Locations
Cuando se instalan sistemas de videovigilancia, habitualmente, se realiza con el objetivo de garantizar la seguridad de las instalaciones, bienes y personas, de acuerdo con el artículo 22.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPDGDD»), tratamiento legitimado por el interés público. En ocasiones, terceras personas ajenas al responsable de estos sistemas de videovigilancia solicitan tener acceso a las imágenes captadas para utilizarlas para sus propios fines.
En julio, la Autoridad Catalana de Protección de Datos (en adelante, «APdCat») publicó un dictamen en el que se consultaba sobre la utilización por un tercero de imágenes obtenidas por el sistema de videovigilancia.
Dictamen de la APdCat
La resolución trata sobre la petición de acceso a imágenes de videovigilancia para investigar la desaparición de un bien en un edificio gestionado por una primera entidad, donde varias organizaciones alquilan espacios. El sistema de videovigilancia se implementa para garantizar la seguridad, conforme al artículo 22 de la LOPDGDD. Una segunda entidad solicitó el acceso a las imágenes para identificar al posible responsable y, si fuese necesario, iniciar un proceso disciplinario, en el caso de tratarse de un trabajador. La consulta plantea varias cuestiones respecto a la legitimidad y los fundamentos legales para la comunicación de datos personales en este contexto.
En este caso, la APdCat analiza si puede fundamentarse la comunicación de los datos a esta segunda entidad basándose en el interés legítimo del artículo 6.1.f del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, «RGPD»): «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales». Para ello, es necesario realizar una ponderación en la que se valore si los intereses legítimos del responsable del tratamiento o de un tercero, prevalecen por encima de los intereses o los derechos y libertades fundamentales de los interesados y las garantías adecuadas que se ofrezcan.
¿Qué debemos analizar en esta ponderación?
Al igual que la APdCat en esta resolución, la Guía sobre el uso de videocámaras para seguridad y otras finalidades de la Agencia Española de Protección de Datos (en adelante, «AEPD») ya determinó qué cuestiones deben valorarse en esta ponderación para evaluar si la comunicación de las imágenes está legitimada:
- Legitimación
En este punto debe valorarse si realmente existe un interés legítimo perseguido por el responsable del tratamiento o por el tercero al que se comunique sus datos que prevalezca por encima de los intereses o los derechos y libertades fundamentales de los interesados.
La AEPD establece como necesario que el interés legítimo que se invoque «debe referirse al ejercicio del derecho fundamental a la tutela judicial efectiva, en la medida que las imágenes se utilizarán para la obtención de pruebas para formular una posterior denuncia por delito, o reclamación por responsabilidad contractual, o extracontractual a una compañía de seguros».
La APdCat, por su lado, entiende que la segunda entidad, al tener establecido en sus estatutos que debe velar por el buen estado del patrimonio y los bienes, así como gestionar las personas trabajadoras, en consecuencia, podría abrir un expediente informativo para la investigación de los hechos y establecer las medidas disciplinarias adecuadas, si fuera el caso. Por lo tanto, existe un interés legítimo de esta segunda entidad en acceder a la información necesaria para determinar el responsable de los hechos.
- Compatibilidad de las finalidades
El principio de limitación de la finalidad (artículo 5.1.b del RGPD) establece que «los datos personales serán recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines […]». Por lo tanto, es necesario determinar si la finalidad para la cual se recogieron los datos es la misma o, al menos, se trata de una finalidad compatible.
Para ello, deberá atenderse a lo establecido en el artículo 6.4 del RGPD:
- En primer lugar, debe analizarse cualquier relación entre la finalidad para la que se recogieron los datos y la finalidad del tratamiento ulterior. En el caso del dictamen de la APdCat, se entiende que hay una clara relación entre la finalidad de seguridad de las instalaciones, bienes y personas perseguidas por el tratamiento inicial, con la finalidad de la investigación de los hechos para dirimir responsabilidades disciplinarias relacionadas con la presunta comisión de un ilícito sobre los bienes de la empresa por parte de una persona trabajadora.
- En segundo lugar, debe analizarse el contexto en el que se han recogido los datos personales. En el caso particular del dictamen de la APdCat, parte de que las imágenes provienen del sistema de videovigilancia cuyo fin se adecua a lo previsto en el artículo 22 de la LOPDGDD y cuenta con un distintivo informativo que cumple con el artículo 22.4 de la LOPDGDD. Por ello, se entiende que en este contexto de los interesados disponen de unas expectativas de que sus datos serán recogidos para el sistema de videovigilancia.
- En tercer lugar, en lo que a la naturaleza de los datos se refiere, debemos tener en cuenta que las imágenes y voces de las personas físicas no son consideradas categorías especiales de datos, en la medida que no se traten con medio técnicas específicos que permita la identificación o la autenticación unívoca de la persona física.
- Por último, deben analizarse las posibles consecuencias para los interesados y la existencia de garantías adecuadas. La entidad destinataria deberá delimitar el intervalo de tiempo en el que se producen los hechos, evitando un acceso indiscriminado y continuo a la información. Asimismo, la entidad destinataria deberá garantizar la implementación de medidas técnicas y organizativas para garantizar que el acceso a las imágenes solo será para aquellas personas competentes para la tramitación del expediente y que únicamente se conservarán durante el tiempo mínimo necesario.
La AEPD se limita a que, en el caso de querer obtener las imágenes para ejercitar acciones judiciales y/o extrajudiciales, es decir, para el ejercicio del derecho fundamental ala tutela judicial efectiva, se entendería que la finalidad es compatible atendiendo a un término amplio del concepto de «seguridad».
- Minimización de los datos
De acuerdo con el principio de minimización de los datos (artículo 5.1.c del RGPD), los datos deben limitarse a lo que es necesario en relación con las finalidades para las que son tratados. Por lo tanto, la comunicación de las imágenes deberá limitarse al mínimo necesario para la finalidad buscada, hasta el punto en el que se facilite únicamente lo relacionado con el incidente que motiva la petición.
Esta minimización consistirá en que la grabación que se extraiga o, en su caso, la visualización, no deberá contener datos personales de otros interesados que no tengan que ver con los hechos. Esta minimización puede realizarse mediante la edición de las imágenes, enmascarando imágenes o datos personales de terceros no relacionados con los hechos y acotando la duración de estas imágenes a lo mínimo indispensable.
Conclusión
La APdCat concluye que, con las limitaciones mencionadas (legitimación, finalidad y minimización de los datos), cabe considerar que la comunicación de datos planteada no es contraria a la legislación de datos, y esta comunicación de datos estaría legitimada por el interés legítimo de un tercero (artículo 6.1.f del RGPD). No obstante, no debemos olvidar que aquel tercero al que se le comunican los datos se convierte en responsable del tratamiento, por lo que deberá cumplir con todas las obligaciones establecidas en el RGPD.
Agradecimientos a la abogada Marta Lucas del área de Tech & Data por la realización de este artículo.
El contenido de esta publicación es meramente informativo, sin que el interesado deba tomar una decisión basada en la misma; en tal caso debería solicitar asesoramiento jurídico específico adaptado a sus circunstancias concretas.