Archivos de la etiqueta: videovigilancia

07Mar/21

Directiva nº 01-2020-JUS/DGTAIPD. Tratamiento de datos personales mediante Sistemas de Vigilancia.

Directiva nº 01-2020-JUS/DGTAIPD. Tratamiento de datos personales mediante Sistemas de Vigilancia.

DIRECTIVA n° 01-2020-JUS/DGTAIPD

TRATAMIENTO DE DATOS PERSONALES MEDIANTE SISTEMAS DE VIDEOVIGILANCIA

FORMULADA POR: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales

Dirección de Protección de Datos Personales

I. OBJETIVO

Establecer las disposiciones para el tratamiento de datos personales captados a través de sistemas de videovigilancia con fines de seguridad, control laboral y otros, de conformidad con lo establecido en la Ley n° 29733 y su reglamento.

II. BASE LEGAL

Constitución Política del Perú.

Ley n° 27153, Ley que regula la explotación de juegos de casinos y máquinas tragamonedas.

Ley n° 27933, Ley del Sistema de Seguridad Ciudadana.

Ley n° 29733, Ley de Protección de Datos Personales (LPDP)

Ley n° 27972, Ley Orgánica de Municipalidades.

Ley n° 30120, Ley de Apoyo a la Seguridad Ciudadana con Cámaras de Videovigilancia Públicas y Privadas.

Ley n° 30037, Ley que Previene y Sanciona la Violencia en los Espectáculos Deportivos.

Ley n° 30740, Ley que regula el uso y las operaciones de los sistemas de aeronaves pilotadas a distancia (RPAS).

Decreto Legislativo n° 1218, que regula el uso de las cámaras de videovigilancia.

Decreto Supremo n° 003-97-TR, que aprueba el Texto Único Ordenado de la Ley de Productividad y competitividad laboral.

Decreto Supremo n° 003-2013-JUS, que aprueba el Reglamento de la Ley de Protección de Datos Personales.

Decreto Supremo n° 011-2014-IN, que aprueba el Reglamento de la Ley n° 27933, Ley del Sistema Nacional de Seguridad Ciudadana.

Decreto Supremo n° 007-2016-IN, que aprueba el Reglamento de la Ley n° 30037, Ley que previene y sanciona la violencia en los espectáculos deportivos.

Decreto Supremo n° 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos.

Decreto Supremo n° 004-2019-JUS, que aprueba el Texto Único Ordenado de la Ley de Procedimiento Administrativo general, Ley n° 27444.

Decreto Supremo n° 018-2013-MINJUS, que aprueba el Texto Único Ordenado de la Ley Orgánica del Ministerio de Justicia y Derechos Humanos, modificado por Resolución Ministerial n° 065-2017-JUS.

Decreto Supremo n° 009-2002-MINCETUR, que aprueba el Reglamento de la Ley n° 27153, que regula la explotación de juegos de casinos y máquinas tragamonedas,

Resolución Directoral n° 709-2005-MINCETURNTM/DNT: “Normas complementarias a la instalación del sistema de video en la sala de juego y máquinas tragamonedas”.

III. ALCANCE

Las disposiciones contenidas en la presente directiva se aplican a toda persona natural y jurídica que realice tratamiento de datos personales a través de sistemas de videovigilancia y, en general, mediante cualquier dispositivo que permita el tratamiento de datos para dicho fin.

Las entidades de la Administración Pública señaladas en el artículo 1 de la Ley n° 27444, Ley del Procedimiento Administrativo General, se sujetarán a aquellas disposiciones de la presente directiva que resulten aplicables conforme a las normas comunes de derecho público.

IV. RESPONSABLE:

El responsable de esta directiva, a efectos de su difusión, exigibilidad y cumplimiento, es la Autoridad Nacional de Protección de Datos Personales que es ejercida por el Ministerio de Justicia y Derechos Humanos a través de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

V. DEFINICIONES Y/0 SIGLAS

5.1 Arquitectura física:

Representación gráfica de los componentes físicos (servidores, cámara o videocámara, monitores, entre otros) del sistema de videovigilancia a través del cual se realiza tratamiento de datos personales.

5.2 Arquitectura lógica

Representación gráfica de las conexiones entre los componentes lógicos (software, sistemas, aplicativos, etc.) del sistema de videovigilancia a través del cual se realiza tratamiento de datos personales.

5.3 Cámara o videocámara:

Dispositivo digital, óptico o electrónico, fijo o móvil que permite captar, grabar o cualquier otro tratamiento de datos personales a través de imágenes, videos o audios.

5.4 Cámara conectada a internet

Es aquella cámara o videocámara que se encuentra conectada a internet a través de cualquier identificador (IP u otros) con finalidad de realizar tratamiento de datos personales mediante imágenes, videos o audios.

5.5 Cámara “on board”:

Cámara instalada dentro de un vehículo, casco o vestimenta de un conductor, que permite grabar imágenes durante el recorrido que se realiza con el mismo.

5.6 Captación de imágenes y/o sonidos:

Es el proceso técnico que permite la captura de imágenes y/o sonidos en tiempo real mediante cámaras o videocámaras en cualquier medio o soporte tecnológico.

5.7 CD:

5.8 Dato personal:

Las imágenes y las voces de una persona constituyen datos personales, ya que permiten identificar o hacer identificable a una persona natural a través de medios que pueden ser razonablemente utilizados.

5.9 Días: Días hábiles.

5.10 Dron:

Aeronave no tripulada.

5.11 Grabación:

Es el proceso técnico a través del cual se registra imágenes, videos o audios en cualquier medio o soporte tecnológico, con la finalidad de almacenar o reproducir con posterioridad lo registrado.

5.12 Inventario documentado:

Lista ordenada de la totalidad de las cámaras u otros dispositivos de videovigilancia, en la cual se debe precisar la ubicación física de los dispositivos, ya sea interna o externa, así como su estado de operatividad.

5.13 LPDP:

Ley n° 29733, Ley de Protección de Datos Personales.

5.14 Máscara de privacidad:

Permite bloquear y/o anonimizar determinadas partes de una imagen que no se visualizará o captará por la cámara o videocámara.

5.15 Persona identificable:

Persona a la cual se la pueda identificar mediante tratamientos a los que se refiere la directiva. Se identifica a una persona natural con la captación de su imagen, voz o cualquier otro tratamiento de sus datos que permita hacerlo.

5.16 Perfil:

Conjunto de facultades que se le atribuyen a los usuarios del sistema de videovigilancia que permiten determinar la atribución de sus funciones, en razón de sus posibilidades de accesos al sistema y de gestión privilegios.

Existen tres tipos de Perfiles:

5.16.1 Perfil administrador:

Es la persona que tiene a cargo todas las obligaciones contenidas en la LPDP, su reglamento y la presente directiva. Toda persona natural, jurídica o entidad pública que cuente con sistemas de videovigilancia, para los fines establecidos en esta directiva, debe designar, mediante documento, a la persona que estará a cargo de estas atribuciones, pues será quien responda específicamente por el tratamiento de datos personales que se realice a través del sistema, sin perjuicio de la responsabilidad atribuida al encargado del tratamiento.

5.16.2 Perfil intermedio:

Es aquel a quien el perfil administrador puede delegar determinadas funciones o responder, en defecto del perfil administrador, por ellas. Las funciones que le pueden ser asignadas, mediante documento, están reguladas en esta directiva. El perfil intermedio se encuentra bajo la dirección del perfil administrador.

5.16.3 Perfil básico:

Es aquel a quien, de acuerdo al documento de asignación, le compete únicamente las funciones de monitoreo de las cámaras de videovigilancia, seguridad lógica y física del ambiente de videovigilancia y mantener actualizado el inventario documentado de cámaras. Ello, sin perjuicio que estas actividades puedan ser realizadas también por el perfil intermedio y administrador, pudiéndose encontrar incluso bajo su mando o dirección.

5.17 Procedimiento documentado de gestión de acceso:

Documento en el que se establecen los procedimientos y políticas de seguridad a fin de garantizar el acceso seguro a los sistemas, aplicativos y/o equivalentes que realizan tratamiento de datos personales. Dichos accesos deberán ser definidos mediante procesos de identificación y/o autentificación de los usuarios, así como los responsables de realizar dichos procesos.

5.18 Procedimiento documentado de gestión de privilegios:

Documento mediante el cual se establecen los procedimientos formales de definición y de aprobación de los perfiles de los usuarios que realizan tratamiento de datos personales, teniendo en cuenta las autorizaciones de acceso y las restricciones del banco de datos automatizado que realiza tratamiento de datos personales, así como los responsables de realizar el tratamiento de datos personales y de aquellos que llevan a cabo dichos procesos.

5.19 Procedimiento documentado de verificación periódica de privilegios asignados:

Documento a través del cual se establecen los procedimientos, políticas formales y la periodicidad de revalidación, y la verificación de los privilegios a los usuarios que tienen acceso a datos personales, así como a los responsables de dichos procesos.

5.20 RLPDP:

Reglamento de la Ley de Protección de Datos Personales.

5.21 RNPDP:

Registro Nacional de Protección de Datos Personales.

5.22 Sistema de Videovigilancia:

Conjunto de una o más personas y equipos tecnológicos -compuesto por una o varias cámaras de video localizadas estratégicamente e interconectadas entre sí – que permiten el tratamiento de datos personales.

5.23 Tipos de prestación en contratos de encargo de sistemas de videovigilancia:

5.23.1 Una empresa externa puede prestar servicios consistentes en la instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin acceso a imágenes y/o audio.

En estos casos estas empresas no tienen la condición de encargados del tratamiento, siendo el titular del banco de datos el obligado a adoptar los sistemas a los requisitos normativos.

5.23.2 La empresa externa puede brindar servicios de instalación o mantenimiento de los equipos y sistemas de videovigilancia con utilización de los equipos o acceso a las imágenes, videos o audios.

En este tipo de relación la empresa se considera encargada del tratamiento y tiene que cumplir las obligaciones que tal condición le otorga la LPDP.

5.24 Tratamiento de datos personales a través de sistemas de videovigilancia:

Es cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de la imagen o voz, captados por medio de un sistema de cámaras fijas o móviles ya sea en tiempo real o en visualización de grabaciones de imágenes, vídeos o audios.

5.25 Usuario:

Operador de la plataforma tecnológica a quien se le asignó un perfil determinado.

5.26 Videoporteria:

Sistema autónomo que sirve para gestionar las llamadas que se hacen en la puerta de un edificio (sea complejo residencial, vivienda unifamiliar, centros de trabajo, etc.), controlando el acceso al mismo mediante la comunicación audiovisual entre el interior y el exterior. La característica principal de la videoportería es que permite que la persona que ocupa el interior identifique a la visita, pudiendo, si lo desea, entablar una conversación y/o abrir la puerta para permitir el acceso de la persona que ha activado un timbre o dispositivo de comunicación.

5.27 Videovigilancia:

Monitoreo y captación de imágenes, videos o audios de lugares, personas u objetos. La información captada puede o no ser objeto de almacenamiento a través de su grabación.

5.28 Violación o brecha de seguridad de los datos personales:

Se produce cuando los datos contenidos en sistemas de videovigilancia sufren un incidente de seguridad que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los mismos.

Dichos incidentes de seguridad pueden ser: la destrucción, pérdida o alteración accidental o ilícita de los datos personales transmitidos, conservados y tratados, o la comunicación y/o accesos no autorizados a dichos datos.

VI. DISPOSICIONES GENERALES

Ámbito material de aplicación

6.1 Se aplica al tratamiento de datos de personas identificadas o identificables captados a través de sistemas de videovigilancia. El tratamiento objeto de esta directiva comprende la grabación, captación, transmisión, conservación o almacenamiento de imágenes o voces, incluida su reproducción o emisión en tiempo real o cualquier otro tratamiento que permita el acceso a los datos personales relacionados con aquellos, para fines de seguridad, control laboral y otros.

6.2 No se encuentran dentro del ámbito de aplicación de la presente directiva:

6.2.1 Los tratamientos de datos de personas naturales identificadas o identificables a través de cámaras o videocámaras y sistemas de videovigilancia en el marco de los supuestos de excepción previstos en el artículo 3 de la LPDP.

6.2.2 Al tratamiento de imágenes en el ámbito personal y doméstico, que incluye el uso de cámaras “on board’ y los sistemas de videoportería, salvo que estos últimos se articulen mediante procedimientos que reproduzcan o graben imágenes de modo constante y que resulten accesibles (mediante internet o emisiones por televisión en circuito cerrado) y, en particular, cuando el objeto de las mismas alcance a las zonas comunes y/o la vía pública colindante.

6.2.3 Al tratamiento de imágenes vinculadas al ejercicio legítimo del derecho a la libertad de información y expresión por los medios de comunicación.

6.2.4 Aquellos sistemas que involucren cámaras o videocámaras simuladas o desactivadas. A estas últimas, sí les resultará aplicable la directiva en lo que respecta a las medidas de seguridad del sistema.

Legitimación para el tratamiento de datos mediante cámaras o sistemas de videovigilancia

6.3 Existe legitimidad para el tratamiento de datos personales mediante sistemas de videovigilancia cuando se cuente con alguno de los siguientes supuestos:

6.3.1 Se cuente con el consentimiento del titular de los datos personales.

6.3.2 Una norma con rango de ley habilite a captar los datos sin el consentimiento de los titulares.

6.3.3 Se dé alguna de las circunstancias previstas en el artículo 14 de la LPDP.

Principios

6.4 Principio de proporcionalidad:

El tratamiento de los datos personales debe ser adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten los datos. Una adecuación medio —fin.

El uso de instalaciones de cámaras o videocámaras es legítimo cuando no exista un medio menos invasivo o igual de eficaz, para alcanzar la finalidad perseguida.

6.5 Principio de seguridad:

El responsable del tratamiento debe adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Aquellos sistemas de videovigilancia de personas jurídicas conectados o que vayan a ser conectados con una central receptora de alarmas o un centro de control, deben cumplir con lo previsto en el Decreto Legislativo n° 1213, que regula los servicios de seguridad privada. Estos servicios únicamente pueden ser realizados por empresas de seguridad, en virtud de sus condiciones y cualificación, debiendo estas ser consideradas encargadas del tratamiento.

6.6 Principio de calidad:

El tratamiento de los datos deberá ser necesario, pertinente y adecuado respecto a la finalidad para la que fueron recopilados, y deberán conservarse solo por el tiempo necesario para cumplir con la finalidad que motivó su tratamiento, tomando en cuenta el plazo señalado en el punto 6.13 de la presente directiva.

Derecho de información

6.7 Debe informarse sobre la captación y/o grabación de las imágenes, para tal fin se debe colocar en las zonas videovigiladas al menos un distintivo informativo ubicado en un lugar suficientemente visible, tanto en espacios abiertos como cerrados.

Si la información prevista en el artículo 18 de la LPDP no puede ser colocada en su integridad en el cartel informativo, en el espacio videovigilado debe tenerse a disposición de los interesados, ya sea a través de medios informáticos, digitalizados o impresos, la información mínima requerida para garantizar sus derechos, regulada en el punto 6.12 de la presente directiva.

Si el lugar vigilado dispone de varios accesos, el cartel se coloca en todos ellos, en un lugar visible, para que la información contenida en el mismo también lo sea.

Respeto a los derechos fundamentales de terceros

6.8 Debe prevenirse la captación de imágenes de terceros ajenos a los fines de la captación. El titular del banco de datos personales o quien realice el tratamiento de los datos a través de los sistemas de videovigilancia es responsable por la implementación de mecanismos o medidas adecuadas para no afectar los derechos de terceros que aparezcan en las grabaciones.

Las cámaras o videocámaras instaladas en espacios privados no deben obtener imágenes de espacios públicos, salvo que resulte imposible evitarlo. En este último caso, la cámara debe captar únicamente la sección de vía pública que resulte imprescindible para cumplir con los fines de vigilancia que se pretende con la instalación del sistema.

Registro de banco de datos de videovigilancia

6.9 La persona natural, jurídica o entidad pública que utilice un sistema de videovigilancia o cualquier dispositivo que permita el tratamiento de datos para dicho fin, debe solicitar la inscripción del banco de datos personales respectivo a la Dirección de Protección de Datos Personales, unidad orgánica de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos, encargada de la administración del Registro Nacional de Protección de Datos Personales.

6.10 Los sistemas que no almacenan imágenes, sino que consisten exclusivamente en la reproducción y emisión de imágenes en tiempo real, no son considerados bancos de datos. Sin embargo, esto no los exime del cumplimiento de las demás obligaciones contenidas en la LPDP, su reglamento y la presente directiva, en lo que resulte aplicable.

Características del cartel informativo

6.11 Cada acceso a la zona videovigilada debe tener un cartel o anuncio visible con fondo amarillo o cualquier otro que contraste con el color de la pared y que lo haga suficientemente visible. Su contenido mínimo debe indicar (Anexo 1):

6.11.1 La identidad y domicilio del titular del banco de datos personales.

6.11.2 Ante quién y cómo se pueden ejercitar los derechos establecidos en la LPDP.

6.11.3 Lugar dónde puede obtener la información contenida en el artículo 18 de la LPDP.

6.11.4 En lo que se refiere a las dimensiones, los elementos gráficos podrán tener, como mínimo, las siguientes: 297 x 210 mm. Cuando el espacio en que se vaya a ubicar el cartel informativo no lo permita, este debe adecuarse al espacio disponible, de tal forma que cumpla su finalidad informativa.

Características del informativo adicional del sistema de videovigilancia

6.12 El informativo adicional del sistema de videovigilancia (Anexo 2) debe estar disponible, ya sea a través de medios informáticos, digitalizados o impresos, y debe contener la información requerida para garantizar el derecho reconocido en el artículo 18 de la LPDP:

6.12.1 La identidad y domicilio del titular del banco de datos personales y del encargado del tratamiento, de ser el caso.

6.12.2 La finalidad.

6.12.3 Las transferencias y destinatarios de los datos personales.

6.12.4 El plazo durante el cual se conservarán los datos personales.

6.12.5 El ejercicio de los derechos de información, acceso, cancelación y oposición de los datos.

Plazo de conservación o almacenamiento de la información grabada

6.13 Las imágenes y/o voces grabadas se almacenan por un plazo de treinta (30) días y hasta un plazo máximo de sesenta (60), salvo disposición distinta en normas sectoriales. Durante ese plazo, el titular del banco de datos o encargado del tratamiento de los datos debe asegurar la reserva y confidencialidad de la información, no permitiendo la difusión, copia o visualización de imágenes por terceros no autorizados.

6.14 El registro de las imágenes, videos o audios que presenten indicios razonables de la comisión de un delito o falta debe ser informado haciendo entrega del soporte que contiene el mismo de manera inmediata a la Policía Nacional del Perú o al Ministerio Público, según corresponda.

Cancelación definitiva de la información

6.15 Transcurrido el plazo de conservación de la información referido en el punto 6.13, y no habiendo requerimiento de alguna autoridad competente para entregar o visualizar el contenido de la grabación, se deben eliminar los archivos en el plazo máximo de dos (02) días hábiles, salvo disposición distinta en norma sectorial.

