Instalación de cámaras de videovigilancia y LOPD

Si instalamos una o varias cámaras de videovigilancia, en las cuales podemos recoger imágenes de personas, hemos de cumplir la LOPD y realizar las siguientes acciones:

 

1. Inscripción de ficheros

Si existe grabación de las imágenes se deberá notificar el fichero relativo a dichas imágenes.

La simple reproducción en circuito cerrado o emisión de imágenes en tiempo real no genera un fichero.

2. Deber de informar

Para informar adecuadamente debe existir:

  • Un cartel de ZONA VIDEOVIGILADA.

  • Un impreso informando de la existencia de un tratamiento, finalidad y destinatarios de la información, el ejercicio de los derechos ARCO, la identidad y dirección del responsable del fichero.

La información del impreso podrá incorporarse al cartel anunciador si la misma es legible.

3. Contrato con encargado del tratamiento

Si una empresa externa accede o puede acceder a las imágenes, es un encargado del tratamiento y se deberá suscribir el correspondiente contrato de acceso a datos por cuenta de terceros.

4. Medidas de seguridad

Se deberá elaborar un Documento de Seguridad e implantar las medidas de seguridad requeridas por la LOPD.

A TENER EN CUENTA

La policía de muchas ciudades denuncia de oficio la existencia de cámaras de videovigilancia que no cumplen la LOPD.

Sanción por envío de SMS sin autorización

En la resolución R/01488/2013 de la AEPD se puede ver la sanción que puede sufrir una empresa por atender una solicitud de oposición al envío de publicidad.

Con fecha de 06/11/12 tiene entrada en la AEPD un escrito de denunciando que la sociedad ULD le ha remitido tres SMS de naturaleza comercial no autorizados, y además, que ha solicitado la baja en estos servicios en dos ocasiones anteriores.

La relación son dicha empresa fue a raíz de adquirir un pequeño electrodoméstico, momento en que facilitó su móvil por cuestiones relacionadas con la garantía, pero indicando que no deseaba recibir publicidad en el mismo. No obstante, recibió el primer mensaje y procedió a darse de baja, siendo el resultado nulo, pues recibió otros dos mensajes más.

La AEPD, ante las manifestaciones contradictorias entre las partes, en las que el denunciado indica que no prestó consentimiento para la recepción de SMS publicitarios y la entidad denunciada expone que el denunciante le entregó dicho dato sabiendo del uso publicitario que se le iba a dar, ha de atenderse a la prueba documental aportada, en especial al ticket de venta aportado por el denunciante y copia de la factura aportada por ULD.

Del análisis de dichos documentos se aprecia que ninguno de ellos ofrecía al cliente, en este caso el denunciante, la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito en el momento de la recogida de los datos. En concreto, no aparece ninguna casilla u otro mecanismo gratuito para negarse, en ese momento, a la recepción de publicidad por medios electrónicos.

Resultado: Sanción de 600 € por infracción del artículo 21 de la LSSI.

IMPORTANTE

Es conveniente añadir la cláusula informativa en los documentos que le entreguemos al cliente, ya que en caso de denuncia, es la prueba documental que se va a valorar.

Captura y registro de matrículas en gasolinera

El informe jurídico de la AEPD resuelve la consulta planteada relativa sobre la posible instauración de un sistema de captura y tratamiento del dato relativo a la matrícula de los vehículos que acceden a las estaciones de servicio, a fin de identificar los vehículos que abandonan las estaciones de servicio sin pagar el carburante que les ha sido suministrado. En particular, se plantea si dicho sistema podría quedar incardinado en el fichero ya declarado sobre videovigilancia, si es necesaria la obtención del consentimiento y los principios que serían aplicables, así como el plazo máximo de conservación de tales datos.

De dicho informe jurídico se extrae lo siguiente:

  • El dato de la matrícula de un automóvil es un dato personal, puesto que existe un registro de vehículos que permite conocer al propietario.

  • Ese dato no puede quedar incardinado dentro del fichero de videovigilancia que la consultante dice tener creado e inscrito, por alterarse la finalidad del fichero (cuya finalidad es videovigilancia y seguridad), teniendo que cuenta que lo que se pretende es extraer los caracteres de la matrícula de la imagen captada para volcarlos en una base de datos.

  • Deberá crearse un nuevo fichero que recoja esta nueva finalidad (que será relativa a: “la necesidad de erradicar, o al menos mitigar, dichos comportamientos fraudulentos”, esto es, “personas que suministran carburante a sus vehículos en EESS de …. Abandonan sus instalaciones sin proceder a realizar el correspondiente pago”.

  • Este nuevo fichero deberá ser inscrito en la AEPD y aplicar sobre él las medidas de seguridad que establece la Ley, así como informar adecuadamente y permitir el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

                                           A TENER EN CUENTA

Los datos recogidos deben ser adecuados, pertinentes y no excesivos para la finalidad a la que van a ser destinados.

¿Cuándo se ha de actualizar el Documento de Seguridad?

El artículo 88.7 del RD1720/2007 dice:

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

Estas son algunas de las situaciones en las que debemos actualizar el documento de seguridad:

  • Se incorpora un nuevo trabajador que va a tratar datos personales a la empresa. Deberá añadir a la lista de usuarios y accesos permitidos.

  • Se va de la empresa un trabajador que tenía acceso a datos personales. Deberá eliminar de la lista de usuarios y accesos.

  • Se compra nuevo equipamiento informático. Se deberá añadir al inventario de equipamiento de la sede.

  • Se adquiere un nuevo software. Se deberá añadir el software en su sección así como los perfiles que tienen acceso a mismo.

  • Se recogen nuevos tipos de datos. Se deberá modificar, además, la inscripción del fichero.

  • Se incorpora o cambia algún encargado del tratamiento.
    Se deberá suscribir el contrato y modificar la inscripción del fichero, si es caso.

  • Cuando se produzcan otros cambios en la organización que puedan afectar a los datos.

 

A TENER EN CUENTA

No disponer de un Documento de Seguridad actualizado y que refleje la situación real de la empresa es una infracción grave, sancionada con multa de entre 40.001 € y 300.000 €