¿Existen los derechos ARCO en videovigilancia?
O, más bien, la pregunta sería si efectivamente sirven para algo o incluso si jurídicamente son ejercitables en el marco de la videovigilancia para fines de seguridad, ya que si hacemos un análisis detallado del ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) nos vamos a encontrar bastantes incongruencias.
1.- Punto de partida: Instrucción 1/2006 y Guía de la AEPD.
Respecto a la primera, recordemos que en su artículo 3 establece que:
a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.
Sobre ese cartel distintivo, el Anexo de la citada Instrucción en su apartado 1 dice que:
1. El distintivo informativo al que se refiere el artículo 3.a) de la presente Instrucción deberá de incluir una referencia a la «LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS», incluirá una mención a la finalidad para la que se tratan los datos («ZONA VIDEOVIGILADA»), y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos a los que se refieren los artículos 15 y siguientes de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
En cuanto a la Guía, nos pone en “sobre aviso” en relación a ciertas peculiaridades del ejercicio de los derechos ARCO (páginas 41 y 42):
“El ejercicio de los derechos posee perfiles específicos en el ámbito de la videovigilancia.
En primer lugar, no resulta posible el ejercicio del derecho de rectificación ya que por la naturaleza de los datos -imágenes tomadas de la realidad que reflejan un hecho objetivo-, se trataría del ejercicio de un derecho de contenido imposible.
Por otro lado, el ejercicio del derecho de oposición también plantea enormes dificultades. Si este se interpreta como la imposibilidad de tomar imágenes de un sujeto concreto en el marco de instalaciones de videovigilancia vinculadas a fines de seguridad privada no resultaría tampoco posible su satisfacción en la medida en la que prevalecería la protección de la seguridad.
Por otra parte el ejercicio del derecho de acceso reviste características singulares:
Requiere aportar como documentación complementaria el aportar una imagen actualizada que permita al responsable verificar y contrastar la presencia del afectado en sus registros. Resulta prácticamente imposible acceder a imágenes sin que pueda verse comprometida la imagen de un tercero. Por ello puede facilitarse el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento.
Ej. “Su imagen fue registrada en nuestros sistemas el día ___ del mes del año entre las _ horas y las _ horas. En concreto el sistema registra su acceso y salida del edificio.
Pues bien, partiendo de que debe incluirse información sobre el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición), y que ya vemos que hay ciertos límites, analicemos uno a uno a ver que nos encontramos.
2.- Derecho de acceso.
Las videocámaras han grabado la imagen de una persona (siempre para fines de seguridad), que se considera dato de carácter personal por permitir la identificación. La cuestión podría ser bastante dudosa, ya que en la mayoría de los casos con la mera imagen el responsable no va poder identificar a esa persona, pero, como digo, es un dato de carácter personal, porque así se ha dictaminado desde hace bastante tiempo.
Según el artículo 25.1.a) RDLOPD para el ejercicio del derecho de acceso (y para el resto de derechos ARCO también), la comunicación para tal fin deberá contener, entre otros, nombre y apellidos del interesado así como fotocopia del DNI, pasaporte o documento que lo identifique válidamente.
Ojo a la contradicción: para obtener las imágenes de las cámaras que me han grabado (siempre y cuando se pixele al resto de personas que puedan aparecer) o bien información sobre cuándo fui grabado (ver al respecto la parte final de este post), el responsable va a tener que conocer mi identidad, cuestión que en un principio, y salvo excepciones, va a desconocer. ¡Contradictorio!
Pero es que, además, nos encontramos que según el 29.1 de la misma norma reglamentaria, el plazo para responder sobre el acceso es como máximo de un mes, que coincide con el de almacenamiento de las imágenes, de tal forma que la respuesta a ese acceso es que las imágenes se habrán bloqueado, de manera que la contestación sería la información sobre el citado bloqueo y no el contenido del derecho de acceso.