6.16 El plazo máximo previsto para la eliminación de la información no será aplicable cuando exista alguna finalidad o interés legítimo que justifique su conservación, así como la concurrencia de alguna contingencia de orden técnico que justifique razonablemente el aplazamiento de la eliminación de la misma por un período determinado o determinable.

Formalidades que debe seguir el encargado del tratamiento

6.17 Cuando una persona natural, jurídica o entidad pública ha instalado o pretende instalar un sistema de cámaras de videovigilancia, pero encarga a otra la gestión del sistema con utilización de los equipos o acceso a las imágenes o voces, debe de suscribirse un contrato, convenio o documento similar en el que se establezca el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos y categorías de interesados, las obligaciones y derechos que correspondan, así como el destino de los datos al finalizar la prestación.

6.18 El contrato, convenio o documento similar atiende a las circunstancias concretas de la prestación del servicio. El encargado está obligado, en mérito de él, a cumplir con las condiciones técnicas y organizativas necesarias para respetar las obligaciones establecidas en la LPDP; a observar los requisitos legales que lo habilitan para prestar el servicio; a seguir las instrucciones del responsable del tratamiento o del titular del banco de datos; a realizar las acciones necesarias para asistir al responsable o titular del banco de datos en el cumplimiento de su deber de responder frente el ejercicio de los derechos señalados en la LPDP; y, en general, de colaborar en el cumplimiento de las obligaciones del titular del banco de datos.

6.19 El encargado del tratamiento debe garantizar al responsable que el acceso a los datos sólo se realizará por personas debidamente autorizadas debiendo adoptar las medidas de seguridad necesarias para asegurar el adecuado uso del sistema y tratamiento de los datos personales.

6.20 El encargado del tratamiento del sistema de videovigilancia debe notificar, sin dilación, al responsable del tratamiento acerca de la existencia de una violación o brecha de seguridad.

6.21 De acuerdo a lo establecido en el artículo 37 del RLPDP, es posible la subcontratación con terceros, debiendo asumir la persona natural o jurídica subcontratada las mismas obligaciones que se establezcan para el titular del banco de datos, responsable o encargado del tratamiento, según corresponda, de acuerdo a lo establecido en el artículo 38 del RLPDP.

Principales obligaciones sobre medidas de seguridad

6.22 La persona que opera o tiene acceso a cualquier sistema de cámaras de videovigilancia, en razón de sus funciones, debe cumplir con lo siguiente:

6.22.1 Tener procedimientos de identificación y autentificación de usuarios que den cuenta del funcionamiento del centro de control y monitoreo del sistema de cámaras o videocámaras de videovigilancia, de las partes que lo componen y los equipos.

6.22.2 Conocer el funcionamiento correcto del sistema de videovigilancia.

6.22.3 Contar con un inventario documentado de las cámaras u otros dispositivos de videovigilancia.

6.22.4 Contar con un esquema y/o diagrama documentado de la arquitectura física y lógica del sistema de videovigilancia. La arquitectura física es la representación gráfica de las conexiones físicas entre los diversos componentes del sistema. Entiéndase por componentes: los servidores, cámaras de videovigilancia, computadoras, etc.

Por su parte, la arquitectura lógica es la representación gráfica de las conexiones entre los componentes lógicos (software, sistemas aplicativos, etc.) de una red o sistema de videovigilancia, en el cual se debe detallar nombre del sistema y funciones específicas.

6.22.5 Contar con documentación respecto a la gestión de accesos, privilegios y verificación periódica de privilegios asignados.

6.22.6 Cuando corresponda, contar con mecanismos de respaldo de seguridad de la información de carácter personal obtenida a través de sistemas de videovigilancia, así como con un procedimiento que contemple la verificación de la integridad de los datos almacenados en el respaldo.

6.22.7 Implementar las medidas de seguridad en el caso de que resulte necesario transportar los sistemas o cámaras de videovigilancia que contengan información de carácter personal. El transporte debe ser autorizado por el titular del banco de datos personales.

6.22.8 Otras obligaciones que las leyes o normativa sobre la materia dispongan.

6.23 Para efectos de un cumplimiento adecuado de las medidas de seguridad dentro del sistema de videovigilancia, es necesaria la implementación de los perfiles definidos en el glosario de la presente directiva, a fin de limitar accesos y gestión de privilegios de los usuarios. En el caso de personas jurídicas o naturales que cuenten con un número no superior de ocho cámaras y dos operadores de las mismas, sólo será necesario la determinación del perfil administrador y habilitarse un ambiente aislado o apropiado con mecanismo de control de acceso asignado para el mismo.

Deber de confidencialidad

6.24 El deber de confidencialidad podrá materializarse a través de un documento en el que se determine la obligación de secreto entre las partes, a efectos de no divulgar una determinada información. En este documento se establece la prohibición de reproducir, modificar, publicar o difundir o transferir a terceros la información sin autorización expresa de la otra parte.

6.25 El documento debe ser suscrito entre las personas que en razón de sus funciones operan o tienen acceso a cualquier sistema de videovigilancia, con el titular del banco de datos personales o con el encargado del tratamiento, dependiendo de a quien presta sus servicios directamente, siendo la empresa empleadora la propietaria del sistema de videovigilancia o del establecimiento en donde este se realiza.

Responsabilidades de las personas que operan sistemas o centros de videovigilancia por operaciones no autorizadas

6.26 Las personas que operan o tienen acceso a cualquier sistema de videovigilancia, en razón de sus funciones, son responsables de la facilitación, comercialización, difusión, copia o entrega no autorizadas del contenido de las grabaciones.

Prestaciones de servicio sin acceso a datos personales

6.27 El responsable o encargado del tratamiento de los datos personales adopta las medidas adecuadas para limitar el acceso del personal distinto al especialmente designado para acceder y gestionar el sistema de videovigilancia.

6.28 El personal que no tiene entre sus funciones realizar tratamiento de datos personales se encuentra prohibido de tratar los datos personales, debiendo consignarse esta prohibición:

6.28.1 En el contrato de trabajo o prestación de servicios que suscriban con el titular del banco de datos o encargado de su tratamiento; o,

6.28.2 En el contrato que suscriba la empresa tercerizadora o intermediaria y el titular del banco de datos o el encargado de su tratamiento, debiendo la empresa tercerizadora o intermediadora hacer de conocimiento de quien vaya a prestar directamente el servicio de tal obligación de confidencialidad.

6.29 Asimismo, deberá consignarse la obligación de secreto respecto a los datos que este personal hubiera podido conocer con motivo de la prestación de su servicio.

Derechos de los titulares de los datos

6.30 Los derechos establecidos en la LPDP pueden ser ejercidos por los titulares de los datos personales con motivo de su captación a través de un sistema de videovigilancia. Por las particularidades propias de los sistemas de videovigilancia podrán ejercitarse los siguientes derechos:

6.30.1 Derecho acceso.

6.30.2 Derecho de cancelación.

6.30.3 Derecho de oposición (en algunos supuestos).

Derecho de Acceso

6.31 Dadas las particularidades propias de los sistemas de videovigilancia, el derecho de acceso reviste características singulares:

6.31.1 El titular del dato personal debe precisar la fecha, rango de horas, lugar o cualquier otra información que permita facilitar la ubicación de la imagen requerida. Asimismo, de ser necesario, aportará una imagen actualizada de sí mismo que permita al titular o encargado del tratamiento verificar su presencia en el registro.

6.31.2 Con la finalidad de no afectar la protección de datos personales de terceros, el titular del dato personal puede escoger entre las siguientes alternativas para acceder a su información:

a) Acceso mediante un escrito:

El titular del dato personal presentará una solicitud escrita a la dirección física o electrónica que aparece en el cartel o documento informativo, adjuntando e indicando lo señalado en el numeral 6.31.1.

La respuesta emitida por el titular del banco de datos personales o por el encargado del tratamiento debe detallar los datos requeridos que son objeto de tratamiento, sin afectar derechos de terceros.

b) Entrega de las imágenes, vídeos o audios:

El titular del dato personal debe entregar un CD en blanco o dispositivo análogo al titular del banco de datos personales o al encargado de tratamiento con el fin de que este grabe su información. En este supuesto, el titular o encargado del tratamiento debe utilizar máscaras de privacidad para difuminar la imagen o cualquier otro medio que impida la afectación de terceros, así como implementar un mecanismo de protección para el archivo (cifrado, contraseña u otros).

c) Visualización en sitio:

El titular del dato personal debe acercarse físicamente a las instalaciones del titular del banco de datos o responsable del tratamiento para acceder directamente a su información.

Para ello, debe presentar previamente una solicitud en la dirección física o electrónica que aparece en el cartel o documento informativo, indicando fecha, rango de horas, lugar o cualquier otra información que permita facilitar la ubicación de la imagen; así como una imagen actualizada de sí mismo que permita al titular del banco de datos personales o responsable del tratamiento advertir su presencia en el registro.

Se debe dejar constancia de lo visualizado y entregar la misma al titular del dato personal, una vez culminada la visualización.

6.31.3 Adicionalmente, se entrega al titular de los datos personales información precisa sobre la finalidad de la recolección de los datos, sobre la inscripción del banco de datos, el lugar donde se produjo el registro o captación de su imagen, el tiempo en que la misma se produjo y el destino de los datos.

6.31.4 Si se ejerce el derecho de acceso ante el responsable de un sistema que únicamente reproduce imágenes sin registrarlas, debe ponerse esta situación a conocimiento del titular del dato personal.

6.31.5 No procede la difuminación de imágenes o aplicación de máscaras de seguridad de terceras personas cuando se acredite el legítimo interés del titular del dato personal que lo solicita. Se entiende por legítimo interés, el acopio de información para ejercer el derecho de defensa, formular denuncia administrativa o penal o similares.

6.31.6 En el supuesto que el responsable o encargado del tratamiento no aplicara la máscara de seguridad o algún mecanismo de difuminación de imágenes que impidiera la afectación de terceros, aduciendo falta de capacidad técnica o económica, será la autoridad administrativa que valorará este alegato en cada caso en concreto.

6.31.7 Si el titular del banco de datos o responsable del tratamiento es declarado un activo crítico nacional conforme a la normativa de la materia o si se tratara de áreas de alto riesgo para la seguridad, se deberá acordar con el titular del dato personal otro mecanismo idóneo para dar acceso a su información. De no existir ningún medio posible, podrá ser denegada su solitud por el titular del banco de datos personales o el responsable del tratamiento, debiendo hacerlo de forma motivada.

Derechos de Cancelación y Oposición

Los derechos de cancelación y oposición se ejercen atendiendo a lo dispuesto en el numeral 6.31.1. de la presente directiva, a los artículos 20 y 22 de la LPDP y los artículos 67 y 71 del RLPDP. Asimismo, procederá la atención en aquellos supuestos donde sea materialmente posible y responda a criterios fundamentados y motivados.

Imposibilidad de ejercicio del derecho de rectificación

No es posible el ejercicio del derecho de rectificación en el tratamiento mediante sistemas de videovigilancia, dado que, por su naturaleza, las imágenes captadas reflejan un hecho objetivo que no puede ser modificado a petición del titular del dato personal.

Denegación de los derechos de acceso, cancelación y oposición

6.34 En caso de denegación de alguno de los derechos deberá indicarse expresamente en el escrito de denegación, la posibilidad de reclamar su tutela ante la Autoridad Nacional de Protección de Datos Personales.

Comunicación sin consentimiento de los titulares de los datos

6.35 Es legítima la transferencia de los datos personales captados por los sistemas de videovigilancia sin el consentimiento de los titulares de los datos, cuando:

6.35.1 La comunicación de lo captado deba ser entregada por orden judicial o a una entidad pública en cumplimiento de sus funciones.

6.35.2 Cuando deba ser puesto a disposición o sea requerido por la Policía Nacional del Perú o el Ministerio Público, en razón del ejercicio de las competencias asignadas por ley, en aquellos supuestos necesarios para la prevención, investigación, detección o represión de infracciones penales o delitos. La petición de las grabaciones debe realizarse de forma motivada y el tratamiento de las mismas debe responder a la finalidad del requerimiento realizado.

VII. DISPOSICIONES ESPECÍFICAS

TRATAMIENTOS ESPECÍFICOS CON FINES DE SEGURIDAD

Espacios públicos de uso privado

Prohibiciones de uso de sistemas de videovigilancia en determinados espacios.

7.1 En espacios públicos de uso privado, como establecimientos comerciales, restaurantes, lugares de ocio, entre otras, se deberá cumplir en estricto con el principio de proporcionalidad, de esta forma a título enunciativo se tiene que:

7.1.1 Se encuentra prohibida la instalación de cámaras en baños y vestuarios.

7.1.2 En los lugares de ocio:

a) El sistema de videovigilancia sólo puede ser visual, está prohibida la grabación de las conversaciones. Además, deberá utilizarse sólo cuando no exista otro método de seguridad menos invasivo e igual de eficaz que cumpla con la finalidad legítima determinada.

b) No se pueden utilizar las imágenes captadas por sistemas de videovigilancia con fines comerciales o promocionales, salvo consentimiento de las personas cuyas imágenes han sido grabadas.

Entidades financieras

Características especiales

7.2 Dado los servicios que presta la entidad financiera deberá tenerse en cuenta lo siguiente:

7.2.1 Que lo captado a través de los sistemas de videovigilancia y contenido en los soportes informáticos tiene que ser utilizado exclusivamente para fines de seguridad.

7.2.2 Las imágenes que registren la supuesta comisión de un acto delictivo o falta, deben ser puestas a conocimiento de la Policía Nacional del Perú o del Ministerio Público de forma inmediata, como medio de identificación de los presuntos autores de delitos.

7.2.3 Si la entidad financiera decide no encargar el tratamiento de los sistemas de videovigilancia a una empresa especializada en sistemas de seguridad videovigilada, debe contar con un responsable de la propia entidad especializado en sistemas de seguridad videovigilada.

7.2.4 Si una cámara se ubica en la puerta de entrada de una entidad bancaria debe orientarse de modo que la parte de vía pública que capte se limite al acceso vigilado, sin recoger más proporción de la vía pública que la imprescindible para efectos de la labor de vigilancia, no debiendo captar imágenes del resto de la acera o la calle.

7.2.5 Otras disposiciones de acuerdo a las normas específicas sobre la materia.

Entornos escolares

Requisitos de los sistemas de videovigilancia en entomos escolares

7.3 En el caso de uso de sistemas de videovigilancia, se debe instalar un distintivo o cartel informando a los miembros de la comunidad educativa de la existencia de cámaras u otros dispositivos análogos, en un lugar completamente visible, tanto si los dispositivos están en el interior como en espacios abiertos. En dicho distintivo o cartel debe también indicarse dónde se puede obtener la información que regula el artículo 18 de la LPDP.

7.4 La zona objeto de videovigilancia será la mínima imprescindible para el fin de vigilancia trazado, pudiendo abarcar espacios públicos o comunes como accesos y pasillos, patio de recreo, comedores, y siempre con miras a la protección y defensa del interés superior del niño, niña y adolescente.

7.5 En ningún caso deben instalarse cámaras de videovigilancia en espacios privados como baños, vestuarios o aquellos en los que se desarrollen actividades cuya captación pueda afectar la imagen o la intimidad de forma desproporcionada.

7.6 Los usos de sistemas de videovigilancia con fines de seguridad en aulas y otros ámbitos en los que se desarrolla la personalidad de los niños, niñas y adolescentes podrán grabar imágenes si existen circunstancias excepcionales, justificadas por la presencia de un riesgo objetivo y previsible para la seguridad y los derechos fundamentales de los menores.

7.7 El acceso a las imágenes de los sistemas de videovigilancia queda restringido al director del centro o a la persona designada como responsable del tratamiento. No puede ser de libre acceso para cualquier personal docente o administrativo no autorizado para ello.

Cancelación de las imágenes

7.8 Las imágenes se conservarán por un plazo máximo de treinta (30) días desde su captación. Transcurrido dicho plazo, el titular del banco de datos o responsable del tratamiento únicamente podrá conservar aquellas imágenes que revelen algún hecho trascendente que deba ser puesto en conocimiento de los padres de familia o tutores, quienes de acuerdo a sus facultades pueden actuar velando por los intereses de sus menores hijos en defensa y protección de sus derechos o, de ser el caso, frente a la comisión de presuntos actos delictivos poniendo en conocimiento los hechos a la Policía Nacional o del Ministerio Público.

TRATAMIENTO DISTINTO A LOS FINES DE SEGURIDAD

Videovigilancia para el control laboral

Excepción al consentimiento en torno de la finalidad

7.9 En virtud del poder de dirección del empleador, este se encuentra facultado para realizar controles o tomar medidas para vigilar el ejercicio de las actividades laborales de sus trabajadores, entre las que se encuentra la captación y/o tratamiento de datos a través de sistemas de videovigilancia.

Deber de Informar

7.10 El empleador se encuentra obligado a informar a sus trabajadores de los controles videovigilados, a través de carteles (o en su defecto de los avisos informativos mencionados en la presente directiva); ello, sin perjuicio de informar de manera individualizada a cada trabajador, si se considera pertinente.

En el caso de trabajadores del hogar, para acreditar el cumplimiento del deber de informar, bastará con que los empleadores acrediten de forma razonable que han cumplido con el deber de informar contenido en el artículo 18 de la LPDP.

Finalidad de los sistemas de videovigilancia

7.11 El tratamiento de los datos de los trabajadores se limita a las finalidades propias del control y supervisión de la prestación laboral, de tal forma que no pueden utilizarse los medios o el sistema de videovigilancia para fines distintos, salvo que se cuente con el consentimiento del trabajador o se trate de alguna de las excepciones señaladas en el artículo 14 de LPDP.

7.12 Son fines legítimos para el control y la supervisión de la prestación laboral, la protección de bienes y recursos del empleador; la verificación de la adopción de medidas de seguridad en el trabajo; y, aquellos otros que la legislación laboral y sectorial prevea.

Principio de proporcionalidad

7.13 El control laboral a través de sistemas de videovigilancia sólo se realiza cuando sea pertinente, adecuado y no excesivo para el cumplimiento de tal fin.

7.14 Asimismo, la instalación de las cámaras o, en todo caso, su ámbito de captación debe restringirse a los espacios indispensables para satisfacer las finalidades de control laboral.

7.15 En ningún caso se admite la instalación de sistemas de grabación o captación de sonido ni de videovigilancia en los lugares destinados al descanso o esparcimiento de los trabajadores, como vestuarios, servicios higiénicos, comedores o análogos.

7.16 La grabación videovigilada con sonido en el lugar de trabajo sólo se admitirá cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad y finalidad.

Prohibición de uso de las imágenes para fines comerciales o publicitarios.

7.17 Las imágenes captadas a través de los sistemas de videovigilancia laboral no pueden ser utilizadas con fines comerciales o publicitarios, salvo que se cuente con el consentimiento de los trabajadores.

