Régimen Jurídico de la Videovigilancia en España.



 1.- Aplicación de la normativa sobre protección de datos.

Las imágenes, con independencia del formato en el que se contengan, tienen la consideración de datos personales. En este sentido, el artículo 5.1 del RLOPD (Real Decreto 1720/2007, de 21 de diciembre), precisa que constituye un dato de carácter personal “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Los principios vigentes en materia de protección de datos personales son de aplicación al uso de cámaras, videocámaras y a cualquier medio técnico análogo, que capte y/o registre imágenes, ya sea con fines de vigilancia u otros en los supuestos en los que exista una grabación, captación, transmisión, conservación, o almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real o un tratamiento que resulte de los datos personales relacionados con aquéllas, siempre que tales actividades se refieran a datos de personas identificadas o identificables.

Además de la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos) y el precitado RLOPD, debe tenerse en cuenta, por su importancia, la Instrucción 1/2006, de 12 de diciembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. Sin embargo, los principios de la Instrucción son válidos para cualquier otro tratamiento de imágenes mediante videocámaras.

La LOPD y la Instrucción 1/2006, de 12 de diciembre, de la AEPD no es de aplicación, como es lógico, a las grabaciones realizadas en el ámbito doméstico, como por ejemplo las que se producen en el marco de una celebración familiar, escolar o un viaje turístico. Ahora bien, si las videocámaras se instalan con la finalidad de garantizar la seguridad de la vivienda sí deberá cumplirse lo dispuesto en la Instrucción, particularmente cuando se trate de espacios comunes en comunidades de propietarios, urbanizaciones privadas o cuando afecte al personal del servicio doméstico.

Tampoco es de aplicación la normativa de protección de datos en los casos de videovigilancia llevada a cabo por parte de las Fuerzas y Cuerpos de Seguridad del Estado. Estos supuestos se rigen específicamente por laLey Orgánica 4/1997, de 4 de agosto. No obstante, a estos tratamientos se les aplica supletoriamente la LOPD en aspectos concretos como la necesaria creación de ficheros mediante una disposición general publicada en boletín o diario oficial. De cualquier modo, es de aplicación la LOPD a las instalaciones fijas de videocámaras que realicen las Fuerzas Armadas y las Fuerzas y Cuerpos de Seguridad del Estado en sus edificios, siempre que éstas se dediquen exclusivamente a garantizar la seguridad y protección interior o exterior de los mismos. Igualmente, es de aplicación a las Unidades de Policía Judicial en el desempeño de sus funciones cuando realicen captaciones de imágenes y sonidos mediante videocámaras.

Por otro lado, a las videocámaras con fines de control de tráfico la LOPD es igualmente de aplicación, específicamente a la creación de los ficheros mediante una disposición de carácter general publicada en el diario oficial que corresponda; a la inscripción ante el Registro General de Protección de Datos; la adopción de medidas de seguridad y su documentación; la satisfacción de los derechos de acceso, cancelación, etc., de los ciudadanos y la señalización del espacio vigilado (Esto último, debido a su especial dificultad práctica, ha sido matizado por la AEPD admitiendo que se preste esta información en espacios municipales y/o mediante señalización en el acceso a las vías y/o poblaciones).

Finalmente tampoco es de aplicación la normativa de protección de datos a los tratamientos de imágenes por parte de los medios de comunicación, en el ejercicio legítimo de los derechos que les confiere el artículo 20 de la Constitución Española, como por ejemplo, la emisión de un informativo de televisión, o la edición de un periódico.

Respecto a la posibilidad que un particular suba a una página web la imagen de otro particular sin su permiso, al desbordar el ámbito doméstico, solo puede aceptarse si se dispone del consentimiento de las personas cuya imagen de incluye en una página web en Internet. En caso contrario se estaría vulnerando la LOPD y la Agencia Española de Protección de Datos podría abrir un procedimiento sancionador contra el infractor.
Se ha planteado en alguna ocasión a la AEPD, si ésta debe autorizar la instalación de cámaras de videovigilancia. Debe quedar claro que la Agencia no es el organismo competente para autorizar la instalación de cámaras de seguridad, ni en el ámbito privado ni en el público. La Agencia vela por la protección de la imagen como dato personal, exigiendo el cumplimiento de la LOPD y la Instrucción 1/2006 de 8 de noviembre de 2006, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

2.-Aspectos a tener en cuenta previamente a la puesta en marcha de un sistema de videovigilancia.

La instalación de videocámaras no se justifica legalmente en todos los casos, sino sólo en aquellos supuestos en los que la finalidad de vigilancia no pueda satisfacerse mediante otros medios que, sin que exijan unos esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas. Es decir, el uso de instalaciones o videocámaras sólo es admisible cuando no exista un medio menos invasivo para la intimidad, por lo que habrá de estarse a cada caso concreto.