Relacionada con esta cuestión, interesante la lectura del informe de la AEPD 252/2007, sobre una cámara que sólo almacena las imágenes 24 horas, a pesar de lo cual el ente de controla afirma que en este caso el acceso supondría comunicar que no hay información de esa persona:
“En consecuencia, el responsable deberá de atender la solicitud de acceso, y responderla en el plazo de un mes, indicando que se carecen de datos personales del afectado, debido a que las imágenes se borran cada 24 horas.” (aquí se habla de borrado y no de bloqueo)
Incluso, en determinados ámbitos (Bancos, Cajas de Ahorro y demás Entidades de Crédito), en virtud de lo dispuesto en el artículo 120.1 del Reglamento de Seguridad Privada, no cabe el derecho de acceso:
Los soportes destinados a la grabación de imágenes han de estar protegidos contra robo, y la entidad de ahorro o de crédito deberá conservar los soportes con las imágenes grabadas durante quince días al menos desde la fecha de la grabación, en que estarán exclusivamente a disposición de las autoridades judiciales y de las dependencias de las Fuerzas y Cuerpos de Seguridad, a las que facilitarán inmediatamente aquellas que se refieran a la comisión de hechos delictivos.
El contenido de los soportes será estrictamente reservado y las imágenes grabadas únicamente podrán ser utilizadas como medio de identificación de los autores de delitos contra las personas y contra la propiedad, debiendo ser inutilizados el contenido de los soportes y las imágenes una vez transcurridos quince días desde la grabación, salvo que hubiesen dispuesto lo contrario las autoridades judiciales o las Fuerzas y Cuerpos de Seguridad competentes.
Y ojo con este precepto, porque tiene carácter reglamentario y está limitando el ejercicio de derechos reconocidos por Ley. No obstante, esta limitación se ha interpretado como un desarrollo del Artículo 13 de la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana.
El Ministerio del Interior podrá ordenar, conforme a lo que se disponga reglamentariamente, la adopción de las medidas de seguridad necesarias en establecimientos e instalaciones industriales, comerciales y de servicios, para prevenir la comisión de los actos delictivos que se puedan cometer contra ellos, cuando generen riesgos directos para terceros o sean especialmente vulnerables.
Ver al respecto Informe 117/2007 de la AEPD que expresa perfectamente explicado la postura jurídica a la que me acabo de referir.
3.- Derecho de rectificación.
¿Solicitar la modificación de datos que resulten incompletos o inexactos de una grabación? El que es guapo es guapo, y el que es feo es feo.
En este caso, la Instrucción 1/2009, de 10 de febrero, de la Autoridad Catalana de Protección de Datos, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, contempla el siguiente supuesto en el artículo 14:
1 Sólo procede el ejercicio del derecho de rectificación de las imágenes o la voz captadas con sistemas de videovigilancia cuando la imagen o la voz hayan sido distorsionadas o alteradas con posterioridad a su captación.
2. Con el fin de dar cumplimiento a lo que prevé este artículo, cuando se alteren o distorsionen las imágenes o voces se debe guardar copia de la grabación original o disponer de un mecanismo de recuperación de la información original. La alteración o distorsión debe quedar relejada en el registro de incidencias, indicando el periodo afectado y el motivo.
Sin perjuicio de que esto pueda tener lugar, ¿Cómo se podría enterar el interesado? Porque si ejercita el derecho de acceso lo normal es que le den la imagen sin modificar. ¿O no? O en su caso, como he dicho anteriormente, información sobre la grabación, y tampoco tendría conocimiento la meritada distorsión.
4.- Derecho de oposición.
Pues si uno lee las tres causas sobre las que debe basarse este derecho (artículo 34 del Reglamento de la LOPD) verá que son de difícil aplicación. A saber:
– No sea necesario el consentimiento para el tratamiento y exista un motivo legítimo y fundado sobre una situación personal. ¿Se les ocurre algún caso? Expóngalo si así es. Tradicionalmente, se han admitido las cámaras en cualquier sitio. Queda lo típico de vestuarios o cuartos de baño, pero son situaciones en los que está más o menos prohibido.
– Ficheros que tengan como finalidad actividades de publicidad y prospección comercial, en los términos del artículo 51. Lo único que se me ocurre, pero estaría fuera de estos tradicionales ficheros, serían cámaras en centros comerciales para detectar hábitos de consumo, pero quizás fuese más por la vía de la impugnación de valoraciones, y estaríamos fuera de la seguridad sino del uso de cámaras para otras finalidades.