Cancelación de imágenes y/o voces

7.18 Las imágenes y/o voces grabadas se almacenan por un plazo de treinta (30) días y hasta un plazo máximo de sesenta (60) días, salvo disposición distinta en las normas laborales. Durante ese plazo, el titular del banco de datos o encargado del tratamiento debe cuidar que la información sea accesible sólo ante las personas que tengan legítimo derecho a su conocimiento y manteniendo así la reserva necesaria respecto a las imágenes y/o voces.

7.19 Transcurrido el plazo señalado en numeral anterior y no habiendo requerimiento de alguna autoridad competente para entregar o visualizar el contenido de la grabación, se deben eliminar los archivos en el plazo máximo de dos (02) días hábiles, salvo disposición distinta en norma sectorial.

7.20 El plazo máximo previsto para la eliminación de la información, no será aplicable cuando exista alguna finalidad o interés legítimo que justifique su conservación, así como la concurrencia de alguna contingencia de orden técnico que justifique razonablemente el aplazamiento de la eliminación de la misma por un período determinado o determinable.

7.21 Las imágenes y/o voces sin editar que den cuenta de la comisión de presuntas infracciones laborales y/o accidentes de trabajo deben ser conservadas por el plazo de ciento veinte (120) días, contados a partir de su conocimiento, salvo la existencia de alguna finalidad que justifique su conservación o de interés legítimo, tiempo dentro del cual el empleador podrá iniciar las acciones legales pertinentes.

7.22 El trabajador podrá solicitar el acceso a las grabaciones o a una copia digital de las mismas que contengan información sobre una inconducta o incumplimiento laboral que se le haya imputado, pudiendo utilizar esta grabación como medio de prueba. El empleador deberá resguardar el derecho de terceros que, sin estar involucrados con la inconducta o incumplimiento, de manera directa o indirecta, puedan aparecer en registros captados; ello se hará adoptando las medidas técnicas necesarias para difuminar su imagen e impedir su identificación.

7.23 En el caso de que el empleador, en base a lo captado por los sistemas de videovigilancia, decida imputar una falta grave a un trabajador, deberá proceder de conformidad con lo establecido en las normas laborales. Asimismo, el empleador deberá proceder a resguardar el derecho de terceros que puedan aparecer en los registros captados, de la forma establecida en el párrafo anterior.

Tutela Directa de los trabajadores

7.24 Los trabajadores deben estar informados por los medios establecidos en la directiva sobre el procedimiento implementado por el empleador para ejercer sus derechos de acceso, cancelación y oposición.

Transferencia de datos personales

7.25 Si el empleador debe transferir los datos personales de sus trabajadores captados mediante videovigilancia a un tercero por motivos no laborales, debe informar de ello a los trabajadores, conforme la LPDP y su reglamento. De igual modo, cuando corresponda, debe solicitar su consentimiento.

Tratamiento con fines científicos o de investigación

7.26 En el caso de tratamiento de datos personales con fines científicos o de investigación se deberá cumplir con los principios y reglas establecidas en la LPDP, su reglamento y la presente directiva, en particular los principios de consentimiento, proporcionalidad y finalidad, así como las medidas técnicas y organizativas para garantizar la seguridad de la información de los datos personales, hasta donde resulte aplicable razonablemente.

TRATAMIENTO DE DATOS CON OTRAS TECNOLOGÍAS

Cámaras conectadas a internet

Deberes adicionales del titular del banco de datos personales o encargado del tratamiento.

7.27 Revisar si las funciones de identificación y autenticación se encuentran activadas con el fin de evitar accesos de terceros a las imágenes y de garantizar que sólo acceden los usuarios autorizados.

7.28 Garantizar la seguridad en el acceso a través de redes públicas de comunicaciones.

Mediante drones

Especialidad en el manejo de los drones con fines de videovigilancia

7.29 Las personas que, con fines de seguridad privada, por razón de sus funciones, tengan a su cargo el sistema de videovigilancia a través de drones, deben contar con formación especializada en el manejo de estos equipos, garantizando reserva, confidencialidad y cumpliendo las demás obligaciones dispuestas en esta directiva para los sistemas de videovigilancia, así como la normativa especial o sectorial de la materia

Responsabilidad del titular y/o encargado del tratamiento

7.30 El titular del banco de datos personales, responsable o el encargado del tratamiento debe informar de acuerdo a lo señalado en el punto 6.8 de esta directiva a las personas que serán controladas mediante los sistemas de videovigilancia a través de drones. Este deber alcanza también a aquellas personas o entidades que brinden el servicio de videovigilancia a través de drones de forma complementaria a la que preste el servicio principal. Dicha información debe entregarse en formato físico o electrónico, al momento de suscribir el contrato de videovigilancia con la entidad o persona que brinde este servicio a través de drones o de forma singularizada en el documento de contratación; además, debe estar a disposición de quien lo requiera.

7.31 Debe utilizarse los sistemas de carteles o folletos cuando sea factible. En caso de utilizar el cartel o el folleto se debe indicar gráficamente (dibujo) el medio utilizado (Anexo 3), aplicándose, en lo que resulte pertinente, de forma mínima lo establecido en el punto 6.11 de esta directiva.

7.32 Los titulares de bancos de datos personales, responsables o encargados de tratamiento, en caso cuenten con una página web, deben publicar información que permita conocer los diferentes tipos de operaciones realizadas o las que se proponen realizar en el futuro cercano con los datos captados.

VIII. DISPOSICIONES COMPLEMENTARIAS FINALES

8.1 Difusión de la normativa

La Autoridad Nacional de Protección de Datos Personales ejercida por el Ministerio de Justicia y Derechos Humanos a través de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, es la encargada de las actividades de difusión de la normativa aplicable al tratamiento de datos mediante sistemas de videovigilancia, así como de la promoción para su progresiva implementación en el ámbito privado y público, brindando servicios de información y orientación.

8.2 Vigencia

La presente Directiva entrará en vigencia a los sesenta (60) días calendario siguientes de la publicación de la Resolución que la aprueba en el Diario Oficial “El Peruano”.

ANEXO I

ZONA VIDEOVIGILADA

LEY DE PROTECCIÓN DE DATOS PERSONALES. LEY Nº 29733

PUEDE EJERCITAR SUS DERECHOS ANTE:

TITULAR DEL BANCO DE DATOS Y DIRECCIÓN

LUGAR DÓNDE PUEDE OBTENER LA INFORMACIÓN CONTENIDA EN EL ARTÍCULO 18 DE LA LPDP

ANEXO 2

Hoja Informativa sobre el tratamiento de datos personales

1. IDENTIDAD Y DOMICILIO DEL TITULAR DEL BANCO DE DATOS PERSONALES O ENCARGADO DEL TRATAMIENTO:

El titular del presente banco de datos en el que se almacenarán los datos personales facilitados mediante sistema de videovigilancia es ……………………………….con domicilio en ………….……

La existencia de este banco de datos personales ha sido declarada a la Autoridad Nacional de Protección de Datos Personales, mediante su inscripción en el Registro Nacional de Protección de Datos Personales con la denominación……………………………y el código: RNPDP Nº………………….

Se informa al usuario que, cualquier tratamiento de datos personales, se ajusta a lo establecido por la legislación vigente en PERÚ en la materia (Ley n° 29733 y su reglamento).

2. FINALIDAD

El titular del Banco de datos……………………………tratará sus datos con la finalidad de………………………………..

3. TRANSFERENCIAS Y DESTINATARIOS: Cuando los datos personales recabados vayan a ser enviados a otras empresas (incluso cuando éstas pertenezcan al mismo grupo empresarial) deberá informarse de manera detallada al usuario, de tal forma que éste pueda conocer explícitamente las finalidades determinadas a las que se destinarán los datos. De la siguiente forma:

Los datos personales se transferirán a nivel nacional a: (detalle de las empresas destinatarias de los datos) con la finalidad de (finalidad de la transferencia).

La ENTIDAD contrata los servicios en la nube (computación en la nube) a través de………………………………………………………(detalle el nombre de la empresa y ubicación geográfica del servidor en el que se puedan almacenar los datos personales).

Si no realiza transferencia de datos personales, esta información se debe de indicar de la siguiente manera:

Los datos personales no se transmitirán a terceros, salvo obligación legal.

4. PLAZO DURANTE EL CUAL SE CONSERVARÁN LOS DATOS PERSONALES: Los datos personales proporcionados se conservaran (durante un plazo de … días).

5. EJERCICIO DE LOS DERECHOS DE INFORMACION, ACCESO, CANCELACIÓN Y OPOSICIÓN DE LOS DATOS:

Como titular de sus datos personales el usuario tiene el derecho de acceder a sus datos en posesión de ……………………………………………………………(indicar al titular del banco de datos personales); conocer las características de su tratamiento; solicitar sean suprimidos o cancelados al considerarlos innecesarios para las finalidades previamente expuestas o bien oponerse a su tratamiento de ser el caso.

El usuario podrá dirigir su solicitud de ejercicio de los derechos a la siguiente dirección:…………………………………………………………………………………………………………………………..         o a la siguiente dirección de correo electrónico:………………………………………………………………..

A fin de ejercer los derechos antes mencionados, el usuario deberá presentar en el domicilio especificado previamente, la solicitud respectiva en los términos que establece el Reglamento de la Ley n° 29733 (incluyendo: nombre del titular del dato personal y domicilio u otro medio para recibir respuesta; documentos que acrediten su identidad o la representación legal; descripción clara y precisa de los datos respecto de los que busca ejercer sus derechos y otros elementos o documentos que faciliten la localización de los datos).

De considerar el usuario que no ha sido atendido en el ejercicio de sus derechos puede presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales, dirigiéndose a la Mesa de Partes del Ministerio de Justicia y Derechos Humanos: Calle Scipion Llona 350, Miraflores, Lima, Perú.