En este sentido, el Tribunal Constitucional, en su Sentencia 207/1996, determina que cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad viene determinada por la estricta observancia del principio de proporcionalidad. Para ello el TC considera necesario constatar si se cumplen tres siguientes requisitos o condiciones: “si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

Por otro lado, hay que tener en cuenta desde la entrada en vigor de la conocida como Ley Omnibus, las exigencias de los ficheros de videovigilancia son distintas atendiendo a si el sistema está, o no, conectado a una central de alarma.[1]

3.-Cámaras en portales

Recordamos que la imagen de una persona identificada o identificable constituye un dato de carácter personal, por lo que su tratamiento está sujeto a la normativa de protección de datos, consecuencia de lo cual, para la instalación de cámaras de seguridad en un inmueble se debe tener en cuenta todo lo señalado a lo largo de este capítulo, y que sintetizamos, en la necesidad de inscribir un fichero de videovigilancia en la AEPD si se graban las imágenes (en caso contrario no sería necesario hacerlo); colocar carteles informativos en lugar visible; poner a disposición de los interesados impresos de ejercicios de derechos de acceso, cancelación u oposición (que pueden estar en poder del secretario o del presidente); contar con una empresa de seguridad habilitada para instalar las cámaras en el caso de que estén conectadas a una central de alarma, y suscribir con ésta empresa, un acuerdo de acceso a datos por cuenta de terceros, tal y como exige el artículo 12 de la LOPD; cumplir con las medidas de seguridad de nivel básico; y proceder a la cancelación de los ficheros de videovigilancia en el plazo de un mes.

No obstante, al tratarse de la captación de imágenes en zonas o elementos comunes de un inmueble destinado a viviendas, debe tenerse en cuenta, además, lo previsto en la Ley 49/1960, de 21 de julio, de Propiedad Horizontal, siendo preciso contar con la aprobación de los propietarios del inmueble, acordándose la instalación de videocámaras, en Junta de Propietarios en la forma prevista en el artículo 17 de dicha norma, la cual considera que para la validez de este tipo de acuerdos basta el voto de la mayoría del total de los propietarios que, a su vez, representen la mayoría de las cuotas de participación. En segunda convocatoria será válido el acuerdo adoptado por la mayoría de los asistentes, siempre que ésta represente, a su vez, más de la mitad del valor de las cuotas de los presentes.

Finalmente, debe tenerse en cuenta que las cámaras solo se deben orientar a las zonas comunes del inmueble, nunca hacia alguna de las viviendas, evitando, igualmente, su orientación hacia la vía pública.

Por otro lado, no es legal instalar cámaras en un portal de una comunidad de propietarios cuyo visionado se realiza por todos los vecinos a través de un canal de televisión, y que la AEPD (Informe jurídico 0335/2009) considera que esta opción no concuerda con el principio de proporcionalidad.

4.-Instalación de cámaras en centros comerciales.

Aunque es frecuente la instalación en los centros comerciales de monitores de visualización de las cámaras, dónde todos los clientes que acceden y/o trabajadores pueden ver las imágenes en tiempo real, con un claro efecto disuasorio, la AEPD considera este sistema como vulnerador del principio de proporcionalidad, ya que se produce una visualización indiscriminada si se instalan estos monitores en zonas de acceso no restringido y controlado.

5.-¿Qué tiene que tener en cuenta una empresa, organización o entidad que pretenda instalar un sistema de videovigilancia con conexión a una central de alarmas?

Para que un responsable del fichero pueda instalar legalmente una cámara de videovigilancia en aquellos supuestos en los que el sistema se pretende que esté conectado a una central de alarmas, debe advertirse que, o bien cuenta con el consentimiento de todos los afectados[2], algo muy improbable en la práctica, o bien el sistema se debe ser instalado por una empresa de seguridad habilitada por el Ministerio de Interior, como veremos a continuación.

De este modo, atendiendo a lo establecido, además de en la normativa sobre protección de datos, a la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) y a el Reglamento de Seguridad Privada, aprobado por Real Decreto 2364/1994, de 9 de diciembre (RSP), sólo se permite instalar sistemas de videovigilancia con conexión a una central de alarmas teniendo en cuenta que sólo pueden prestar, o desarrollar, los servicios de instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, entre ellos, las cámaras de videovigilancia, las empresas de seguridad y el personal de seguridad privada, integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados [3].

Además, es imprescindible que la empresa de seguridad haya dado cumplimiento a los requisitos formales establecidos en la LSP, es decir, que estén inscritas en el Registro correspondiente[4] y haya comunicado el contrato al Ministerio del Interior[5].

En consecuencia, y tal y como señala la AEPD, en su Informe Jurídico de 5 de febrero de 2007, siempre que se haya dado cumplimiento a los requisitos formales establecidos en la LSP, las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación.

6.-Consideraciones acerca de quien es considerado responsable del fichero y quien encargado del tratamiento.

Se considera como responsable del fichero a la empresa u organización que decide instalar el sistema de videovigilancia, dado que decide sobre la finalidad, contenido y uso del tratamiento, requisitos necesarios para considerarla responsable del fichero, al amparo del artículo 3.d) de la LOPD. Con independencia de que el responsable encargue a una empresa la gestión del sistema de las cámaras y videocámaras. En este caso, se considera a dicha empresa como encargada del tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, dado que su actividad debería quedar limitada única y exclusivamente a la prestación de este servicio.

En todo caso, a las empresas de seguridad, como encargadas del tratamiento les compete el deber de asesorar a los particulares sobre la adecuación a la normativa sobre protección de datos de las instalaciones de videovigilancia, según se deriva del artículo 5 de la LSP.

Implementar un sistema de videovigilancia en una entidad (empresa, comunidad de vecinos….) puede dar lugar a varios tipos de prestaciones por parte de la empresa de seguridad. En cualquier caso, si dicha empresa externa, después de la instalación (o incluso en su labor de mantenimiento técnico) no tiene acceso a las imágenes no posee la condición de encargado de tratamiento correspondiendo al responsable, que la contrató, la adaptación de la instalación a los requisitos normativos.

En caso, contrario, si la empresa de seguridad además de instalar y mantener el sistema de videovigilancia, tiene acceso (inmediato o en remoto) a las imágenes, será considerada encargada del tratamiento y la obligatoriedad de suscribir un contrato de acceso a datos por cuenta de terceros y observar el resto de previsiones normativas que se detallan en los artículos 12 de la LOPD y 20 y siguientes del RLOPD.

Es muy habitual que las empresas de seguridad presten servicios combinados de central de alarmas y videovigilancia de modo que cuando se activa la alarma se verifica directamente las imágenes por el personal de la empresa de seguridad.

Debe tenerse en cuenta que nos estamos refiriendo a cuando los clientes de las empresas de seguridad, sean empresas u órganos corporativos, ya que si el servicio está instalado en un domicilio particular, y sólo se accede a las imágenes cuando salte el dispositivo de la alarma, en este caso, no se considera al particular responsable del tratamiento, pues la instalación del sistema en su domicilio, excluye la aplicación de la LOPD, al tratarse de un ámbito personal y doméstico, según establece el artículo 2.a de la LOPD. Sin embargo, la empresa de seguridad cuando instala el mencionado sistema en el domicilio particular de su cliente, adquiere la condición de responsable del fichero de gestión de sistemas de videovigilancia con acceso a las imágenes de sus clientes, cuando éstos sean personas físicas y el sistema de seguridad con acceso a imágenes se efectúe en su domicilio particular, dado que no resulta aplicable la excepción antes mencionada.

7.-Sistemas de videovigilancia no conectados a una central de alarmas.

Por aplicación de lo establecido en el artículo 14 de la Ley 25/2009, de 22 de diciembre, (conocida como Ley Omnibus) se permite que, en los supuestos en los que el sistema de videovigilancia no esté conectado a una central de alarma, cualquier particular o empresa, cuya actividad no sea la propia de una empresa de seguridad privada, pueda instalar y mantener dichos equipos de videovigilancia, legitimando a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, siendo dicho tratamiento conforme a lo previsto en la LOPD.

Es decir, para la mayor parte de los supuestos de videovigilancia, una vez ha entrado en vigor la Ley Omnibus(el 27 de diciembre de 2009), ha implicado, siempre que el sistema no esté conectado a una central de alarma, la no necesidad de contar con una empresa de seguridad privada para su puesta en funcionamiento, ni cumplir con las obligaciones de notificación del contrato al Ministerio del Interior.

8.-Obligaciones que tiene una empresa, organización o entidad que pretenda instalar un sistema de videovigilancia en sus instalaciones.

Siguiendo la Instrucción 1/2006 y los abundantes informes y recomendaciones de la AEPD el responsable del fichero de videovigilancia debe tener en cuenta los siguientes aspectos:

  • Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. No obstante, podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.

No sería admisible la captación de imágenes en espacios protegidos por el derecho a la intimidad como los interiores de viviendas cercanas, en baños o vestuarios o en espacios físicos ajenos al específicamente protegido por la instalación.

  • Los responsables que cuenten con sistemas de videovigilancia deben cumplir con el deber de información previsto en el artículo 5 de la LOPD. A tal fin deben proceder a la colocación, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, que incluya las palabras: «ZONA VIDEOVIGILADA». El distintivo deberá ubicarse, como mínimo, en los accesos a las zonas vigiladas, sean estos exteriores o interiores. Debe tenerse en cuenta que si el lugar vigilado dispone de varios accesos se debe colocar en todos ellos al objeto de que la información sea visible con independencia de por donde se acceda. La AEPD señala que el cartel se encuentre dentro del campo de visión natural del afectado, esto es, a la altura de sus ojos.

  • Tener a disposición de los interesados impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD, es decir, «que sus datos se incorporarán al fichero (…) y serán tratados por (…) cuya dirección es (…) con fines de seguridad a través de cámaras de videovigilancia, que los destinatarios de los datos serán (…). Puede ejercer sus derechos de acceso, rectificación, cancelación u oposición ante (…)» El uso del cartel informativo y del impreso, no excluye la existencia de métodos adicionales de información como, por ejemplo, la publicación en el sitio web de la entidad, acerca de la política de privacidad, o proporcionar información a la representación sindical de la existencia de videovigilancia en las instalaciones. Por tanto, los afectados deberán poder dirigirse a la dirección señalada en el cartel informativo a los efectos de poder ejercitar sus derechos, que coincidirá con el domicilio del responsable, pues así se dispone en el artículo 5 de la citada LOPD, que sigue resultando aplicable a los ficheros creados a partir de las imágenes de las personas.

· Tal y como recuerda el Informe Jurídico 0070/2010 de la AEPD, todo lo previsto en la Instrucción 1/2006, de 12 de diciembre, resulta de aplicación a la captación de imágenes con independencia de que éstas se graben o no, siendo la única excepción la contenida en su artículo 7 en materia de notificación de ficheros, que como antes apuntamos, dispone en su número primero que “La persona o entidad que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la AEPD, para su inscripción en el Registro General de la misma.”, aclarando en el número segundo que “A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.“

9.-¿Una empresa o entidad está obligada a solicitar la inscripción de un fichero de videovigilancia en el Registro General de Protección de Datos (RGPD) en el caso de que no exista grabación de las imágenes?

Debemos partir por considerar que si se produce una grabación de las imágenes, el sistema de videovigilancia genera un fichero, por lo que el responsable deberá notificarlo previamente a la AEPD para su inscripción en el Registro General.

En el supuesto de que las cámaras que el responsable del fichero tiene instaladas no graben imágenes, limitándose a su reproducción en tiempo real, es preciso destacar lo dispuesto en el artículo 7.2 de la Instrucción 1/2006, donde se establece que, a estos efectos, no se considera fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real. En consecuencia, al amparo de lo dispuesto en los artículos 3 y 7.2 de la citada Instrucción 1/2006, la utilización de sistemas de videocámaras con fines de seguridad, que no graban imágenes, constituyen un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero. Por tanto, la inscripción en el RGPD no es necesaria si no se graban imágenes y se transmiten en tiempo real. En estos supuestos, no obstante, deben cumplirse el resto de deberes establecidos por la normativa de protección de datos y por la Instrucción 1/2006.

Cabe la posibilidad de que una entidad utilice simultáneamente un sistema de videovigilancia con fines de seguridad y de control laboral o de control el proceso productivo. En este supuesto, la inscripción de fichero en el Registro General de Protección de Datos deberá incluir ambas finalidades.

10.- Derechos de las personas cuyas imágenes han sido captadas por un sistema de videovigilancia. 

Como regla general, los interesados tienen derecho de acceso, cancelación u oposición frente al responsable o encargado del tratamiento de un fichero de videovigilancia. La dirección ante donde dirigir la solicitud debería ser visible en el cartel informativo, cuya presencia, como dijimos anteriormente, es del todo imprescindible.

El artículo 5 de la Instrucción 1/2006 se dedica al ejercicio de derechos en el ámbito de la videovigilancia, que como veremos, posee perfiles específicos.

El interesado, tiene, en primer lugar el derecho de acceso, el cual, requiere aportar como documentación complementaria el incluir una imagen actualizada que permita al responsable verificar y contrastar la presencia del afectado en los registros.

Resulta prácticamente imposible acceder a imágenes sin que pueda verse comprometida la imagen de un tercero. Por ello, según indica la AEPD, puede facilitarse el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento.

Si se ejerciese el derecho de acceso ante el responsable de un sistema que únicamente reproduzca imágenes sin registrarlas deberá responderse en todo caso indicando la ausencia de imágenes grabadas.

Por otro lado, no resulta posible el ejercicio del derecho de rectificación, ya que por la naturaleza de los datos —imágenes tomadas de la realidad que reflejan un hecho objetivo—, se trataría del ejercicio de un derecho de contenido imposible, al igual que lo sería el derecho de oposición, ya que si éste se interpreta como la imposibilidad de tomar imágenes de un sujeto concreto en el marco de instalaciones de videovigilancia vinculadas a fines de seguridad privada no resultaría posible su satisfacción en la medida en la que prevalecería la protección de la seguridad.

En lo que respecta al derecho de cancelación, se rige por lo previsto en la LOPD sin especialidad alguna.

Finalmente se hace necesario recordar que el caso de que al interesado se le deniegue el ejercicio de estos derechos podrá instar la iniciación del procedimiento de tutela ante la AEPD, a que se refiere el artículo 18 de la LOPD.

11.-Permanencia temporal de las imágenes captadas por un sistema de videovigilancia.

Desde un punto de vista general la LOPD señala que los datos (en este caso, las imágenes) sólo se podrán conservar por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron, y en todo caso, según la Instrucción 1/2006, de 12 de diciembre, deben ser canceladas en el plazo de un mes desde su captación, lo que implica su bloqueo, pues así lo establece el artículo 16.3 de la LOPD.

En cuanto al modo de llevar a cabo el bloqueo, tal y como señala la AEPD en su Informe de 5 junio de 2007, se debe tratar de evitar la posibilidad de acceso a las imágenes por parte del personal que tuviera habitualmente tal acceso, limitándose el mismo a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto.

En cuanto al plazo de conservación de las imágenes bloqueadas, la AEPD se ha manifestado en varias ocasiones al respecto (como por ejemplo, en el Informe 472/2009), señalando que resulta imposible establecer una enumeración taxativa de los mismos, debiendo, fundamentalmente, tenerse en cuenta, los plazos de prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al responsable con el interesado, así como los derivados de la normativa aplicable o el plazo de prescripción de tres años, previsto en el artículo 47.1 de la LOPD, en relación con las conductas constitutivas de infracción muy grave. Es decir, para definir el período de bloqueo de los datos se deberá tener en cuenta el derecho aplicable, en el que se determinará los criterios de delimitación del mismo. Cuando este plazo no exista, como entendemos que ocurre en este supuesto, o cuando sea inferior a un año, se deberán tener en cuenta los plazos de prescripción de las infracciones a la LOPD que, en el caso de las muy graves es de tres años. Este podía ser el plazo de mantenimiento de las grabaciones y sus copias de seguridad, en su fase de bloqueo.

El plazo de un mes que se establece en la Instrucción para cancelar las imágenes es el mismo que el fijado en laLey Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos, donde en su artículo 8 señala que las grabaciones serán destruidas en el plazo máximo de un mes desde su captación.

Como es lógico, en aquellos casos en los que el responsable constatase la grabación de un delito o infracción administrativa que deba ser puesta en conocimiento de la autoridad, y la denunciase, deberá conservar las imágenes a disposición de la citada autoridad.

A modo de resumen, concluimos que las imágenes grabadas deben conservarse durante un mes, pasado el cual ese fichero (por ejemplo, la cinta que hace de soporte de las imágenes) debe pasar a una fase de bloqueo, guardando dichos soportes en un lugar restringido en la organización, estando, únicamente, a disposición de Jueces y Tribunales y de la Administración Pública. Pasados tres años, que duraría la fase de bloqueo, esas cintas que contienen imágenes (y en su caso sus copias de seguridad) deberán ser materialmente destruidos.

12.-Nivel de seguridad aplicable a los ficheros de videovigilancia.

El nivel de seguridad aplicable a los ficheros de imágenes captadas por sistemas de videovigilancia con fines de seguridad, se corresponde, con carácter general, con el nivel básico. Es decir, ello implica que deberá disponerse, entre otros, de un documento de seguridad, realizarse copia de seguridad semanal, dotarse de usuario y contraseña diferenciada a los usuarios autorizados.

Podría darse el caso de que sean de aplicación niveles de seguridad medio o alto, como ocurriría, por ejemplo, cuando la captación de imágenes tenga fines de selección de personal, o para verificar la respuesta a determinados estímulos en el ámbito de la psicología o la medicina.

El responsable de la instalación de las cámaras de videovigilancia debe cumplir con la obligación de garantizar la seguridad de las imágenes en los términos precisos que se contienen en la LOPD y en el RLOPD. Incluso, laInstrucción 1/2006, de 8 de noviembre, establece expresamente, en su artículo 8, que deben adoptarse las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos, evitando su alteración, pérdida, tratamiento o acceso no autorizado.

El RLOPD, señala concretamente, en su artículo 94.2, que debe existir un procedimiento de copias de respaldo o backup de los ficheros, al menos una vez a la semana. No se establece ninguna excepción a dicho deber, por lo que el mismo es aplicable a cualquier fichero automatizado entre los que se encuentran los resultantes de la grabación de imágenes con fines de videovigilancia.

El periodo de cancelación de estas copias de respaldo será el mismo que el establecido para el fichero originario. La Agencia se ha pronunciado al respecto de esta cuestión en su Informe 0672/2008.

13.- Sanciones que se establecen por no cumplir la normativa de protección de datos en materia de videovigilancia.

Las infracciones y las sanciones son las mismas que se establecen para cualquier tipo de vulneración en materia de protección de datos, las cuales se recogen en los artículos 44 y 45 de la LOPD. Así por ejemplo, las infracciones pueden ser sancionadas con multas que van desde los 600 euros (ausencia del cartel informativo) hasta los 300.000 euros (cesión a terceros de las imágenes).

Según la Memoria de la AEPD correspondiente al año 2009, el sector de videovigilancia recibió 721 denuncias y se situó como el segundo ámbito con mayor número de sanciones, tras el sector de telecomunicaciones. En concreto, se destaca como las sanciones por videovigilancia se incrementaron hasta las 117 sanciones, frente a las 27 registradas en el año 2008. Los principales motivos de denuncia y sanción, en este sector, fueron la ausencia de carteles informativos, la grabación o captación de imágenes de la vía pública y- antes de la entrada en vigor de la Ley Ómnibus-, la ausencia de contrato con una empresa de seguridad acreditada.

14.- Instalación de cámaras en guarderías o centros de educación infantil, con el fin de permitir a los padres o tutores el acceso a esas imágenes en tiempo real.

Es cada vez más frecuente que los centros educativos de educación infantil permitan a los progenitores acceder, incluso en tiempo real, a las imágenes de las clases y espacios de juego dónde se encuentran sus hijos. Obviamente estos tratamientos con datos personales (imágenes de los menores) están sometidos a la normativa de protección de datos.

Debido a que el tratamiento de las imágenes incumbe al profesorado, y al personal que presta servicios profesionales en el centro, éstos deberán otorgar su consentimiento a la captación de su imagen. Lo mismo ocurrirá respecto de los menores, cuyo consentimiento deberán otorgar sus padres o representantes legales, tal y como dispone el artículo 13 del RLOPD, cuando señala que “podrán tratarse los datos de los menores de catorce años con el consentimiento de padres o tutores.”

En el caso de obtenerse el consentimiento, tanto del profesorado y quienes presenten servicio en el mismo, como de los padres de los menores, las cámaras podrán instalarse, debiendo de informarse, por parte de la dirección del centro, de la existencia de las mismas a través de la instalación de los correspondientes carteles informativos; proceder a la inscripción del fichero correspondiente en el Registro General de Protección de Datos (si se tratara de una guardería pública, mediante la aprobación de la oportuna Disposición General que deberá publicarse en el Boletín Oficial correspondiente); así como adoptar las medidas de seguridad de nivel básico que se detallan en el RLOPD.

De cualquier modo, la decisión de instalar cámaras en una guardería implica que la dirección del centro defina claramente cual va a ser la finalidad para la captación de las imágenes de los menores que, en todo caso, debe ser muy cuidadoso con el principio de proporcionalidad y adecuación, y en particular debe atenderse a los usos adicionales con fines promocionales o de marketing, memorias escolares de actividad, o publicación en el sitio web del centro.

Igualmente debe garantizarse la seguridad y el secreto, en particular cuando el acceso a las imágenes se produzca a través de Internet, siendo imprescindible que éstas se encuentren en un lugar de acceso restringido en el sitio web, habiendo proporcionado, previamente a los padres, un nombre de usuario y una contraseña. Por otro lado, deben definirse los perfiles de acceso con el objeto de que se limite el acceso a los entornos en los que se encuentren sus hijos, nunca a otras aulas.

El tema de la instalación de cámaras en entornos escolares ha sido tratado por la Guía de Videovigilancia, de la AEPD del año 2009, y por el Gabinete Jurídico de la Agencia en sus Informes 0274/2009 y 262/2006.

La Agencia, a través de su Gabinete Jurídico, en el Informe 0648/2009, no considera adecuado la instalación de cámaras en una piscina durante el desarrollo de un curso con menores, con el fin de que los padres puedan tener un control visual de la actividad.

Se consulta a la AEPD la posibilidad de instalar cámaras de videovigilancia dirigidas a una piscina municipal y a sus zonas perimetrales, con emisión de imágenes en tiempo real (sin grabación) en una pantalla instalada en la zona de entrada a las instalaciones, con el objeto de que, como medida de seguridad complementaria, durante un cursillo de natación dirigido a menores, los padres pudieran tener un control visual.

La AEPD toma en consideración, en este supuesto, el principio de proporcionalidad y el de calidad de los datos (artículo 4.1 LOPD), por el que se establece que solo se pueden tratar datos cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Por ello, el tratamiento de la imagen de los afectados debe ser proporcionado a la finalidad que lo motiva que no es otra, en este caso, que la seguridad de los menores. Recuerda la AEPD la doctrina del Tribunal Constitucional, fijada en su Sentencia 207/1996, donde se determina que cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad viene determinada por la estricta observancia del principio de proporcionalidad. Para ello el TC considera necesario constatar si se cumplen tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

Teniendo en cuenta estas premisas, el criterio de la Agencia es considerar que la seguridad de los menores puede lograrse de forma más idónea mediante la adopción de otro tipo de medidas que no pasan por la grabación, algo que de hacerse pudiera vulnerar el principio de proporcionalidad por lo que el tratamiento podría resultar contrario a lo establecido en la LOPD. Pero incluso si no se considerara vulnerado dicho principio de proporcionalidad, debe tenerse en cuenta que la difusión a través de una pantalla de televisión de la imagen de las personas que se encuentren en la piscina, (menores, monitores y cualquier otro usuario), imagen que puede ser vista por cualquier persona que se encuentre en el vestíbulo de la piscina, constituye una cesión de datos (artículo 11 LOPD) que exige que todos los afectados hayan prestado previamente su consentimiento.

15.- ¿Es necesario que la instalación de videocámaras IP y webcams sea realizado por una empresa de seguridad habilitada por el Ministerio del Interior?

Desde la entrada en vigor de la Ley Omnibus, la instalación y puesta en funcionamiento de videocámaras IP yWebcams capaces de transmitir datos en formato digital a través de Internet, salvo que estén conectadas con una central de alarmas, podrá ser realizado por cualquier persona, sin que sea ahora exigible la participación de una empresa de seguridad autorizada por el Ministerio del Interior. Según la AEPD estos sistemas deberán cumplir con el nivel de seguridad que corresponda conforme al RDLOPD y en particular se deberá contar con procedimientos de identificación y autenticación de los usuarios del sistema y no se permitirá el acceso de terceros no autorizados; se deberá garantizar la seguridad en el acceso a través de redes públicas de comunicaciones; y se tendrá en cuenta la naturaleza de la instalación al definir las obligaciones del personal.

16.- ¿Qué requisitos son necesarios para que una asociación o federación pueda proceder a grabar las asambleas que se celebren?

La Agencia, a través de su Gabinete Jurídico, ha tratado este tema en su Informe 0112/2009, concluyendo que es conforme a la normativa de protección de datos grabar con medios audiovisuales las asambleas que se celebren en una asociación o federación siempre que se cuente con el consentimiento de los interesados, salvo en el supuesto de que dicho tratamiento (la posibilidad de grabar las reuniones) conste en los estatutos de la federación o asociación, ya que, el asociado por el hecho de adquirir tal condición debe conocerlos y aceptarlos, de modo que es posible considerar que su incorporación a la asociación o federación, implica la creación de una relación jurídica entre aquél y ésta, cuyos términos serán fijados por los propios estatutos. Por otro lado, debe tenerse muy en cuenta que el uso de esas imágenes quedará delimitado por la finalidad que se haya previsto a tal efecto en los estatutos.

17.- ¿Es legalmente posible instalar webcams que transmitan imágenes sobre exteriores en una ciudad? ¿Estaría sometido este tratamiento a la normativa sobre protección de datos?

Únicamente quedaría fuera del ámbito de aplicación de la normativa de protección de datos este tipo de tratamientos siempre que la captación de imágenes se circunscriban a paisajes o panorámicas y no permitan identificar a las personas cuya imagen pueda ser captada. Es decir, no habría limitación alguna y dicha difusión de imágenes podría producirse a través de Internet sin mayor problema.

No obstante, la captación de imágenes de la vía pública de personas identificadas o identificables y fuera de un ámbito estrictamente privado o domestico se encuentra reservada, con carácter exclusivo, a las Fuerzas y Cuerpos de Seguridad del Estado con fines de videovigilancia, en consonancia con lo establecido en la Ley Orgánica 4/1997, de 4 de agosto. Resulta, por lo tanto, contrario a la normativa de protección de datos, salvo en el caso de panorámicas o paisajes, la captación y difusión de imágenes de la vía pública en las que pueda identificarse a las personas, y mucho menos difundirlo a través de Internet, ya que se excedería el ámbito privado o doméstico, por lo que se produciría una vulneración de la LOPD.

Este es el criterio de la AEPD, tal y como se desprende de los Informes Jurídicos 102/2008 y 285/2010 y de lasRecomendaciones derivadas del Plan Sectorial de Oficio sobre videocámaras en Internet, de junio de 2009.

18.- Instalación de cámaras en los centros de trabajo.

El artículo 20.3 del Estatuto de los Trabajadores (Real Decreto Legislativo 1/1995, de 24 de marzo) establece que el empresario puede adoptar las medidas que estime oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana.

Según el criterio seguido por la AEPD (entre otros, véase el Informe Jurídico 323/2007) y por la jurisprudencia (por ejemplo, STS de 18 de junio de 2006), ésta previsión normativa no legitima por si sola que el empresario instale cámaras de videovigilancia, es decir, que realice un tratamiento de las imágenes en el centro de trabajo. No obstante, este tratamiento a través de videovigilancia si que será posible, aun sin contar con el consentimiento del afectado, en caso de que los trabajadores hayan sido debidamente informados de la existencia de esta medida. Dichas medidas deben haber sido hechas constar expresamente al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.

Por otro lado, la normativa exige su comunicación a los representantes de los trabajadores, en tanto que el artículo 64.1 del Estatuto de los Trabajadores dispone que el comité de empresa tiene derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, y en el punto 5 que el comité de empresa tiene derecho a emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por éste, sobre las siguientes cuestiones, entre otras, el apartado f) se refiere a la implantación y revisión de sistemas de organización y control del trabajo.

La instalación de cámaras de vigilancia en los centros de trabajo es una práctica que se encuentra plenamente sometida a la LOPD y la Instrucción 1/2006 y por tanto, el responsable debe tener en cuenta lo siguiente:

  • Conforme a lo exigido por el artículo 4.2 LOPD, los datos (es decir, las imágenes grabadas) no podrán ser utilizadas por parte del empresario, para fines distintos que los propios de vigilancia y control.

  • Deberán respetar el principio de proporcionalidad, es decir, el empresario podrá adoptar esta medida cuando no exista otra más idónea para conseguir los fines perseguidos de vigilancia y control. En este sentido, el Tribunal Constitucional en Sentencia de 10 de julio de 2000, consideró que la instalación de videovigilancia con la finalidad de control en determinados puestos laborales, era conforme al principio de proporcionalidad. [6]

  • Sólo se deben captar imágenes en los espacios indispensables para satisfacer las finalidades de control laboral. En este sentido, deben respetarse los derechos específicos de los trabajadores, como por ejemplo, a la intimidad, en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso; o el derecho a la propia imagen de los trabajadores, además de la vida privada en el entorno laboral no registrando en particular las conversaciones privadas.

En principio, la captación de audio podría desbordar el principio de proporcionalidad [7], según señaló el Tribunal Constitucional en su Sentencia 98/2000, considerando que es una intromisión ilegítima en el derecho a la intimidad [8].

  • Se debe garantizar el cumplimiento del principio de información en la recogida de las imágenes, mediante la presencia de carteles informativos y tener a disposición de los interesados impresos para el ejercicio de los derechos de acceso y cancelación.

  • Se recomienda que con el objeto de reforzar el principio de información, además de la comunicación a la representación sindical, como con anterioridad señalamos, se disponga de información referente a la existencia de un sistema de videovigilancia en tablones de anuncios o en la intranet corporativa de la empresa, en el caso de existir.

  • La empresa debe proceder, en su caso, a la inscripción del fichero de videovigilancia en el Registro General de Protección de Datos; deberá proceder a cancelar las imágenes en el plazo de un mes, pudiendo conservar aquellas que registren una infracción o incumplimiento de los deberes laborales; y deberá, dar cumplida respuesta a los derechos de acceso y cancelación que potencialmente pudieran solicitar los trabajadores.

  • Se deberían formalizar, en su caso, contratos de acceso a los datos por cuenta de terceros, por mandato del artículo 12 de la LOPD y 20 y siguientes del RLOPD, en el supuesto que intervengan empresas de seguridad en el mantenimiento del sistema, y ello implique un acceso a las imágenes, ya sea este puntual o continuado.

  • Y por último, deberán adoptarse las correspondientes medidas de seguridad.

19.- ¿Un trabajador puede ejercitar su derecho de oposición a ser grabado durante la jornada laboral?

Se trata de un derecho de ejercicio imposible ya que el artículo 20.3 del ET excluye la oposición. Aunque se base en una concreta situación personal, las videocámaras tienen por objeto grabar el conjunto del entorno de trabajo y a otros trabajadores. En definitiva, si se respetan las condiciones previstas por la LOPD, y que hemos detallado en la cuestión previa, prevalece el interés del empresario.

20.- Acceso a las grabaciones del centro de trabajo por parte de los representantes de los trabajadores.

Los representantes de los trabajadores tienen atribuidas, entre otras funciones, la del ejercicio de vigilancia en el cumplimiento de las normas vigentes en materia laboral, así como el resto de pactos con la empresa, y la de vigilar y controlar las condiciones de seguridad e higiene en el desarrollo del trabajo, por expresa habilitación del artículo 64.1.9 del ET.

Los representantes de los trabajadores (comité de empresa, delegados de personal, sindicales, de prevención, etc.) no son órganos de la empresa, por lo que la puesta a su disposición de los instrumentos de videovigilancia, o entrega total o parcial de las imágenes de los trabajadores, constituye una cesión de datos, sujeta a los requisitos del artículo 11 de la LOPD. Lo cual implica que es necesario el consentimiento de los trabajadores afectados (es decir, de todos los que hayan sido captados por las cámaras).

Los representantes de los trabajadores no son titulares del derecho de acceso a los datos personales (a las imágenes). Se trata de un derecho personalísimo que solo puede ejercitar el propio trabajador interesado, salvo que éste haya otorgado un poder específico para ello, por lo que bien pudiera atribuirse expresamente dicha posibilidad de ejercicio a un representante de los trabajadores.

