Según la última memoria de actividad de la Agencia Española de Protección de Datos (AEPD), la videovigilancia ha supuesto aproximadamente el 60% del total de las resoluciones registradas de procedimientos de apercibimiento en el sector privado. Unos resultados que dejan entrever el desconocimiento por parte de las empresas españolas sobre el uso de estos sistemas.

“La videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD)” – explica la Agencia.

Por tanto, según lo anterior, las imágenes que grabamos a través de cámaras de vigilancia, siempre y cuando puedan identificar a personas, serán catalogadas como datos de carácter personal por lo que deberán atenerse a los requerimientos normativos establecidos.

¿Cuáles son los errores más habituales por parte de las empresas?

1. Captar imágenes de la vía pública

Generalmente este tratamiento se reserva a las Fuerzas y Cuerpos de Seguridad del Estado.

En este sentido, la AEPD recientemente ha sancionado a un complejo hotelero de Valencia a raíz de una inspección por parte de la Guardia Civil que llegó a identificar un posible uso ilícito del sistema de videovigilancia. Las cámaras registraban más allá del espacio privativo del establecimiento incluyendo en su campo de visión espacios de la vía pública sin contar con la legitimación debida. El local, además, tampoco contaba con los carteles preceptivos que informasen sobre tal tratamiento.

Es necesario tener en cuenta que, según la legislación vigente, la protección de espacios privados en espacios exteriores generalmente tan solo es posible cuando se registran los accesos, puertas o entradas de manera que se orienten atendiendo a su finalidad principal, la vigilancia del entorno privado.

En este supuesto, la captación de la vía pública correspondiente excedía el mínimo imprescindible. Es por ello que la Agencia dictaminó que se trataba de un tratamiento desproporcionado vulnerándose, así, el artículo 6.1 de la LOPD relativo al consentimiento del afectado de tal forma que resolvió apercibir al denunciado con el objeto de que acreditase su cumplimiento en un plazo máximo de un mes.

Transcurrido el plazo marcado por la AEPD y quedando acreditada la ausencia de voluntad de cumplimiento se impuso una multa de 5.000 euros.

Un caso reciente de similares características ha sido el que ha supuesto El Corte Inglés de Las Palmas de Gran Canaria que tras la investigación de la Agencia a raíz de una denuncia quedó acreditado que captaban imágenes del exterior a través de cinco de sus treinta y dos cámaras. En esta ocasión se estimó sancionar al centro comercial con más de 40.000 euros.

2. No incorporar el cartel informativo

La normativa exige cumplir con el denominado deber informativo que establece que deberá incorporarse una serie de carteles que indiquen y alerten a cualquier individuo sobre la presencia de cámaras. De igual forma, en dicho cartel, se deberá recoger la identidad de la entidad responsable del tratamiento de datos y el método a través del cual el titular pueda ejercitar sus derechos de acceso, rectificación, cancelación u oposición previstos en la LOPD.

3. Realizar una captación desproporcionada a tenor de su finalidad

El tratamiento de datos a través de cámaras de vigilancia deberá ser proporcional al fin perseguido: el control de accesos, la seguridad y control de acceso a edificios, la vigilancia, entre otros.

Por tanto, no podremos realizar una captación de imágenes en lugares que puedan exceder a la finalidad con la que fueron instaladas. La zona videovigilada deberá ser la mínima imprescindible abarcando espacios públicos como accesos o pasillos.

Sin embargo, en ningún caso podrán instalarse en espacios protegidos por el derecho a la intimidad de las personas como sería el caso de los baños, vestuarios o gimnasios.

Así lo hizo un hotel de Cartagena que contaba con un sistema de videovigilancia instalado en su gimnasio. La finalidad declarada del fichero por parte del responsable fue la de llevar un “control de accesos y seguridad de las instalaciones”.

Según la normativa, debe existir una relación de proporcionalidad entre la finalidad perseguida (el control y videovigilancia de las distintas instalaciones) y el tipo de datos que se tratan garantizando, de esta forma, los principios de proporcionalidad y finalidad requeridos por la ley.

En esta ocasión, según el procedimiento sancionador de la Agencia, ha quedado patente que se ha producido un tratamiento excesivo, no pertinente e inadecuado de datos de carácter personal en relación a la finalidad declarada por lo que se ha optado por multar a la compañía hotelera con 7.500 euros.