– Cuando la decisión tenga por finalidad adoptar una decisión referida al afectado y basado únicamente en el tratamiento de sus datos. Pero ¡este es el fin de las cámaras! Tratar esa imagen y llevar a una decisión. Por ejemplo, el que se porta mal. El castigo posterior.
Además, recordemos que la instalación de las cámaras es por razones de seguridad.
Mención especial a que sea el afectado el que tenga que justificar estos motivos, ya que siempre me ha parecido una forma de limitar el ejercicio de este derecho. ¿Es qué debe hacer “lírica jurídica” un ciudadano de a pie para poder oponerse al tratamiento?
5.- Derecho de cancelación.
Según la Instrucción 1/2006, artículo 6 “Los datos serán cancelados en el plazo máximo de un mes desde su captación”. O sea, nos remitidos a la cancelación de la LOPD, a lo del “bloqueo”, cuestión que todos mencionamos y la mayoría no sabe ni cómo se hace –yo me incluyo, eh?-. Y al final, si ha pasado algo, la imagen se desbloquea y recupera, porque lo que es borrado, parece que no.
Aquí además, se plantea otro problema y es de almacenamiento: no estamos ante el bloqueo de un fichero de unos determinados datos, sino que son grabaciones continuas, por lo que podemos tener problemas de almacenaje de las grabaciones, así como qué hacer con las copias de seguridad sobre imágenes, que en teoría, están bloqueadas. ¿Hay que mantener las grabaciones bloqueadas y su respectiva copia de seguridad hasta el “infinito”?
Sobre este tema de las copias de seguridad, el informe 672/2008 de la AEPD dictamina que:
“Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
No se establece en la norma ninguna excepción a dicho deber, por lo que el mismo es aplicable a cualquier fichero automatizado entre los que se encuentran los resultantes de la grabación de imágenes a través cámaras o videocámaras con fines de videovigilancia.
La consulta plantea si debe eliminarse mensualmente toda la información recogida a través de cámaras, incluida la que pudiera encontrase en las copias de seguridad de las cintas.
A este respecto debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de la LOPD al establecer que “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
En consecuencia, el plazo de un mes que señala la Instrucción 1/2006 es un plazo máximo para la cancelación de datos en los términos vistos, no para su eliminación que estará sujeta al transcurso de los plazos de prescripción de responsabilidades. En cuanto a los datos contenidos en la copia, siendo la copia de respaldo conforme al artículo 5.2 e) del Reglamento de desarrollo de la LOPD “copia de los datos de un fichero automatizado en un soporte que permita su recuperación”, esto es, un mecanismo que permita recuperar los datos cuando se produzca una incidencia que no permita el acceso a los datos contenidos en el fichero, en el caso de que éstos se encuentren bloqueados con la exclusiva finalidad antes señalada de atención de responsabilidades, estará sometida a los mismos plazos para la supresión de los datos que el original del que éstos proceden.”
5.- Futura Ley de Seguridad Privada
Puesto que en este post estoy tratando el tema de la videovigilancia, quisiera terminar haciendo alguna mención a nueva Ley de Seguridad Privada que está actualmente en tramitación, que si bien no regula expresamente el ejercicio de los derechos ARCO, si contiene algunas menciones a la instalación de cámaras con fines de seguridad, y que podemos resumir en lo siguiente:
– Artículo 15 “Intercambio de información”:
Regula las cesiones de datos personales por las empresas de seguridad privada a las Fuerzas y Cuerpos de Seguridad, permitiendo la conexión para la comprobación de las informaciones en tiempo real.
– Artículo 42 “Servicios de videovigilancia”:
Aplicación de los principios de idoneidad e intervención mínima, así como sometimiento a la normativa de protección de datos. Asimismo, no se podrán utilizar videocámaras con fines de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos o de acceso público salvo en los supuestos y en los términos y condiciones previstos en la legislación en materia de seguridad ciudadana, previa autorización administrativa. Su utilización en el interior de las viviendas requerirá el consentimiento del titular.
– Artículo 51 “Tipos de medidas”
Se desarrollarán por vía reglamentaria afectando a la seguridad física, electrónica, informática, organizativa y personal, por lo que además de las medidas de seguridad vía LOPD, habrá que adoptar aquellas. Me recuerda al binomio ENS vs Seguridad Reglamento LOPD.