Los principios jurídicos en la protección de datos

El Título II de la LOPD está dedicado a los principios de la protección de datos. Estos principios o criterios tratan de perseguir y asegurar el fin último de la ley, que no es otro que la protección; sin información, consentimiento, seguridad, secreto, etc., no podríamos hablar de datos convenientemente protegidos.

Pues bien, la AEPD, en el ejercicio de sus potestades normativa y sancionadora incide directamente en esa protección, en la salvaguarda de los principios jurídicos en la protección de datos.

La LOPD regula esos principios en plano de igualdad, tan importante es el derecho a la información como el consentimiento del afectado, tan indispensable es la seguridad del dato como el deber de secreto en su tratamiento.

Pero en la práctica, de la propia actividad de la AEPD, se extraen conclusiones que inclinan la balanza sobre unos principios respecto de otros.

Al mismo tiempo las potestades de la Agencia desembocan en una labor interpretativa crucial de esos principios, orientativa y en ocasiones hasta reveladora, de vital importancia en un campo, la protección de datos, que se mueve de manera vertiginosa cogido de la mano de los avances tecnológicos.

En sucesivos artículos vamos a analizar recientes procedimientos sancionadores de la AEPD en busca de esos criterios interpretativos, clasificando el estudio según determinados principios jurídicos en la protección de datos recogidos en la LOPD: calidad de los datos, derecho de información en la recogida de los datos, consentimiento del afectado, seguridad de los datos, deber de secreto y comunicación de datos.

Protección de datos: responsabilidad en el ámbito laboral

Cuando hablamos de protección de datos surgen una serie de novedosos conceptos que con buen acierto y criterio (casi siempre) la propia ley se encarga de definir.

De entre esas nociones, aparece con especial trascendencia el concepto de Responsable del Fichero, persona (física o jurídica, pública o privada) que decide sobre la finalidad, contenido y uso del fichero que contiene datos de carácter personal (fichero y dato de carácter personal también definidos por la LOPD).

Sobre esta persona, el Responsable del Fichero, recae toda la responsabilidad de protección. Él es el que debe velar porque toda la normativa de protección de datos se destine precisamente a eso, a la efectiva protección.

Debe proceder a la notificación de ficheros a la AEPD, observar todo el elenco de medidas técnicas y organizativas destinadas a salvaguardar los datos, plasmarlas en un Documento de Seguridad, informar al interesado o afectado y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Pero ocurre que en el ámbito empresarial el Responsable del Fichero no efectúa el tratamiento de los datos de que es titular por sí mismo, sino que es su personal laboral (en exclusiva o conjuntamente con el propio Responsable) el que se encarga del tratamiento, del trabajo diario de relacionarse con datos de carácter personal.

Es por ello que la normativa sobre protección de datos (concretamente el Reglamento aprobado por el RD1720/2007 de 21 de diciembre, de desarrollo de la LOPD, art. 88) establece que las medidas recogidas en el Documento de Seguridad serán de obligado cumplimiento para el personal con acceso a los sistemas de información (es decir, a los sistemas, procesos o programas informáticos en los que se encuentran los datos de carácter personal). Y no es otro que el Responsable del Fichero (o el encargado del tratamiento, en su caso), el que debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (art. 89 RD 1720/2007 de 21 de diciembre de desarrollo de la LOPD).

Por un lado tenemos que el responsable de las infracciones que puedan cometerse en el ámbito de la protección de datos es el Responsable del Fichero; es quien debe recabar, informar y probar (llegado el caso) el consentimiento del afectado en la recogida de datos, implantar las medidas técnicas y organizativas destinadas a su protección, ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.

Por otro lado nos encontramos con que quien debe hacer efectivas, en la práctica, estas medidas, son los propios usuarios del fichero, el personal laboral (o estatutario) del Responsable del Fichero.

De ahí la importancia de que el Responsable del Fichero informe al personal de sus derechos y obligaciones así como de la observancia de todo el conjunto de medidas técnicas y organizativas destinadas a la protección del dato.

