Principios jurídicos en la protección de datos: calidad de los datos

La gran mayoría de procedimientos sancionadores iniciados con ocasión de la infracción de este principio, se refieren al artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

No obstante, en la práctica, se infringe cualquiera de los aspectos referidos a la calidad de los datos.

▪ Art. 4.1: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

–      Procedimiento Nº PS/00175/2008. Establece la calidad de los datos como un principio básico de la protección de datos.

En el presente caso ha quedado acreditado que las imágenes captadas por la cámara pueden visualizarse en los televisores de los propietarios de la Comunidad de Vecinos, lo que supone un tratamiento no adecuado, pertinente y excesivo en relación con la finalidad de la instalación del sistema de videovigilancia por la Comunidad de Propietarios.

En este caso, la Comunidad de Propietarios, ha incurrido en las infracciones graves descritas ya que la calidad de datos y el consentimiento para el tratamiento de los datos personales, son principios básicos del derecho fundamental a la protección de datos, recogidos en los artículo 4 y 6 de la LOPD , habiendo tratado datos de las personas que pudieran haber sido captadas por la cámara de videovigilancia sin contar con su consentimiento, y sin que existiese constancia de que el sistema de videovigilancia del denunciado haya sido instalado por una empresa de seguridad, por lo que el tratamiento de los datos no se encuentra habilitado por la LSP.

Vemos que la AEPD habla de la calidad de los datos como principio básico del derecho fundamental a la protección de datos. También es interesante destacar de esta resolución, aunque no entre dentro de los principios jurídicos de la protección de datos, la referencia a la empresa de seguridad instaladora del sistema de videovigilancia. En la actualidad podemos ver que han proliferado estos sistemas de vigilancia, con cámaras que en muchas ocasiones son compradas e instaladas de manera particular y artesanal. La AEPD no va a pasar por alto este tipo de prácticas.

Comentar también el dato de que en el año 2008 sólo se dictaron 2 resoluciones en procedimientos sancionadores por infracción del artículo 4.1 LOPD.

▪ Art. 4.2: Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

–      Procedimiento Nº PS/00173/2008. Se trata de una resolución importantísima en su fundamento puesto que arroja luz a los términos “finalidades incompatibles”.

Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. A esta conclusión parece llegar también el propio Tribunal Constitucional cuando en su Sentencia 292/2000, de 30 de noviembre, establece: “el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros…Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”

Entendemos que la APED equipara “finalidades incompatibles” a “finalidades distintas”, por lo que el campo de actuación del artículo 4.2 se extiende considerablemente. Así lo resuelve la propia resolución, que concluye: “En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado”.

Otra cuestión importante sobre esta resolución es que hace uso de la facultades de los apartados 4 y 5 del artículo 45, que permiten modular la sanción en función del grado de intencionalidad y culpabilidad, alegando para ello el sancionado un error informático en el tratamiento de los datos (por otra parte habituales, aunque también es cierto que abren una vía de escape de responsabilidades).

En el año 2008 se dictaron 6 resoluciones en procedimientos sancionadores por infracción del artículo 4.2.

▪ Art. 4.3: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Art. 4.4: Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

Se trata de dos apartados, el 3 y el 4 del artículo 4 que más bien deberían de ser uno, puesto que la infracción del segundo implica la del anterior.

–      Procedimiento Nº PS/00421/2008. Referencia a la instrucción 1/1995 de la AEPD relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, supuesto muy común de aplicación del artículo 4.3 LOPD.

La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, abunda en este precepto y, en su Norma Primera, punto 1, establece lo siguiente:

“Norma primera. Calidad de los datos objeto de tratamiento.

1. La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” (artículo 29 de la LOPD) “deberá efectuarse solamente cuando concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.

b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.

3. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.

4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana.

De la instrucción 1/1995 de la AEPD se resuelve que, en los supuestos de servicios de información sobre solvencia patrimonial y crédito, la “veracidad y situación actual del afectado” que exige el art. 4.3 LOPD se concreta en la existencia de una deuda cierta, vencida y exigible que haya resultado impagada y un requerimiento previo de pago.

Estamos ante otro claro ejemplo donde la Agencia se remite a su propia función normativa para explicar los conceptos acuñados por la ley.

