Caso práctico: ¿Pueden instalarse cámaras de vigilancia en un spa?

PLANTEAMIENTO

«X», responsable de un spa, pregunta si, teniendo en cuenta la normativa en materia de protección de datos, puede instalar cámaras de vigilancia en sus instalaciones.

RESPUESTA

Si el sistema de cámaras se instala para la seguridad de los bañistas usuarios del spa, la respuesta es que sí es posible, si bien, conviene realizar algunos matices.

Tanto la imagen como la voz de una persona identificada o identificable son datos de carácter personal; en consecuencia, su tratamiento está sujeto a lo previsto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

El requisito principal para que un tratamiento sea conforme a la normativa de protección de datos es que su responsable se encuentre legitimado para efectuarlo. En este caso, la legitimación se fundamentaría en lo establecido en el art. 6.1.e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que establece que el tratamiento será lícito cuando sea necesario para el cumplimiento de una misión realizada en interés público. En este sentido, cabe señalar que el referido Reglamento general de protección de datos (considerando 45) permite que la legitimación en base al interés público habilite el tratamiento de datos por entidades de derecho público y de derecho privado.

Pues bien, en el caso que nos ocupa es evidente que el responsable del tratamiento (responsable del spa) tiene que establecer medidas dirigidas a garantizar la seguridad de los usuarios de las piscinas, como, por ejemplo, implementar la vigilancia de los vasos mediante un sistema de control telemático. Efectivamente, es su obligación garantizar la seguridad de los usuarios, así como la calidad sanitaria de las instalaciones, y se trata de una obligación jurídica por cuanto entre el usuario y el responsable existe un contrato o relación negocial.

A la vista de cuanto antecede, para determinar si procede la aplicación del citado precepto es necesario valorar si existe un interés público perseguido por el responsable del tratamiento que no suponga que el tratamiento sea contrario al principio de licitud que recoge el art. 5.1.a) del Reglamento general de protección de datos.

En este sentido, la Agencia Española de Protección de Datos entiende que la captación de imágenes por cámaras de videovigilancia en un establecimiento abierto al público puede quedar incardinada en la esfera del interés público por razones de seguridad, tanto de las instalaciones como de las personas que utilicen las mismas. No obstante, cabe distinguir entre zonas comunes de uso público (vasos de las piscinas, pasillos, etc.) donde los usuarios saben que son o pueden ser observados por otros usuarios y en los cuales su derecho a la intimidad ha de convivir con ellos, de otras zonas que, aun siendo también de uso público, los usuarios pueden legítimamente pretender excluir en aras de una protección de su derecho a la intimidad (aseos, vestuarios, etc.). En las primeras, no se considera que prime el derecho a la intimidad, lo que no sucede, en cambio, en las segundas.

Por último, aprovechamos para recordar que el responsable debe dar cumplimiento a las restantes obligaciones que regula el Reglamento general de protección de datos, teniendo en cuenta, además, el principio de responsabilidad proactiva. Entre estas obligaciones, debemos destacar las siguientes:

1. La configuración del registro de la actividad de tratamiento vinculada a la utilización de las videocámaras, con el contenido del artículo 30.1 del RGPD.

2. El cumplimiento del derecho de información en los términos descritos en el artículo 13 del RGPD (mediante un sistema de capas: a) En las zonas videovigiladas, tanto abiertas como cerradas, al menos un distintivo informativo ubicado en lugar suficientemente visible en el que se indique que se tratan datos, la posibilidad de ejercitar los derechos de protección de esos datos ante el responsable así como su identidad, y una indicación de dónde se puede obtener más información sobre el tratamiento, y b) a disposición de los/las interesados/as impresos en los que se detalle la información que recoge el artículo 13 del Reglamento general de protección de datos).