(Indicar al titular del banco de datos personales)………………………………………………………………… será responsable del banco de datos personales ……………………………………………………(reiterar denominación del banco de datos, señalado en el numeral 1) y de los datos personales contenidos en éste. Con el objeto de evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos personales o información confidencial facilitados por titulares de datos personales, (Indicar al titular del banco de datos personales)…………………………………. ha adoptado los niveles de seguridad y de protección de datos personales legalmente requeridos, y ha instalado todos los medios y medidas técnicas a su alcance.

01Ene/15

Videovigilancia en las Comunidades de Propietarios

Videovigilancia en las Comunidades de Propietarios

Es cada vez más habitual que con motivo de la vigilancia de las comunidades de propietarios bien se contrate un portero, o con intención de ahorrar un salario, se coloquen videocámaras que controlen la entrada y salida de personas al edificio. El problema en este último caso consiste en saber si las cámaras están tratando datos de carácter personal, y en el caso de que así fuera, qué obligaciones existen con respecto a estas imágenes por parte de las Comunidades. En este artículo veremos la evolución que la Agencia Española de Protección de datos ha seguido hasta la actualidad.

En un primero momento el Gabinete Jurídico de la Agencia de protección de datos elaboró un informe el 140/2006 donde se respondía a una consulta plantada a la agencia sobre video vigilancia en las comunidades de propietarios y así dijo en su momento que las imágenes se considerarán datos de carácter personal si sirven para identificar a las personas que aparecen en las mismas. Estas imágenes pueden o no estar incorporadas a un fichero, puesto que aunque no se encuentren grabadas el simple hecho de la recogida de imágenes conlleva un tratamiento a los efectos del artículo 3.c) de la LO 15/1999, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automático o no, que, permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Por lo tanto y según el artículo 6.1 de la Ley “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

En consecuencia la utilización de videocámaras será posible “siempre que no exista identificación de las personas que aparecen en las mismas o, en caso de existir, las mismas no sean incorporadas a un fichero, ya que en caso contrario será preciso el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes, debiendo además el fichero resultante ser inscrito en el Registro General de Protección de Datos, conforme requiere el artículo 26 de la Ley Orgánica 15/1999.

Pero aunque no se exija el consentimiento en los casos expresados “ello no exime al responsable del tratamiento del deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica el cual reza lo siguiente ” Los interesados a los que soliciten datos personales deberán ser previamente informados de modo, expreso, preciso e inequívoco:

  • a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos de los destinatarios de la información.
  • b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
  • e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta que es doctrina reiterada de la Audiencia Nacional que corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.

Por otra parte, esta Agencia ha venido considerando suficiente el cumplimiento del deber de información mediante la existencia de un cartel informativo siempre que el mismo resulte claramente visible por parte del afectado, quedando así garantizado que el mismo ha podido tener perfecto conocimiento de la información exigible. y Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

Sin embargo posteriormente a esta resolución la Agencia de protección de datos publicó una instrucción que matizaba ésta, la Instrucción 1/2006 sobre video vigilancia de 8 de noviembre, (B.O.E. nº 296, de 12 de diciembre), regulaba el tratamiento de datos personales con fines de video vigilancia a través de cámaras o videocámaras.

El objeto de esta instrucción es garantizar los derechos de las personas cuyas imágenes son tratadas por medio de video vigilancia, adecuando estos tratamientos a los principios de la LOPD.

En relación con la instalación de sistemas de videocámaras, será necesario averiguar cuales son los bienes jurídicos protegidos y si se cumple con el principio de proporcionalidad, esto implica que si fuese posible se deberán adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. Para averiguar si se cumple con el principio de proporcionalidad el Tribunal Constitucional en su Sentencia 207/1996 determina que “Es necesario constatar si cumple los tres siguientes requisitos o condiciones: “si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En este sentido, la instalación de cámaras de video vigilancia sería idónea, necesaria y proporcional si la finalidad de la instalación tiene como objetivo controlar robos, actos de vandalismo, o acciones violentas habituales en la finca que se trate.

Pero seguía existiendo un problema y es que era necesario el consentimiento de los afectados por el tratamiento de datos. Como se intuye conseguir el consentimiento de todas y cada una de las personas que pudieran ser grabadas constituye un esfuerzo titánico, y probablemente imposible. Por lo tanto para que sea legítimo el tratamiento éste deberá habilitarse en una Ley. En este sentido, la AEPD considera que el tratamiento de imágenes por razones de seguridad se encuentra amparado en el artículo 5.1 e) de la Ley de Seguridad Privada, que hasta la entrada en vigor la de 25/2009, de 27 de diciembre únicamente podrían realizar las empresas de seguridad debidamente autorizadas por el Ministerio del Interior, que previamente hubiesen cumplido los requisitos legalmente establecidos, (esto es que sean empresas de seguridad autorizadas por el Ministerio del Interior previa inscripción en el Registro del mismo, y que hubieran notificado el contrato).

En el Informe jurídico 0161/2008, posterior al estudiado y ya vigente la instrucción 1/2.006 se añaden una serie de requisitos que no se contemplaban anteriormente, por ejemplo en cuanto al modo de facilitar el derecho de información a los interesados se añade un apartado en el que se indica que “se debe tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999”. En lo que se refiere a la notificación del fichero, el artículo 7 de la Instrucción dispone que: “La persona o entidad que prevea la creación de ficheros de video vigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma… A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real”.

El tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada. La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) regula en su artículo 1.2 que “A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”.

El artículo 5.1 e) de la LSP dispone que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP)

De este modo, la Ley habilitaría que los sujetos previstos puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que “Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios”.

Por último, el artículo 7.1 establece que “Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior”.

La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que “únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas”.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de video vigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación, no siendo necesario el consentimiento del afectado.

La aprobación de la Ley 25/2009 (Ley ómnibus) viene a efectuar modificaciones en diversas leyes. En la materia que nos ocupa debemos analizar el artículo 14 de la Ley 25/2009 donde señala que “La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1:

“e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta”.

Dos. Se añade una Disposición adicional sexta:

“Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad. Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, exigidos hasta la fecha.

En definitiva, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada, constituyendo un interés legítimo de quienes adquieran estos dispositivos. Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre que señala que “No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando (…) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

– El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.”

No obstante, la instalación de un sistema de video vigilancia conectado a una central de alarma, seguirá necesitando “que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento”.

01Nov/13

Big Brother is watching you! Man and the Camera

Big Brother is watching you! Man and the Camera

Sumario

  1. Introducción
  2. La videovigilancia laboral: su focalización en un sentido jurídico-tecnológico.
  3. Fundamentos jurídicos determinantes del fallo judicial.
  4. Últimas Observaciones
  5. Bibliografía

1.- Introducción

Para la realización de un artículo, escrito o trabajo de investigación, podemos comenzarlos por donde queramos, siempre y cuando, nos refiramos a lo que verdaderamente trata este escrito y la forma en que lo desmenucemos.

En un trabajo jurídico como el presente, nos centramos en lo relativo a la video vigilancia laboral y todo lo que conlleva, que a mi entender, no es poco. Lo más probable es que para casos semejantes, el investigador o equipo que redacta comience hablando de un complicado artículo que al final nos distraiga y haga más difícil su compresión; aquí eso no se dará por un sencillo motivo: la búsqueda fácil del sentido común que engloba la video vigilancia y la escasa presencia de muchas leyes que regulen lo que pretendo aquí exponer.

Adentrándonos a lo que se refiere al Derecho, he titulado precisamente este trabajo como “EL HOMBRE Y LA MAQUINA” ,debido al surgimiento de nuevos métodos tecnológicos que deben hacer la vida de la persona mas fácil aun y no siempre es así; está la injerencia del cristal de la cámara que lo convierte en un nuevo enemigo, siempre frente a frente. El hombre, entendido en un sentido de colectividad, como ser sociable, intenta liberarse del nuevo mecanismo de intrusión. No se sabe quien ganará la partida finalmente, al menos nos consolamos con saber que junto a la persona, nacen medios de defensa que colocan a aquella en una posición de libertad que se merece de manera auténtica y que desde hace bastante tiempo, la historia lo viene contando en sus páginas.

He de pasar al siguiente apartado del trabajo relativo a los supuestos controvertidos que supone la video vigilancia laboral y las obligaciones atribuidas a los responsables de ficheros; se trata de un asunto sustancioso, pero que en mi caso, hablaré brevemente de esta situación que va propagándose a medida que pasan los años y las tecnologías de la información, van convirtiéndose en artilugios complejos para muchos, pero fáciles de manejar para unos pocos.

2.- La videovigilancia laboral: su focalización en un sentido jurídico-tecnológico.

En el estudio de cualquier disciplina del saber, ya sea jurídica, científica, espiritual, deportiva, o de cualquier índole, debemos seguir un método que sea sobre todo pautado; con éste conseguiremos llegar a donde nos hemos propuesto y si se me apura, adquirir más de lo que esperábamos en un principio. Con el Derecho, ocurre lo mismo y si tratamos los asuntos de video vigilancia, nos referiremos a la observación por medio de cámaras o videocámaras. Estos instrumentos permiten la captación, grabación, conservación y tratamiento de imágenes de entornos diversos, más o menos abiertos, con interés de obtener una seguridad; por ejemplo: en las grandes avenidas o en el interior de los suburbanos, solo por mencionar algo. Existen supuestos controvertidos: uno de ellos es la video vigilancia laboral; el otro, la video vigilancia en las calles y vías públicas. Para las primeras, se tiene que actuar de acuerdo con la Agencia Española de Protección de Datos (AEPD), registrando sus ficheros en el Registro de esta entidad de Derecho Público. En el punto III, se hace mención de todo esto, pues recalco en lo que la propia sentencia del TC nos mostrará.

