Publicado en Confilegal, 27 de abril de 2018.
Esta semana se hacían públicas las imágenes obtenidas a través del sistema de videovigilancia de una cadena de supermercados, el pasado 4 de mayo de 2011, donde, la entonces vicepresidenta de la Asamblea de Madrid, era interrogada por un vigilante de seguridad de dicha cadena. Más allá de otras valoraciones que no son objeto del presente artículo, debemos tener en cuenta las implicaciones que dichas imágenes pueden implicar de cara al responsable del tratamiento (cadena de supermercados) o el encargado del tratamiento (empresa de seguridad), sin entrar en valorar la difusión de las mismas como hecho noticiable y por tanto en relación la libertad de información y de prensa.
En este sentido, debemos tener en cuenta que nuestra normativa en materia de protección de datos es clara al respecto y los hechos por parte de las entidades pueden ser constitutivos de infracciones graves y/o muy graves conforme a la normativa actual, derivadas del incumplimiento de la misma.
Para centrar el asunto, partimos de que la imagen es un dato de carácter personal, tal y como define nuestra actual Ley Orgánica, el propio Reglamento Europeo y el Proyecto de Ley Orgánica que se encuentra en fase de debate parlamentario en la actualidad, por tanto su tratamiento (incluyendo la obtención, conservación y operaciones asociadas), debe estar sujeto a la citada normativa.
Así las cosas, el artículo 4 de nuestra actual LOPD, al referirse al principio de calidad de los datos, establece que los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos y, que serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.
Para ahondar en la finalidad del tratamiento y el periodo de conservación, debemos dirigirnos a la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, que establece en su articulado, que los datos (en este caso las imágenes) serán cancelados en el plazo máximo de un mes desde su captación.
Ante este precepto debemos plantearnos que consecuencias tiene la cancelación y si implica necesariamente el borrado de los mismos, en este aspecto, el Reglamento de desarrollo de la Ley Orgánica 15/1999, establece en su artículo 8 que, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.
Este periodo de conservación, donde la información queda a disposición de jueces y tribunales, implica que los datos deben mantenerse de forma bloqueada, es decir, no pudiendo realizar nuevos u otros tratamientos, no pudiendo ser accesibles por terceros, y manteniendo la obligación de eliminarlas una vez vencidos dichos plazos.
Este es un aspecto que contemplan otras normas, en relación con tratamientos similares, sírvase como ejemplo la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos que establece que «las imágenes y sonidos obtenidos por cualquiera de las maneras previstas serán destruidos en el plazo de un mes desde su captación, salvo que se relacionen con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, con una investigación policial en curso o con un procedimiento judicial abierto».
Si nos atenemos a lo establecido en el Proyecto de Ley Orgánica que se encuentra en fase parlamentaria, el artículo 22 aborda directamente los tratamientos con fines de videovigilancia, reiterándose en los conceptos ya analizados, estableciendo que “los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”.
Así las cosas, sobre el deber de secreto y confidencialidad, la citada Instrucción de la Agencia Española de Protección de Datos, establece que “el responsable deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Asimismo, cualquier persona que por razón del ejercicio de sus funciones tenga acceso a los datos deberá de observar la debida reserva, confidencialidad y sigilo en relación con las mismas”. Aspectos, en materia de seguridad que se derivan del artículo 9 de nuestra LOPD, en relación con la adopción de medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Estos aspectos analizados, lo que implican es que, las imágenes debían haber sido canceladas, y si no originaron responsabilidades posteriores, eliminadas. En este sentido, debe recordarse que el mantenimiento o tratamiento, junto con la difusión de las mismas por parte de quien las conservaba, implica sendos incumplimientos en materia de protección de datos, a los que se unen, junto con los ya reseñados, una posibles comunicación o cesión de datos sin cumplir con la normativa.
En relación con los sistemas e videovigilancia, adicionalmente, impacta la Ley 5/2014, de seguridad privada, que viene a definir que la implantación de un sistema de cámaras de vigilancia debe conllevar que una empresa se encargue de realizar la instalación y mantenimiento del sistema, con acceso a las imágenes, siendo la empresa de seguridad un encargado del tratamiento, a modo de ejemplo, empresas de seguridad que prestan servicios de alarmas y videovigilancia, en todo caso el acceso y visionado, así como el mantenimiento durante los periodos deben tener su motivación como se ha analizado.
En este punto, ante las informaciones conocidas de la cadena de supermercados como responsable del tratamiento, afirmando que los datos eran eliminados de forma automática y que no tenían responsabilidad sobre el sistema, gestionado por las empresas de seguridad, debemos plantearnos si ésta, como encargada del tratamiento podría llegar a tener una responsabilidad en materia de protección de datos. Así, el artículo 20 del Reglamento de desarrollo de la Ley Orgánica 15/1999, establece que, en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones del artículo 12 de la Ley Orgánica 15/1999 (obligaciones del encargados del tratamiento respecto del responsable del tratamiento y los datos que trata como consecuencia de la prestación del servicio), será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Deberá dirimirse si el mantenimiento de las imágenes es imputable a algún empleado o colaborador, que incumpliendo la normativa o vulnero las medidas de seguridad para su conservación y posterior utilización, al margen de las indicaciones del responsable y el encargado del tratamiento, y por tanto las posibles responsabilidades que le puedan ser exigidas.
Queda sentado, que, salvo que durante el procedimiento de investigación abierto por la Agencia Española de Protección de Datos se pueda dirimir lo contrario, a priori, nos encontraríamos ante un incumplimiento de la normativa de protección de datos, que podría implicar determinadas infracciones graves (tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el principio de calidad de los datos o la comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello, o la no adopción de medidas de seguridad necesarias, entre otras infracciones) aspectos que pueden conllevar una sanción entre 40.001 a 300.000 euros para el responsable de dichos incumplimientos.
Infracciones que conforme al Proyecto de Ley Orgánica podrían ser consideradas como muy graves, elevando la cuantía de la sanción, si fueran entendidas como la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
Así las cosas, queda esperar el curso del procedimiento iniciado por la Agencia Española de Protección de Datos de cara a dirimir las posibles responsabilidades en materia de protección de datos analizadas en este artículo y las implicaciones que pudieran tener a efectos indemnizatorios o posible vulneración de otros derechos fundamentales, objeto de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, entre otras.