Pero se entiende que la actitud del Responsable del Fichero respecto de su personal no ha de ser meramente informativa, cuanto más, va a ser él quien responda de la posible falta de diligencia de sus trabajadores. Es por eso que la normativa de protección de datos habla de “obligado cumplimiento”.

Entonces, ¿cómo puede el empresario hacer efectiva esa obligación?¿está realmente legitimado?¿pueden responder sus trabajadores por el incumplimiento de esas obligaciones?

Es en este punto cuando nos remitimos al poder de dirección del empresario y su principal manifestación, el poder reglamentario, establecido en el Estatuto de los Trabajadores (artículo 20 ET):

1. El trabajador estará obligado a realizar el trabajo convenido bajo la dirección del empresario o persona en quien éste delegue.

2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

En relación con el artículo 5 del mismo cuerpo legal; deberes laborales básicos:

a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.

b) Observar las medidas de seguridad e higiene que se adopten.

c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.

La infracción de estos derechos-deberes por parte del trabajador nos lleva a la tercera potestad que el ET otorga al empresario: el poder disciplinario.

En palabras de Alonso García, el poder disciplinario es la facultad del empresario por la que éste puede imponer determinadas sanciones a los trabajadores ligados a él por relación laboral, cuando se den los supuestos determinantes de éstas, dentro de los límites legal o contractualmente señalados y con las garantías formalmente establecidas.

Los supuestos determinantes de las sanciones que el empresario puede imponer al trabajador no son otros que la propia infracción del artículo 20, que se resume en el deber de obediencia, de diligencia y de buena fe.

La sanción más grave que el empresario puede imponer en el ejercicio de su potestad disciplinaria es el despido, que sólo cabría en los incumplimientos por parte del trabajador establecidos en el artículo 54.2 del ET. Aunque es un artículo que debe interpretarse de modo restrictivo, la jurisprudencia ha establecido que en los supuestos de despido es necesario valorar las especiales circunstancias de cada caso, realizando una individualización del trabajador para determinar la sanción.

Podemos resumir que en las infracciones de la normativa sobre protección de datos será el Responsable del Fichero quien responda ante la AEPD, independientemente de que haya sido diligente a la hora de informar (y obligar) a sus trabajadores de sus obligaciones y medidas a adoptar en relación con la protección de datos, pero que si el empresario fue lo suficientemente cuidadoso en su política de protección de datos y la infracción se debe al incumplimiento o desidia del trabajador, aquel podría hacer uso de su potestad sancionadora, sin perjuicio de las posibilidades de repetición del Derecho Civil o incluso de las correspondientes penas que pudieran corresponder si la infracción de la protección de datos ha incluido la comisión de algún ilícito penal.

El boom de la Videovigilancia

En los últimos meses hemos sido testigos de la proliferación en la instalación de cámaras de videovigilancia, tanto en entidades públicas como en establecimientos privados. Desde el ayuntamiento de nuestra localidad hasta la cafetería de la esquina, pasando por todo tipo de comercios, dejan en evidencia una especie de fiebre por las grabaciones en vídeo, en pro (se supone) de la seguridad.

Se ha visto de todo; por ejemplo, una webcam colgada con cinta aislante de la puerta de un bar y un manuscrito justo debajo en el que se lee “en este bar hay cámaras” (y no se refieren a las frigoríficas).

Fruto de esta psicosis por la seguridad, la Agencia Española de Protección de Datos ha visto incrementada su potestad normativa, con la publicación de múltiples informes, la Instrucción 1/2006 sobre Videovigilancia y una guía sobre el mismo tema. Además, se ha pronunciado en multitud de resoluciones derivadas de procedimientos sancionadores, a partir de las cuales ha ido creando doctrina en la materia.

Dejaremos al margen la videovigilancia en lugares públicos por las Fuerzas y Cuerpos de Seguridad del Estado.