La importancia del artículo 4.3 LOPD y concretamente en los supuestos de solvencia patrimonial y crédito (los más habituales) queda patente en las 186 resoluciones recaídas en procedimientos sancionadores durante el año 2008, por infracción de este artículo.

▪ Art. 4.5: Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.

–      Procedimiento Nº PS/00104/2005. Tenemos que retroceder hasta el año 2006 para encontrar la única resolución por infracción del artículo 4.5 LOPD. No obstante, resulta muy reveladora la interpretación que sobre este precepto realiza la Agencia.

Por tanto, deberá procederse a la cancelación de los datos al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, como sucederá cuando se haya cumplido el contrato que vincula al responsable del tratamiento con su cliente, aunque, por virtud de la propia relación jurídica o por razón de las responsabilidades que pudieran derivarse de la misma, impuestas por una Ley, dicha cancelación deberá producirse mediante la modalidad de bloqueo de los datos de carácter personal sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado artículo 16.3, in fine de la citada LOPD, no implicará automáticamente su borrado físico. Así, la conservación de los datos prevista en el artículo 16.5 de la LOPD está sometida a determinadas condiciones con las que se pretende asegurar y garantizar el derecho del afectado a la protección de sus datos de carácter personal, de modo que el responsable del fichero no puede disponer de tales datos en la misma medida en que podría hacerlo en caso de que no procediera la cancelación de los mismos.

En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación, tal y como prevé el propio artículo 16.3 de la LOPD, al indicar que “cumplido el citado plazo deberá procederse a la supresión”.

A mi parecer, es importantísimo conocer esa diferencia entre cancelación y bloqueo del dato, matiz que queda perfectamente aclarado en los fundamentos de ésta resolución.

El bloqueo del dato implicaría su no utilización para los mismos fines para los que fue recabado, pero sí para el cumplimiento de otras posibles obligaciones, tales como las tributarias o de cooperación con la administración de justicia. Por otra parte, si con el bloqueo se pretende garantizar el derecho del afectado a la protección de datos, sería conveniente completar este proceso con la disociación del dato.

▪ Art. 4.6: Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Hasta la fecha no ha habido ninguna infracción de este precepto de la que haya tenido conocimiento la AEPD. También es cierto que es difícil pensar en una definición de fichero que no posibilite el ejercicio del derecho de acceso. A mi entender el acceso al dato es consustancial al concepto de fichero.

▪ Art. 4.7: Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

–      Procedimiento Nº PS/00076/2008. Es importante señalar que las infracciones del artículo 4.7 siempre van unidas a la infracción del artículo 6 (consentimiento del afectado). Por tanto en estos procedimientos nos encontramos con dos sanciones; teniendo en cuenta que la infracción del 4.7 está tipificada como muy grave, es de vital importancia la correcta motivación de estas resoluciones por la AEPD.

La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean obtenidos por medios lícitos y de esta forma sea conocida su utilización por los afectados, siendo los responsables de su obtención quienes responden del cumplimiento de esta obligación.

En este caso, la contratación del servicio puesto en cuestión en el presente procedimiento se realizó a través de la entidad Grupo Avanza. Sin embargo, el denunciante ha manifestado que no solicitó servicio alguno y que no firmó ningún contrato al respecto. Lo cual se ratifica porque no coinciden todos los datos que recogieron, ni la firma con la que se recoge en el DNI del denunciante.

Por tanto existen en el expediente elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos, con incumplimiento de la establecido en el citado artículo 4.7 de la LOPD, lo que permite considerar que la conducta imputada a Grupo Avanza ha quedado suficientemente acreditada.

Es a la entidad Grupo Avanza a la que corresponde acreditar que los datos del denunciante se obtuvieron con cumplimiento de las prescripciones legales y su incumplimiento la hace soportar las consecuencias legales al no haber acreditado la procedencia de los datos. Pues bien, en el presente caso, Grupo Avanza no ha acreditado el origen de los datos incorporados a los contratos de suministro, lo que supone una conducta desleal y fraudulenta.

