Tratamiento de datos con fines de videovigilancia en la LO 3/2018 de 5 de diciembre (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 12/02/2019

En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.

El tratamiento con fines de videovigilancia se encuentra regulado en la LOPDGDD en el Título IV relativo a las "Disposiciones aplicables a tratamiento concretos", en concreto en el artículo 22 de dicha norma. La imagen de una persona, identificada o identificable, constituye un dato de carácter personal objeto de tratamiento para diversas finalidades, aunque la más común es la de garantizar la seguridad, tambien se podrían usar para control de empleados, investigación o asistencia sanitaria.

Con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones, se podrá llevar a cabo el tratamiento de imágnes a través de sistemas de cámaras o videocámaras por personas físicas o jurídicas, públicas o privadas. Imágenes de la vía pública sólo podrán captarse si es imprescindible, pues por regla general la captación de imágenes con fines de seguridad de la vía pública debe realizarse por las Fuerzas y Cuerpos de Seguridad del Estado. No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.
Como excepción, tambien podríamos hablar en los casos de centros comerciales, restaurantes, aparcamientos, etc, en los que los propietarios utilizan los sistemas de videovigilancia para garantizar la seguridad de las personas e instlaciones y en donde los ciudadanos pueden tener libre acceso aunque sean de propiedad privada.

Recuérdese que los datos objeto de tratamiento a traves de videovigilancia serán tratados con fines limitados, en concreto sólo para la finalidad que motivó la instalación de las cámaras (principio de limitación -art. 5 RGPD-). Igualmente se deberá cumplir con el principio de minimización de datos, de modo que los datos tratados sean adecuados y pertinente en relación con los fines, existiendo espacios en los que, por sus condiciones, podría ser desproporcionada su instalación, tales como vestuarios, taquillas y zonas de descanso de empleados (véase el tema sobre los derechos digitales en el ámbito laboral). Se deberá tener en cuenta también el número de cámaras y el tipo de las mismas que deberán ser tambien proporcionados a las finalidades. Se recomienda el uso de "máscaras de privacidad" para evitar la captación o grabación de imágenes excesivas.

Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación. No será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

Por su parte el artículo 22.4 establece que el deber de información se entenderá cumplido mediante la colocación de un dispositivo informativo (cartel de videovigilancia) en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del RGPD. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.

El tratamiento por parte de una persona física de imágenes que solo capten el interior de su propio domicilio estará excluído del ámbito de aplicación de la normativa de protección de datos en base a lo estipulado en el artículo 2.2.c) del RGPD. Si bien, esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el RGPD y la LOPDGDD.


Todo lo indicado se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus disposiciones de desarrollo.

 

Como comentamos en temas precedentes, el tratamiento de imágenes tomadas por las cámaras de videovigilancia (tanto si graban o almacenan imágenes, como si sólo se permiten el visionado en tiempo real) supondrá la realización de un registro de actividades de tratamiento por escrito, incluso en formato electrónico, en que se incluya una descripción de los tratamientos. Igualmente supondrá el establecimiento de una serie de medidas de seguridad para garantizar la seguridad de los datos y evitar su alteración o su acceso por parte de personal no autorizado, entre otros riesgos que se deberán analizar.

* Por el contrario, si se tratase de cámaras simuladas o ficticias no sería necesario elaborar este registro ni cumplir con el resto de obligaciones del RGPD, puesto que no existiría un tratamiento de datos de carácter personal.

Además, en el caso de que las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran de una observación habitual y sistemática de interesados a gran escala (por ejemplo en el caso de las empresas de seguridad privada), será necesario que se nombre un Delegado de Protección de Datos.

A los efectos de realizar las EIPD en videovigilancia, cuyo tratamiento supone una observación sistemática, el elemento que determinará la necesidad o no de su realización es que dicho tratamiento sea a gran escala. Por ejemplo, y atendiendo a los criterios para determinar que existe gran escala, podría darse en la utilización de la videovigilancia en espacios de acceso público como pueden ser plazas, calles o grandes centros comerciales.

En caso de que se contrate a un tercero para el tratamiento de las imágenes (por ej. las empresas de seguridad), este se considerará un encargado de tratamiento y como tal, deberá formalizarse en un contrato de encargo de tratamiento, en el que se establezca el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y del encargado. Téngase en cuenta que es necesario que el responsable elija a un encargado del tratamiento que ofrezca garantías suficientes respecto a la implatación y mantenimiento de las medidas técnicas y organizativas apropiadas.

* Importante: téngase en cuenta que si la empresa de seguridad gestiona el sistema de videovigilancia en el domicilio de las personas físicas, adquiere la condición de responsable del tratamiento.

 

No será de aplicación la normativa de protección de datos:

- en el tratamiento de imágenes en al ámbito personal y doméstico

- en los tratamientos de imágenes por los medios de comunicación

- en el caso de imágenes simuladas (aunque si se trata de cámaras reales desactivadas o que pueden ser activadas sin esfuerzos excesivos, si se deberán aplicar los principios vigentes en materia de protección de datos)

- en la difusión de imágenes con fines de promoción turística o promocional, siempre y cuando no afecte a personas identicadas o identificables

 

Finalmente, en cuanto al ejercicio de derechos por parte de los afectados, estos deben matizarse en el ámbito de la videovigilancia:

- no resulta posible el ejercicio del derecho de rectificación ya que por la naturaleza de los datos -imágenes tomadas de la realidad que reflejan un hecho objetivo-, se trataría del ejercicio de un derecho de contenido imposible;

- tampoco el derecho de portabilidad ya que, aunque se trata de un tratamiento automatizado, la legitimación no se basa ni en el consentimiento ni en la ejecución de un contrato; y

- no se aplicaría parte del contenido del derecho a la limitación del tratamiento, en su aspecto de “cancelación cautelar” que está vinculada al ejercicio de los derechos de rectificación y oposición.

 

 

Puede ampliarse la información así como ver los supuestos específicos de tratamiento (por ej. el tratamiento por entidades financieras, espectáculos deportivos, joyerías, detectives privados, comunidades de propietarios y sus diversos usos, entornos escolares, tráfico, sanidad, cámaras "on board", drones, etc) en la guía sobre el "Uso de videocámaras para seguridad y otras finalidades" publicada de por la AEPD que puede consultarse aquí.

 

 

No hay versiones para este comentario

Tratamiento de datos personales
Persona física
Cuerpos y fuerzas de seguridad
Grabación
Interés publico
Asistencia sanitaria
Protección de datos
Propiedad privada
Minimización de datos
Responsable del tratamiento
Empresa de seguridad
Datos personales
Centro penitenciario
Amenazas
Ejecución de las sanciones
Registro de las actividades de tratamiento
Seguridad de los datos personales
Medidas de seguridad
Actividades de tratamiento de datos
Delegado de protección
Evaluación de impacto en protección de datos
Encargado del tratamiento
Limitación del tratamiento de datos
Detective privado
Entidades financieras
Comunidad de propietarios

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Objeto y ámbito de aplicación del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento General de Protección de Datos (en adelante RGPD),  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente s...

  • Interés Público como base jurídica para el tratamiento de datos de carácter personal

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tene...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados