividades”.
En segundo lugar, en relación a la cesión de los datos personales referidos al accidente de tráfico a los particulares y/o a sus representantes legales, la AEPD también trata de identificar una norma que habilite la cesión de los datos sin el consentimiento de los afectados. En este punto, el art. 76 Ley 50/1980, de 8 de octubre, de Contrato de Seguro establece que “el perjudicado o sus herederos tendrán acción directa contra el asegurador para exigirle el cumplimiento de la obligación de indemnizar, sin perjuicio del derecho del asegurador a repetir contra el asegurado, en el caso de que sea debido a conducta dolosa de éste, el daño o perjuicio causado a tercero. La acción directa es inmune a las excepciones que puedan corresponder al asegurador contra el asegurado. El asegurador puede, no obstante, oponer la culpa exclusiva del perjudicado y las excepciones personales que tenga contra éste. A los efectos del ejercicio de la acción directa, el asegurado estará obligado a manifestar al tercero perjudicado o a sus herederos la existencia del contrato de seguro y su contenido”. Por su parte, el art. 7.1 del Texto Refundido de la Ley sobre Responsabilidad Civil y Seguro en la Circulación de Vehículos a Motor, establece que “el asegurador, dentro del ámbito del aseguramiento obligatorio y con cargo al seguro de suscripción obligatoria, habrá de satisfacer al perjudicado el importe de los daños sufridos en su persona y en sus bienes (…).”
La AEPD considera que la comunicación a los particulares y/o a sus representantes legales encontraría respaldo, en función de lo establecido en el art. 11 punto 2 letra a) LOPD, es decir, no se precisa el consentimiento del afectado, dado que existen, como claramente apunta la AEPD, normas con rango de Ley que dan cobertura al acceso por el particular a los datos necesarios para exigir, mediante el ejercicio de una acción directa, el abono de la indemnización que proceda.
No obstante, como hemos indicado desde Áudea en otras noticias y reseñas de informes, la comunicación de datos deberá limitarse a los datos que sean estrictamente necesarios en cada caso, en relación con la finalidad que justifica la cesión.
Más información:
Áudea Seguridad de la Información
Departamento Legal
www.audea.com