Durante en año 2008 solo se resolvieron 4 expedientes relacionados con la infracción del artículo 4.7. Esto denota por un lado la gravedad y escasa frecuencia de la conducta tipificada y por otro el celo con el que la Agencia resuelve este tipo de infracciones. Hay que tener presente que estas conductas se sancionan con multas de 300.000 a 600.000 euros. Es por ello que en la resolución comentada la agencia haga hincapié en la existencia de “elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos”. Como hemos comentado anteriormente, este tipo de conductas va siempre unido a la infracción del artículo 6 LOPD (consentimiento del afectado). A la falta del citado consentimiento se une una intencionalidad fraudulenta, desleal e ilícita. En este sentido la conducta encajaría más en un tipo penal (de las defraudaciones) que en un ilícito administrativo.

Esta conexión del artículo 4.7 de la LOPD con los tipos penales de hurto o defraudaciones, nos plantea las importantes cuestiones emanadas de la STC 2/2003 sobre el principio del “non bis in idem”, y más teniendo en cuenta la gran diferencia que hay entre la pena asociada a una falta de hurto y una sanción “muy grave” impuesta por la AEPD. Si entendemos la mencionada doctrina como preferencia de la jurisdicción penal sobre la administrativa, en muchos casos la sentencia penal sería mucho más proporcionada y adecuada.

Los principios jurídicos en la protección de datos

El Título II de la LOPD está dedicado a los principios de la protección de datos. Estos principios o criterios tratan de perseguir y asegurar el fin último de la ley, que no es otro que la protección; sin información, consentimiento, seguridad, secreto, etc., no podríamos hablar de datos convenientemente protegidos.

Pues bien, la AEPD, en el ejercicio de sus potestades normativa y sancionadora incide directamente en esa protección, en la salvaguarda de los principios jurídicos en la protección de datos.

La LOPD regula esos principios en plano de igualdad, tan importante es el derecho a la información como el consentimiento del afectado, tan indispensable es la seguridad del dato como el deber de secreto en su tratamiento.

Pero en la práctica, de la propia actividad de la AEPD, se extraen conclusiones que inclinan la balanza sobre unos principios respecto de otros.

Al mismo tiempo las potestades de la Agencia desembocan en una labor interpretativa crucial de esos principios, orientativa y en ocasiones hasta reveladora, de vital importancia en un campo, la protección de datos, que se mueve de manera vertiginosa cogido de la mano de los avances tecnológicos.

En sucesivos artículos vamos a analizar recientes procedimientos sancionadores de la AEPD en busca de esos criterios interpretativos, clasificando el estudio según determinados principios jurídicos en la protección de datos recogidos en la LOPD: calidad de los datos, derecho de información en la recogida de los datos, consentimiento del afectado, seguridad de los datos, deber de secreto y comunicación de datos.

Protección de datos: responsabilidad en el ámbito laboral

Cuando hablamos de protección de datos surgen una serie de novedosos conceptos que con buen acierto y criterio (casi siempre) la propia ley se encarga de definir.

De entre esas nociones, aparece con especial trascendencia el concepto de Responsable del Fichero, persona (física o jurídica, pública o privada) que decide sobre la finalidad, contenido y uso del fichero que contiene datos de carácter personal (fichero y dato de carácter personal también definidos por la LOPD).

Sobre esta persona, el Responsable del Fichero, recae toda la responsabilidad de protección. Él es el que debe velar porque toda la normativa de protección de datos se destine precisamente a eso, a la efectiva protección.

Debe proceder a la notificación de ficheros a la AEPD, observar todo el elenco de medidas técnicas y organizativas destinadas a salvaguardar los datos, plasmarlas en un Documento de Seguridad, informar al interesado o afectado y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Pero ocurre que en el ámbito empresarial el Responsable del Fichero no efectúa el tratamiento de los datos de que es titular por sí mismo, sino que es su personal laboral (en exclusiva o conjuntamente con el propio Responsable) el que se encarga del tratamiento, del trabajo diario de relacionarse con datos de carácter personal.

Es por ello que la normativa sobre protección de datos (concretamente el Reglamento aprobado por el RD1720/2007 de 21 de diciembre, de desarrollo de la LOPD, art. 88) establece que las medidas recogidas en el Documento de Seguridad serán de obligado cumplimiento para el personal con acceso a los sistemas de información (es decir, a los sistemas, procesos o programas informáticos en los que se encuentran los datos de carácter personal). Y no es otro que el Responsable del Fichero (o el encargado del tratamiento, en su caso), el que debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (art. 89 RD 1720/2007 de 21 de diciembre de desarrollo de la LOPD).