El tema de la protección de datos y concretamente, la video vigilancia no muestra complejidad alguna, como rama del Derecho que es, todo procede de la lógica; bueno pues la video vigilancia no es menos. Si queremos empezar a conocer qué es la video vigilancia, o al menos, cómo se articula, debemos partir de los textos legales. En mi opinión, recomiendo, la Instrucción 1/2006, de 8 de Noviembre de la AEPD que regula e informa acerca de la video vigilancia. El texto es muy corto y reciente también; hay una anécdota que no se nos puede pasar y es que se hace mención del anterior reglamento de desarrollo que databa de 1994 y que complementaba la actual ley orgánica de 1999, y esto nos puede desorientar; naturalmente, lo acertado es recurrir al actual reglamento, que es 2007 (RD 1720/2007, de 21 de Diciembre), para sacar soluciones y conceptos que no nos induzcan a error; pongo por ejemplo, el concepto que se tiene y se recoge de dato personal; la Ley 15/1999, (da su concepto en el artículo 3.a) cuando afirma: cualquier información concerniente a personas físicas identificadas o identificables, con una extensión del concepto que aparece en el RD 1720/2007, que no detallaré aquí, aunque recomiendo su consulta para un estudio completo; la definición es prácticamente la misma, como similar es la que recoge la Directiva 95/46/CE sobre Protección de las Personas Físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos. Podemos mostrar una panorámica, lo suficientemente clara y entendible, sin necesidad de alargar mucho este apartado. Las ideas, conceptos o esquemas que deben tenerse a la hora de trabajar, estudiar o reflexionar sobre la video vigilancia, son los siguientes:

  1. Derechos ARCO: son las siglas de Aceptación, Rectificación, Cancelación y Oposición. Aparecerán más tarde, delante de la sentencia, pero sostengo desde este momento que son principios clave en la teoría general de la protección de datos; por un lado, el derecho de acceder a los datos; nadie puede impedírnoslo, salvo excepciones, la rectificación hace referencia a que el afectado o interesado de los datos debe pedir al responsable del fichero o al encargado del mismo, en caso que lo hubiera, el eliminar aquella información que ya no esté actualizada. Los datos deben estar adaptados al último día y a los últimos acontecimientos sobre al que el interesado hayan recaído; los derechos de cancelación y oposición, también podemos imaginarlo: el interesado puede y debe solicitar la destrucción de los datos, cuando ya su existencia no se adapte o se adecúe a los planes para los que originariamente fueron creados.
  2. Tratamiento de los datos personales: datos personales que sean recogidos a través de videocámaras, serán tratados, conforme a la ley orgánica que los protege. Encontramos, una excepción a la adaptación a la LOPD y son los datos privados o domésticos; para ello, la Audiencia Nacional, en Sentencia del 15 de Junio de 2006 asegura: Qué ha de entenderse por “personal” o “doméstico” no resulta tarea fácil. En algunos casos porque lo personal y profesional aparece entremezclado. En este sentido, el adverbio exclusivamente utilizado en el artículo 2.2.a) apunta a que los ficheros mixtos, en los que se comparten datos personales y profesionales, quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal. También afirma esta misma sentencia de la AN, que en el caso Bodil Lindquist , del año 2003: se considera que la excepción relativa al ejercicio de actividades exclusivamente personales o domésticas debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.

Sobre derechos y obligaciones de los afectados, empresarios, entidades públicas o privadas, como la AEPD y tantas otras, podríamos estar tratando toda una vida, pero los propósitos de este trabajo son distintos, lo único que quiero y eso espero es intentar una labor de concisión que muestra seguridad al lego en esta materia de que, los derechos, efectivamente se cumplen y como prueba de ello expondré textualmente, lo mencionado en el Informe Jurídico 0070/2010 de la AEPD, sobre el deber de la información; he elegido éste, porque la sentencia que he estudiado, gira alrededor de este derecho-deber, (según su punto de vista) y que bebe de las siguientes líneas: “No obstante, en materia de video vigilancia, dadas sus especiales características, la información debe facilitarse conforme a la específica modalidad prevista en el artículo 3 de la Instrucción 1/2006, conforme al cual, los responsables que cuenten con sistemas de video vigilancia, deberán cumplir con el deber de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de Diciembre”. A tal fin deberán:

  • a) Colocar, en las zonas video vigiladas, al menos un distintivo ubicado en un lugar suficientemente visible, tanto en espacios abiertos como cerrados y
  • b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999″

Por lo que he podido aprender de esta sentencia, que no ha sido poco, esos carteles a los que hace referencia, proliferan en muchos sitios, como es, puesto el caso, la Universidad de Sevilla, que como se lee en la sentencia, aparece todo muy claro, que apenas hay margen al error, pero al que, en mi opinión debe acompañarle la realización de prácticamente lo que manda el artículo5.1 de la LOPD. No lo citaré entero, pero sí que me quedo con aquello que nos interesa más y que está concatenado con la sentencia, objeto de comentario:

1. Los interesados a los que se soliciten datos personales deberían ser previamente informados de modo expreso, preciso e inequívoco:

a) Del carácter obligatorio o facultativo de las respuestas a las preguntas que les sean planteadas.

Me voy a quedar de momento con esto, por una sencilla razón, ¿Cuál?; en el caso de la Universidad de Sevilla, como responsable del fichero, ésta se niega a responder a las preguntas que se le formulan por la instructora del procedimiento. Lo verán más adelante. Añadiré como refuerzo a esta sentencia, otra, pero ésta es de 2001, de 15 de Junio, de la Audiencia Nacional: Se trata de un derecho importantísimo porque es el que permite llevar a cabo el ejercicio de otros derechos, y así lo valora el texto positivo al pormenorizar su contenido y establecer la exigencia de que el mismo sea expreso, preciso e inequívoco. Pueden consultar de hecho, la gran cantidad de resoluciones existentes de la AEPD, en su web y la Guía de Video vigilancia de 2009, publicada por la misma entidad.

3.- Fundamentos jurídicos determinantes del fallo judicial.

Con la sentencia actual y nueva que se comenta, demostramos la continuidad del problema que presenta la videovigilancia. Posiblemente, hasta los menos conocedores de este sistema, jamás pensarían que iba a acarrear tantos problemas y suscitar tantas dudas. En esta resolución judicial, apreciamos una intensa labor de constancia por parte del recurrente y su representación jurídica que llega hasta el Tribunal Constitucional, presentando un recurso de amparo, con la intención de que no se le vulnere su derecho a la protección de datos personales, a la vez que realiza dos alegaciones más; en mi opinión la más relevante es la concerniente a la determinación informativa en general y derecho de información en particular. Sobre estos derechos y más se ha escrito y se ha dicho mucho; no pretendo de ningún modo hacer copia de los buenos manuales técnicos que sobre esta materia hay en el mercado, pero sí quiero hacer especial hincapié en que lo que está en juego, es que el afectado pueda ejercer su derecho correspondiente a sus datos, pero para esto, es obligatoria, la labor de información previa que recoge el artículo 5 de la Ley Orgánica de Protección de Datos (LOPD), en su derecho de información o llamado también de transparencia, Sobre este asunto, hay un reciente informe de la Agencia Española de Protección de Dtos (AEPD) que es el Informe 0325/2009: en tan sólo 5 páginas, desglosa este concepto y por ende lo podemos aplicar a esta sentencia o a cualquier otra que resulte similar. Me decanté por la STC 29/2013, de 11 de Febrero, por el impacto que ha tenido en despachos de abogados, juzgados, entrevistas por internet, comentarios en redes, etc. Reconozco que he tenido que leerla detenidamente intentando extraer el máximo jugo posible y hacer una rconstrucción de los antecedentes de hecho y fundamentos de derecho, para su exposición en estas páginas.

Para su reflexión y/o análisis, comienzo con la certeza de saber que hay 4 resoluciones en esta historia y que desembocan en el amparo del recurrente: por un lado, se encuentra la Resolución rectoral del 31 de Mayo de 2006; frente a ésta, el actor acuda a que se pronuncie el Juzgado de lo Social, número 3 en senticia de 2007. Nada contento con la primera sentencia, recurre a la Sala de lo Social del Tribunal Superior de Justicia de Andalucía, de Mayo de 2009, siendo su último peldaño el Tribunal Constitucional. Lo bueno que tiene esta sentencia y que he podido comprobar al trabajrla es que con 3 ó 4 puntos bien diferenciados, se adquiere una idea de la actuación que ha tenido la parte recurrida, en este caso, la Universidad de Sevilla; institución pública a la que se le atribuye la propiedad de las diversas cámaras de vigilancia instaladas alrededor de su edificio central.

Aunque el centro de atención lo tenemos en el principio de información o transparencia del anteriormente mencionado, artículo 5 LOPD, creo que existen dos puntos de inflexión: uno teórico y el otro práctico. Veamos sus diferencias: el punto de inflexión teórico lo tenemos con la Instrucción 1/2006, de 8 de Noviembre, de la AEPD, en referencia a las labores de videovigilancia, y que no podemos perder de vista, porque en este texto, se crea una prueba muy importante (prueba alguna sobrevenida) que vendrá muy bien para el recurrente en su defensa ante el TC. Esta Instrucción es una norma de Derecho Público que sienta las bases de la videovigilancia, tal y como lo conocemos hoy día. El otro punto de inflexión, es decir, el práctico, es la Sentencia del TC 292/2000, de 30 de Noviembre, que a juicio de los magistrados actuales de la Sala Primera, es la sentencia que determina y resuelve ésta; se han dejado llevar por esta resolución de hace 13 años y de esta manera han constituído el fallo final al que acompaña un voto particular del Profesor Ollero Tassara, que desnivela esta sentencia, dando relevancia a otras del mismo año, incluso como son las SSTC 98/2000 y 186/2000. La STC 292/2000, de 30 de Noviembre, viene acompañada en multitud de ocasiones por la STC 290/2000. El texto que comentamos se fija en aquélla.

