El principio de responsabilidad proactiva que deben asumir las empresas españolas, a raíz de la entrada en vigor del RGPD, se extiende a todo aquello que afecte a la privacidad de los datos de los ciudadanos. Por tanto, la videovigilancia en espacios públicos y privados, también debe cumplir con la norma europea y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD GDD)
En este artículo damos las claves para entender las obligaciones relacionadas con la filmación de imágenes, en lo que se refiere exclusivamente a la protección de datos. Existen otras normativas que imponen requisitos adicionales, de modo que el RGPD no suprime las medidas de seguridad existentes, sino que las complementa.
¿Qué se entiende por videovigilancia?
La videovigilancia es la grabación o visualización de imágenes grabadas por cámaras de seguridad en espacios públicos o privados, con la finalidad de garantizar la seguridad de las personas o instalaciones.
Cómo informar a los usuarios del establecimiento
Es obligatorio instalar carteles visibles que informen de que se trata de un espacio videovigilado. Se debe especificar de forma clara e inequívoca el responsable de la instalación y dónde dirigirse para ejercer los derechos recogidos en el RGPD. Aquí puedes descargar un modelo de cartel.
En el caso de cámaras en zonas de trabajo, puedes consultar esta ficha de la AEPD.
¿Qué se puede y no se puede grabar?
Las imágenes captadas se limitan al establecimiento en concreto y a la franja mínima de vía pública que permite el acceso al mismo. No está permitido filmar terrenos o viviendas colindantes ni otro espacio ajeno.
Si se emplean cámaras orientables o con zoom, es necesario instalar máscaras de privacidad, evitando así captar imágenes de vía pública o de espacios de terceros.
Todo ello, será conservado en un plazo máximo de un mes desde su grabación. Una vez transcurrido ese periodo se procederá a la supresión del material, conforme al RGPD.
Acceso a las grabaciones
El acceso a las imágenes lo tendrá exclusivamente el responsable del tratamiento y se protegerá con contraseñas o códigos para restringir el acceso por cualquier otra persona.
Las Fuerzas y Cuerpos de Seguridad y los juzgados pueden solicitar el acceso a las imágenes en el marco de denuncias o actuaciones judiciales. El responsable debe solicitar el documento que justifique el acceso a las grabaciones.
Medidas de responsabilidad obligada
Una de las nuevas obligaciones que establece el RGPD es que la empresa tenga la capacidad de demostrar y proporcionar evidencias del cumplimiento de la protección de datos. Para ello, se deben cumplir con el catálogo de medidas, detallado en el reglamento europeo, entre las que se regula el análisis de riesgos, las medidas de seguridad, la conservación de imágenes y la comunicación, entre otros aspectos.
También es necesario disponer del registro de actividades de tratamiento, un documento interno que justifica que la videovigilancia es por temas de seguridad y detalla cómo se garantizan los derechos de los ciudadanos.
En las administraciones públicas, el registro será publicado en las plataformas de información ciudadana, como la sede electrónica o el portal de transparencia. Por otro lado, si se trata de un sistema de visionado en tiempo real también se debe cumplimentar este registro. En el caso de tratarse de cámaras simuladas o ficticias no existen obligaciones, ya que no se realiza tratamiento de datos.
El registro de actividades debe plasmarse por escrito, incluso en formato digital, con la siguiente información:
Fuente: Agencia Española de Protección de Datos
Si se produce una brecha de seguridad en la filmación (destrucción, pérdida o alteración de datos), y existe riesgo para los derechos y libertades de las personas, el responsable deberá notificarlo a la AEPD. En la comunicación, emitida en un plazo máximo de 72 horas, se debe especificar quiénes y cuántos son los afectados, posibles consecuencias y medidas adoptadas para remediar la brecha. Además, se referencia al Delegado de Protección de Datos.
En relación a las cámaras IP, que permiten que la imagen captada se visualice en un ordenador remoto, el RGPD recuerda que es necesario verificar el control de accesos para su activación y cambiar el usuario y contraseña asignadas por defecto. Todo ello, con el fin de preservar la seguridad y privacidad del contenido filmado.
Otra medida a tener en cuenta es la evaluación de impacto en la protección de datos. Es una herramienta de carácter preventivo que analiza y evalúa los riesgos a los que se expone la empresa. El objetivo es preservar los derechos y libertades de las personas. La evaluación puede ser necesaria si se utilizan drones, reconocimiento facial o con huella dactilar para el acceso.
Comments