Por un lado tenemos que el responsable de las infracciones que puedan cometerse en el ámbito de la protección de datos es el Responsable del Fichero; es quien debe recabar, informar y probar (llegado el caso) el consentimiento del afectado en la recogida de datos, implantar las medidas técnicas y organizativas destinadas a su protección, ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.

Por otro lado nos encontramos con que quien debe hacer efectivas, en la práctica, estas medidas, son los propios usuarios del fichero, el personal laboral (o estatutario) del Responsable del Fichero.

De ahí la importancia de que el Responsable del Fichero informe al personal de sus derechos y obligaciones así como de la observancia de todo el conjunto de medidas técnicas y organizativas destinadas a la protección del dato.

Pero se entiende que la actitud del Responsable del Fichero respecto de su personal no ha de ser meramente informativa, cuanto más, va a ser él quien responda de la posible falta de diligencia de sus trabajadores. Es por eso que la normativa de protección de datos habla de “obligado cumplimiento”.

Entonces, ¿cómo puede el empresario hacer efectiva esa obligación?¿está realmente legitimado?¿pueden responder sus trabajadores por el incumplimiento de esas obligaciones?

Es en este punto cuando nos remitimos al poder de dirección del empresario y su principal manifestación, el poder reglamentario, establecido en el Estatuto de los Trabajadores (artículo 20 ET):

1. El trabajador estará obligado a realizar el trabajo convenido bajo la dirección del empresario o persona en quien éste delegue.

2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

En relación con el artículo 5 del mismo cuerpo legal; deberes laborales básicos:

a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.

b) Observar las medidas de seguridad e higiene que se adopten.

c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.

La infracción de estos derechos-deberes por parte del trabajador nos lleva a la tercera potestad que el ET otorga al empresario: el poder disciplinario.

En palabras de Alonso García, el poder disciplinario es la facultad del empresario por la que éste puede imponer determinadas sanciones a los trabajadores ligados a él por relación laboral, cuando se den los supuestos determinantes de éstas, dentro de los límites legal o contractualmente señalados y con las garantías formalmente establecidas.

Los supuestos determinantes de las sanciones que el empresario puede imponer al trabajador no son otros que la propia infracción del artículo 20, que se resume en el deber de obediencia, de diligencia y de buena fe.

La sanción más grave que el empresario puede imponer en el ejercicio de su potestad disciplinaria es el despido, que sólo cabría en los incumplimientos por parte del trabajador establecidos en el artículo 54.2 del ET. Aunque es un artículo que debe interpretarse de modo restrictivo, la jurisprudencia ha establecido que en los supuestos de despido es necesario valorar las especiales circunstancias de cada caso, realizando una individualización del trabajador para determinar la sanción.

Podemos resumir que en las infracciones de la normativa sobre protección de datos será el Responsable del Fichero quien responda ante la AEPD, independientemente de que haya sido diligente a la hora de informar (y obligar) a sus trabajadores de sus obligaciones y medidas a adoptar en relación con la protección de datos, pero que si el empresario fue lo suficientemente cuidadoso en su política de protección de datos y la infracción se debe al incumplimiento o desidia del trabajador, aquel podría hacer uso de su potestad sancionadora, sin perjuicio de las posibilidades de repetición del Derecho Civil o incluso de las correspondientes penas que pudieran corresponder si la infracción de la protección de datos ha incluido la comisión de algún ilícito penal.

El boom de la Videovigilancia

En los últimos meses hemos sido testigos de la proliferación en la instalación de cámaras de videovigilancia, tanto en entidades públicas como en establecimientos privados. Desde el ayuntamiento de nuestra localidad hasta la cafetería de la esquina, pasando por todo tipo de comercios, dejan en evidencia una especie de fiebre por las grabaciones en vídeo, en pro (se supone) de la seguridad.

Se ha visto de todo; por ejemplo, una webcam colgada con cinta aislante de la puerta de un bar y un manuscrito justo debajo en el que se lee “en este bar hay cámaras” (y no se refieren a las frigoríficas).

Fruto de esta psicosis por la seguridad, la Agencia Española de Protección de Datos ha visto incrementada su potestad normativa, con la publicación de múltiples informes, la Instrucción 1/2006 sobre Videovigilancia y una guía sobre el mismo tema. Además, se ha pronunciado en multitud de resoluciones derivadas de procedimientos sancionadores, a partir de las cuales ha ido creando doctrina en la materia.