El artículo 5 de la LOPD es el que abre y también es el que cierra el comentario de esta sentencia: lo abre, porque en sus antecedentes de hecho, se explica, que el recurrente, ha sido objeto de vigilancia continua, sin haber sido informado de manera pormenorizada. Con algunos sospechas, por parte de la Universidad de Sevilla, se decide vigilar a este señor con las cámaras que ya estaban instaladas, pero que se encontraban en vestíbulos y pasillos, por donde transitaban el personal funcionario, alumnos, profesores y demás visitantes, para controlar si respetaba con los horarios pactados o si había trangresión de la buena fe contractual. Ante la denuncia que se interpone primeramente a la AEPD, la Universidad alega que no hay motivos para afirmar el desconocimiento en la grabación, puesto que existen unos carteles de colores llamativos en los que se informa de su vigilancia constante y de la posibilidad de que el afectado o interesado de los datos ejerza los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición como aseguré en el anterior párrafo. La cuestión viene cuando estos hechos suceden entre Enero y Febrero de 2006, entrando en vigor la Instrucción 1/2006 en el mes de Noviembre. De forma clara, no sólo la Universidad de Sevilla, sino cualquier otro recurrido aduciría como principal motivo la vigilancia como poder de dirección del empresario, para controlar si los trabajadores cumplen o no su jornada laboral. En mi opinión, más importante que los carteles, es la mala fe en la que incurre la recurrida, pues no da contestación ni aclaración alguna a las preguntas que se le formula por parte de la instructora del procedimiento; lo observamos muy bien cuando puede leerse: no respondió a las cuestiones planteadas por la instructora del procedimiento relativas a la notificación al personal de dicha Universidad sobre qué imagines grabadas por el sistema de videovigilancia podrían ser utilizados para el sistema de control horario de sus trabajadores. Tan solo afirmó que si cumplía con el artículo 5. Debería de ser objeto de reflexión y consulta sobre qué es más importantes a efectos prácticos, ¿la Instrucción 1/2006 o las 19 autorizaciones de la AEPD para el uso debido de las cámaras?. Bajo mi punto de vista, se considera que el responsable del fichero, que es así como se denomina a quien detenta los datos personales de otro u otros, es el que debe inscribir quellos en el Registro que la propia AEPD tiene. Desde este mismo momento, el responsable cumple con la protección de datos; tener 19 autorizaciones de la AEPD, me parece “oficioso” y “no oficial” y no da garantía, ni seguridad ante el resto de sus trabajadores.

No debemos olvidar, por otro lado, que junto a la problemática, (nada resuelta en nuestros días) sobre la videovigilancia que es lo que da protagonimos a la sentencia, se encuentran los otros dos motivos o razones por las que recurre en amparo: la primera de ellas, las tres sanciones de suspensión de empleo y sueldo de tres meses cada una de ellas, por tres faltas muy graves. Esto fue lo que originó la escalada de recursos que se interpusieron y fueron desestimados. El otro motivo objeto de recurso de amparo es la posile vulneración del derecho a la dignidad, debido al hostigamiento que sufrió en su prestación laboral.

No debemos perder el sentido que le dan los magistrados al fallo. Debido a la importancia que se concede a la STC 292/2000, ( de nuevo hago referencia a ella, pero le dejo que ella hable por si sola en esta ocasión); su fundamento jurídico 4 dice textualmente: “el constituyente quiso garantizar mediante el actual artículo18.4 CE, no sólo un ámbito de protección específico, sino también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado 1 del precepto” o el fundamento jurídico 5: “la peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental, tan afín como es el de la intimidad, radica pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran “. Continuamos ahora con el fundamento jurídico 6; “la función del derecho fundamental a la intimidad del artículo 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad. En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado… Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen con terceros, quiénes los poseen, y con qué fin”. Por tanto, ¿Actuó bien la Universidad de Sevilla con el recurrente en amparo?; depende, ¿de qué?, del momento en qué actuase, ¿tan importante es el momento?, naturalmente, claro que sí. La Universidad de Sevilla actuó de manera correcta en el instante en el que debido a la entrada en vigor de la Instrucción 1/2006, del 8 de Noviembre, inscribió sus ficheros en la AEPD; ahora bien, no basta sólo con licitud; también es necesario la transparencia y en este caso, la información (que da nombre a un principio básico de este derecho), brilla por su ausencia. El TC lo ha tenido muy en cuenta y su fallo, creo que no deja sorprendido a nadie: el tribunal anula las resoluciones judiciales impugnadas y la Resolución Rectoral de 2006 primera; es decir, al recurrente en amparo, se le concede su derecho fundamental a la protección de datos personales, con inclusión de sus principios de finalidad, transparencia o información, a que los datos sobre los que se haga tratamiento, sean exactos y sobretodo, el principio que constituye la columna vertebral de esta materia, como es el principio del libre consentimiento, según artículo 6 de la LOPD. Dejo para el final de este trabajo, las conclusiones a las que llega el Profesor y Magistrado Andrés Ollero, que se pronuncia mediante la emisión de un Voto particular, en esta Sentencia a la que esperamos llegar a aclaraciones definitivas.

4.- Últimas Observaciones

Enlazando con el anterior punto, creo que esas aclaraciones definitivas de las que hablo, tardarán en llegar; me fijo por ejemplo en dos artículos que tienden a confundirse: el artículo 18.1 CE relativo al derecho a la intimidad y el artículo 18.4 CE, sobre el derecho a la protección de datos personales. He de reconocer que las primeras veces que llegué a enfrentarme a estos dos artículos, generó dificultad en distinguir lo que es la intimidad familiar de los datos personales; aún así pasado un tiempo, los diferencio, no por una cuestión de entendimiento, sino por enlazar el número del artículo a un número a un concepto. Cuando se habla de intimidad familiar o esfera íntima, nos dirijimos directamente al artículo 18.1 CE, pero cuando nos dicen algo sobre datos personales, lo unimos con el artículo 18.4 CE, tal vez porque el derecho a la protección de datos personales sea un derecho relativamente reciente y que afecta a aspectos concretos de la sociedad. Tal vez, el problema, a mi modo de ver, sería que la definición que se ha dado de dato personal es tan amplia, que abarca tanto y que probablemente absorbe o arrastra ideas que en un origen hubieran pertenecido al derecho a la intimidad; lo mismo sucede con la definición de dato personal en el Reglamento de desarrollo, el RD 1720/2007 y en la Directiva 95/46/CE. Si nos roban algo de intimidad (mucho o poco), en cierto modo, nos están robando información, por ejemplo: fotos de un viaje hecho hace años, videos familiares, número de colegiado, etc, pero, en cierto modo, no nos movemos, puesto que lo que acabo de exponer no dejan de ser datos personales; cualquier información concerniente a personas físicas identificadas o identificables; el Reglamento da una definición mucho más amplia de lo que es dato personal; por tanto ¿sería en todo caso un dato personal o por el contrario caería bajo el paraguas protector del artículo 18.1 CE?. Éste es el cuarto y último capítulo, el de las conclusiones y con él se cierra este trabajo. Me uno a la opinión del Profesor Ollero en este asunto; es más, debo reconocer que hasta ahora, quien hubiera pensado que una discusión como la que puede iniciarse al confundir el artículo 18.1 con el artículo 18.4 CE, pudiera ser captada y expuesta como Voto particular en un recurso de amparo. No concedo importancia acerca de por qué esta sentencia en sus fundamentos de derecho otorga más protagonismo a la STC 292/2000 que a la STC 202/1999; jurisprudencia contradictoria ha habido siempre, pero insisto, la confusión entre 18.1 y 18.4 debe estudiarse de manera profunda en lo sucesivo, para poder delimitar ambos conceptos y que éstos estén completamente definidos, pero para llegar a esta aclaración, qué mejor forma de leer otras voces.

5.- Bibliografía

  • BERMEJO BOSCH, Reyes: “Análisis de la doctrina administrativa de la Agencia Española de Protección de Datos en relación con el tratamiento de imágenes a través de sistemas de videovigilancia . Revista Aranzadi de Derecho y Nuevas Tecnologías, número 25, año 2011, pp. 61-80. DICTAMEN 4/2004, relativo al tratamiento de datos personales mediante vigilancia por videocámara . www.europa.eu.int/comm/privacy.
  • INSTRUCCIÓN 1/2006 de 8 de Noviembre, Agencia Española de Protección de Datos.
  • INFORME 0325/2009, del Gabinete Jurídico de la Agencia Española de Protección de Datos.
  • INFORME 0070/2010, del Gabinete Jurídico de la Agencia Española de Protección de Datos.
  • INFORME 0077/2013, del Gabinete Jurídico de la Agencia Española de Protección de Datos.

“El panóptico no debe ser entendido como un edificio de la fantasía: es el diagrama del mecanismo del poder reducido a su forma ideal; su funcionamiento, abstraído de cualquier obstáculo, resistencia o fricción, debe ser representada como un sistema púramente arquitecténico y óptico: se trata de hecho de la figura de la tecnología política que puede y debe ser separada de cualquier uso específico”.

Michel Foucaul