Partimos de que tanto la imagen como el sonido son datos de carácter personal: “cualquier información concerniente a personas físicas identificadas o identificables” (artículo 3 de la LOPD). O, con más precisión: “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable” (art. 1.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollaban determinados aspectos de la Ley Orgánica 5/1992, ya derogados).

Es obvio que la seguridad es un tema que preocupa a cualquier ciudadano, más todavía cuando hay un negocio que proteger e intereses económicos que salvaguardar. En este contexto surge la mayor parte de las instalaciones de cámaras de videovigilacia.

Lo primero que debiéramos plantearnos, antes de proponernos vigilar y cuidar de nuestros intereses, es si dicha práctica puede hacerse a cualquier precio. Ésta es la primera cuestión, la médula espinal sobre la que debe constituirse la videovigilancia y que no es otra que el respeto al principio de proporcionalidad.

La proporcionalidad, doctrina emanada del Tribunal Constitucional, exige que cualquier medida restrictiva de derechos fundamentales (en este caso la intimidad) ha de ser proporcionada al fin perseguido. En concreto, la videovigilancia ha de ser una medida adecuada, pertinente y no excesiva en relación con la finalidad perseguida y que haya justificado la instalación de cámaras. Además, la proporcionalidad requiere que esos fines no puedan alcanzarse a través de otros medios, menos intrusivos para los derechos fundamentales.

Los principios jurídicos en la protección de datos, concretamente la calidad de los datos, ya nos advierten de la observancia de la proporcionalidad: Art. 4.1 LOPD: “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Llegados a este punto cabe plantearnos ¿es proporcionada la grabación del sonido junto con la imagen? La respuesta sería que, en la mayoría de casos, no. La sola grabación de imagen sería suficiente para los fines de vigilancia y todo lo demás sería excesivo en relación con la finalidad perseguida.

La segunda cuestión sería la instalación en sí. Es importante tener clara una cosa: la instalación casera en establecimientos abiertos al público de webcams y todo tipo de microcámaras “made in” que se venden por internet es ILEGAL.

La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) establece en su artículo 1.2 que “únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”. Entre esas actividades que sólo puede realizar el personal de seguridad privada autorizado, se encuentran “la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad” (art. 5.1 LSP). Todas estas previsiones se reiteran en el Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre.

Para rizar el rizo se establece que no vale cualquier empresa de seguridad, sino aquéllas que han obtenido la oportuna autorización administrativa mediante su inscripción en un registro del Ministerio del Interior. Y para finalizar con la burocracia administrativa en la instalación de cámaras de videovigilancia, es preceptivo que el contrato de prestación de servicios de seguridad tenga que comunicarse al Ministerio del Interior antes de la puesta en marcha de los dispositivos de grabación.

Una vez tengamos instaladas nuestras cámaras, porque es adecuado a los fines que perseguimos y hemos seguido los trámites legales en su implantación, es hora de ponerse en marcha con la adecuación a la LOPD.

Como consecuencia de las grabaciones obtenidas por nuestro sistema de videovigilancia tendremos como resultado un fichero y un tratamiento, que hay que comunicar al Registro General de la Agencia Española de Protección de Datos.

Tendremos, además,  que recabar el consentimiento de los afectados (con los famosos carteles informativos de “zona videovigilada”) y facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; sin olvidarnos del Documento de Seguridad, en el que deben quedar recogidas todas las medidas de índole técnica y organizativa que estamos llevando a cabo para la efectiva protección de los datos de carácter personal.

ACTUALIZACIÓN:
La cosa cambia sustancialmente en lo relativo a la instalación de cámaras de videovigilancia a partir de la entrada en vigor de la Ley 25/2009 de 22 de diciembre (conocida como “Ley Omnibus”), que en su artículo 14 modifica la Ley 23/1992, de 30 de julio, de Seguridad Privada. Desde entonces se permite la instalación de estas cámaras por particulares y empresas aún sin la autorización administrativa del Ministerio del Interior (cuestión muy controvertida). Este es el criterio que sigue la AEPD, plasmado en su informe 650/2009 y confirmado en nota de prensa de 30 de diciembre de 2009.