Dejaremos al margen la videovigilancia en lugares públicos por las Fuerzas y Cuerpos de Seguridad del Estado.

Partimos de que tanto la imagen como el sonido son datos de carácter personal: “cualquier información concerniente a personas físicas identificadas o identificables” (artículo 3 de la LOPD). O, con más precisión: “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable” (art. 1.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollaban determinados aspectos de la Ley Orgánica 5/1992, ya derogados).

Es obvio que la seguridad es un tema que preocupa a cualquier ciudadano, más todavía cuando hay un negocio que proteger e intereses económicos que salvaguardar. En este contexto surge la mayor parte de las instalaciones de cámaras de videovigilacia.

Lo primero que debiéramos plantearnos, antes de proponernos vigilar y cuidar de nuestros intereses, es si dicha práctica puede hacerse a cualquier precio. Ésta es la primera cuestión, la médula espinal sobre la que debe constituirse la videovigilancia y que no es otra que el respeto al principio de proporcionalidad.

La proporcionalidad, doctrina emanada del Tribunal Constitucional, exige que cualquier medida restrictiva de derechos fundamentales (en este caso la intimidad) ha de ser proporcionada al fin perseguido. En concreto, la videovigilancia ha de ser una medida adecuada, pertinente y no excesiva en relación con la finalidad perseguida y que haya justificado la instalación de cámaras. Además, la proporcionalidad requiere que esos fines no puedan alcanzarse a través de otros medios, menos intrusivos para los derechos fundamentales.

Los principios jurídicos en la protección de datos, concretamente la calidad de los datos, ya nos advierten de la observancia de la proporcionalidad: Art. 4.1 LOPD: “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Llegados a este punto cabe plantearnos ¿es proporcionada la grabación del sonido junto con la imagen? La respuesta sería que, en la mayoría de casos, no. La sola grabación de imagen sería suficiente para los fines de vigilancia y todo lo demás sería excesivo en relación con la finalidad perseguida.

La segunda cuestión sería la instalación en sí. Es importante tener clara una cosa: la instalación casera en establecimientos abiertos al público de webcams y todo tipo de microcámaras “made in” que se venden por internet es ILEGAL.

La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) establece en su artículo 1.2 que “únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”. Entre esas actividades que sólo puede realizar el personal de seguridad privada autorizado, se encuentran “la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad” (art. 5.1 LSP). Todas estas previsiones se reiteran en el Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre.

Para rizar el rizo se establece que no vale cualquier empresa de seguridad, sino aquéllas que han obtenido la oportuna autorización administrativa mediante su inscripción en un registro del Ministerio del Interior. Y para finalizar con la burocracia administrativa en la instalación de cámaras de videovigilancia, es preceptivo que el contrato de prestación de servicios de seguridad tenga que comunicarse al Ministerio del Interior antes de la puesta en marcha de los dispositivos de grabación.

Una vez tengamos instaladas nuestras cámaras, porque es adecuado a los fines que perseguimos y hemos seguido los trámites legales en su implantación, es hora de ponerse en marcha con la adecuación a la LOPD.

Como consecuencia de las grabaciones obtenidas por nuestro sistema de videovigilancia tendremos como resultado un fichero y un tratamiento, que hay que comunicar al Registro General de la Agencia Española de Protección de Datos.

Tendremos, además,  que recabar el consentimiento de los afectados (con los famosos carteles informativos de “zona videovigilada”) y facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; sin olvidarnos del Documento de Seguridad, en el que deben quedar recogidas todas las medidas de índole técnica y organizativa que estamos llevando a cabo para la efectiva protección de los datos de carácter personal.

ACTUALIZACIÓN:
La cosa cambia sustancialmente en lo relativo a la instalación de cámaras de videovigilancia a partir de la entrada en vigor de la Ley 25/2009 de 22 de diciembre (conocida como “Ley Omnibus”), que en su artículo 14 modifica la Ley 23/1992, de 30 de julio, de Seguridad Privada. Desde entonces se permite la instalación de estas cámaras por particulares y empresas aún sin la autorización administrativa del Ministerio del Interior (cuestión muy controvertida). Este es el criterio que sigue la AEPD, plasmado en su informe 650/2009 y confirmado en nota de prensa de 30 de diciembre de 2009.