21.- Intervención de detectives privados que realizan operaciones de videovigilancia de los trabajadores que están de baja.

Tal y como establecen los artículos 19 de la Ley 23/1992 y 101 del RD 2364/1994, los detectives privados, a solicitud de personas físicas o jurídicas, pueden obtener y aportar información y pruebas sobre conductas o hechos privados, que afecten, entre otros, al ámbito laboral, como por ejemplo, con el fin de controlar durante la situación de incapacidad temporal del trabajador, la realización de actividades profesionales o lúdicas de posible incidencia negativa sobre la recuperación de la capacidad laboral . En numerosas sentencias se concluye en el carácter indiscutible de la grabación de imágenes por parte de los detectives privados, como prueba determinante de la conducta ilícita del trabajador durante su periodo de baja. [9]

En estos supuestos, los detectives están obligados a seguir las instrucciones impartidas por las empresas (o las mutuas de accidente de trabajo) que los han contratado y a no utilizar, ni aplicar con un fin distinto esos datos personales. En definitiva, los detectives se configuran como encargados del tratamiento, por lo que resulta indispensable la existencia de un contrato de acceso a datos por cuenta de terceros con el responsable del fichero, es decir, la entidad que les contrate, según establece el artículo 12 de la LOPD y 20 y siguientes del RLOPD.


[1] Esta distinción se establece a partir de la entrada en vigor, el 27 de diciembre de 2009, de la Ley Omnibus (Ley 25/2009, de 22 de diciembre, de modificación de diversas Leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio). En concreto, el artículo 14 de la nueva Ley modifica el artículo 5.1 e) de la Ley 23/1992, de 30 de julio de Seguridad Privada, añadiendo una disposición adicional sexta a la Ley de Seguridad Privada con la siguiente redacción: «Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad: Los prestadores de servicios y las filiales de empresas de seguridad que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidas de la legislación de seguridad privada, siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación».

[2] Como decimos existiría legitimación para el uso de videovigilancia si se cuenta con el consentimiento del interesado. No obstante, son supuestos poco frecuentes que se han planteado en el caso de acceso a las imágenes de guarderías por parte de los padres o tutores de los menores.

[3]En este sentido, la AEPD en su Memoria correspondiente al año 2007, señaló que «las empresas de seguridad ostentan una legitimación específica para la realización de funciones de videovigilancia derivada de la Ley de Seguridad Privada y del Reglamento que la desarrolla. Pero esta legitimación opera respecto de las empresas de seguridad que hayan cumplido los requisitos de haber obtenido la oportuna autorización administrativa mediante su inscripción en el correspondiente registro del Ministerio del Interior. Estas exigencias, que traducen la acreditación de una actuación profesionalmente cualificada por parte de tales empresas, suscitan una reflexión sobre la diligencia que han de acreditar respecto del cumplimiento de las garantías establecidas en la LOPD, cuando sean contratadas para realizar actividades de videovigilancia; diligencia que debe estar en consonancia con la habilitación legal que ostentan vinculada a aquella profesionalidad».

[4] Artículo 7.1 del RSP: «Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior». La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que «únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas».

[5]. Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 de la LSP dispone que «Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios». El artículo 20 del RSP regula el procedimiento de notificación del contrato, la autoridad competente y el régimen aplicable a la contratación del servicio por las Administraciones Públicas y a supuestos excepcionales que exijan la inmediata puesta en funcionamiento del servicio.

[6] El Tribunal Constitucional, en reiteradas ocasiones (STC 99/1994, 6/1995, 186/2000, entre otras), ha señalado que “desde la prevalencia de los derechos fundamentales, su limitación por parte de las facultades empresariales sólo puede derivar del hecho de que la propia naturaleza del trabajo contratado implique la restricción del derecho”. De acuerdo con ello, la videovigilancia por motivos de seguridad, en la medida que implica un tratamiento con imágenes, es decir, con datos personales, y supone una restricción de derechos fundamentales del trabajador, debe entenderse en sentido restrictivo y limitado a los casos en que exista una necesidad real de seguridad. No obstante, el TC (STC 196/1987) se ha manifestado partidario de entender como interés constitucionalmente relevante la existencia de una finalidad de seguridad preventiva y genérica, y por lo tanto, entiendo, como parece entender la propia AEPD, que cabe emplearse medidas de videovigilancia con esa genérica finalidad en los centros de trabajo.

[7] La propia AEPD reconoce que pueden existir casos excepcionales como el de los teleoperadores online.

[8] La STC 98/2000, de 10 de abril, señala que «no ha quedado acreditado que la instalación del sistema de captación y grabación de sonidos sea indispensable para la seguridad y buen funcionamiento del casino. Así las cosas, el uso de un sistema que permite la audición continuada e indiscriminada de todo tipo de conversaciones, tanto de los propios trabajadores, como de los clientes del casino, constituye una actuación que rebasa ampliamente las facultades que al empresario otorga el artículo 20.3 del ET y supone, en definitiva, una intromisión ilegítima en el derecho a la intimidad consagrado en el artículo 18.1 de la CE».

[9] Así entre otras, las STSJ de Galicia, de 27 de noviembre de 2003 y de 20 de marzo de 2002; la STSJ de la Comunidad Valenciana, de 27 de abril de 2004; o la STSJ del País Vasco, de 25 de septiembre de 2001.

Colaborador: Abg. Javier Álvarez Hernando

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.