¿Cómo afecta la nueva normativa de protección de datos a los sistemas de CCTV?- Enion

El contenido de este post es un resumen de lo dispuesto en la Guía sobre el uso de videocámaras para seguridad y otras finalidades, publicado por la Agencia Española de Protección de Datos. De dicho documento extraemos aquella información que consideramos básica para poder realizar un análisis inicial del grado de cumplimiento de una instalación de CCTV con respecto al nuevo Reglamento General de Protección de Datos (RGPD)

La imagen de una persona, en la medida que identifique o pueda identificar a la misma, constituye un dato de carácter personal, que puede ser objeto de tratamiento para diversas finalidades. Si bien la más común consiste en utilizar las cámaras con el objetivo de garantizar la seguridad de personas, bienes e instalaciones, también pueden usarse con otros fines, como la investigación, la asistencia sanitaria o el control de la prestación laboral por los trabajadores.

La entrada en vigor, el 25 de Mayo de 2018, del nuevo Reglamento General de Protección de Datos, afecta al tratamiento y uso que se realiza de las imágenes captadas por estos sistemas y por tanto, los responsables de su gestión, deben garantizar su cumplimiento.

A continuación resumimos los requisitos y conceptos más significativos de la nueva norma y que afectan a las instalaciones de Circuito Cerrado de Televisión presentes en empresas y establecimientos:

Captación de imágenes de la vía

-Como regla general, la captación de imágenes con fines de seguridad de la vía pública debe realizarse por las Fuerzas y Cuerpos de Seguridad.

– Sobre esta regla general es posible aplicar alguna excepción:

Cuando resulte imprescindible para garantizar la finalidad de seguridad que se pretende (captación de la porción mínimamente necesaria).
En instalaciones estratégicas o de infraestructuras vinculadas al transporte.
Lugares a los que los ciudadanos pueden tener libre acceso aunque sean de propiedad privada: centros comerciales, restaurantes, aparcamientos.

Principio de minimización de datos

– Se debe valorar si realmente es necesaria la instalación de la videovigilancia o si el fin perseguido se puede alcanzar de otra forma.

– Tener en cuenta la proporcionalidad en función del número de cámaras, tipo de las mismas y la opción de utilizar “máscaras de privacidad“ (puede considerarse desproporcionado en vestuarios, taquillas, zonas de descanso de trabajadores…).

Nombramiento de delegado de protección de datos (DPD)

– Siempre obligatorio para las Administraciones Públicas.

– Cuando la actividad principal requiera de una observación habitual y sistemática de interesados a gran escala como, por ejemplo, las empresas de seguridad privada.

Registro de actividades de tratamiento

– Se debe incluir una descripción de los tratamientos de datos de videovigilancia que se realicen.

– Se debe mantener en todo momento a disposición de la Autoridad de Control.

Análisis de riesgos y medidas de seguridad

– Las medidas de seguridad a adoptar en el tratamiento de los datos de la videovigilancia vendrán determinadas por un análisis de riesgos previo.

Notificación de brechas de seguridad

– Cuando se produzca una brecha de seguridad (destrucción, pérdida o alteración accidental o ilícita de las imágenes), el responsable deberá notificarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

– El acceso no autorizado a las imágenes de cámaras IP, a través de la red, supone una brecha de seguridad. Resulta indispensable verificar y activar el control de accesos de este tipo de cámaras así como el usuario y contraseña que tienen asignados de fábrica.

Evaluación de impacto en la protección de datos

– En los casos en los que se realiza una observación sistemática a gran escala de una zona de acceso público, se está obligado a realizar una Evaluación de Impacto de la Protección de Datos (EIPD).

– La EIPD requiere identificar, evaluar y gestionar los riesgos a los que está expuesto el tratamiento de las imágenes.

Privacidad desde el diseño y por defecto

– Como se ha indicado en puntos anteriores, el diseño de una instalación de CCTV debe tener en cuenta el principio de minimización.

Derecho de información

– Se debe disponer de un distintivo informativo con los siguientes datos:

La existencia del tratamiento (videovigilancia).
La identidad del responsable del tratamiento o del sistema de videovigilancia, y la dirección del mismo.
La posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD.
Asimismo, también se pondrá a disposición de los interesados el resto de la información que debe facilitarse a los afectados en cumplimiento del derecho de información regulado en el RGPD.

Encargado de tratamiento: contratación de un tercero para el tratamiento de imágenes

– El acceso a las imágenes de las cámaras por cuenta de terceros distintos del responsable del tratamiento deberá estar regulado por la existencia de un contrato. El contenido mínimo debe incluir:

Las instrucciones del responsable del tratamiento.
El deber de confidencialidad.
Las medidas de seguridad.
El régimen de la subcontratación.
La forma en que el encargado asistirá al responsable en el cumplimiento de responder el ejercicio de los derechos de los afectados.
La colaboración en el cumplimiento de las obligaciones del responsable.
El destino de los datos al finalizar la prestación.

Conservación de imágenes

– El plazo máximo de conservación de las imágenes será de 1 mes, transcurrido el cual, deben borrarse las imágenes.

Derechos de las personas

– Derechos no aplicables:

Por la naturaleza de los datos, el derecho de rectificación no es posible.
Tampoco sería aplicable el derecho de portabilidad ya que, aunque se trata de un tratamiento automatizado, la legitimación no se basa ni en el consentimiento ni en la ejecución de un contrato.
En tercer lugar, no se aplicaría parte del contenido del derecho a la limitación del tratamiento, en su aspecto de “cancelación cautelar” que está vinculada al ejercicio de los derechos de rectificación y oposición.

– Derechos aplicables:

Derecho de acceso: requiere aportar una imagen actualizada que permita al responsable verificar y contrastar la presencia del afectado en sus registros.
Derecho de supresión (plazo máximo 1 mes).
Derecho a la limitación del tratamiento: cuando el tratamiento de datos sea ilícito y el interesado se oponga a la supresión de sus datos y solicite en su lugar la limitación de su uso o el responsable ya no necesite los datos para los fines del tratamiento pero el interesado si los necesite para la formulación, ejercicio o defensa de reclamaciones.

Comunicación de imágenes a terceros

– Puede requerir comunicación sin consentimiento cuando concurran los siguientes casos:

Cuando la comunicación de imágenes tengan por destinatarios los Jueces o Tribunales.
Cuando las Fuerzas y Cuerpos de Seguridad soliciten las grabaciones en aquellos supuestos que son necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.

– En ocasiones, los particulares solicitan acceder a determinadas imágenes grabadas por las cámaras de videovigilancia, para conocer la identidad de un tercero, a los efectos de poder ejercitar determinadas acciones judiciales y/o contractuales. Este acceso debe caracterizarse por:

Legitimación: obtención de pruebas para posterior denuncia de un delito, reclamación por responsabilidad contractual o extracontractual a una compañía de seguros.
Finalidad compatible: esta comunicación de datos no persigue una finalidad diferente con la que se recogieron los datos, pues entra dentro del término amplio de “seguridad”, a los efectos descritos en el párrafo anterior.
Minimización de datos: la cesión o comunicación de las imágenes de terceros debe limitarse al mínimo necesario para la finalidad pretendida.

Si tiene dudas sobre si su sistema de CCTV cumple con la actual normativa, quiere realizar una nueva instalación o adaptar la existente, contacte con nosotros. Para más información puede descargarse el dosier de nuestro servicio de adaptación integral CCTV al nuevo RGPD.

¿Cómo afecta la nueva normativa de protección de datos a los sistemas de CCTV?

Más artículos de nuestro blog

Medidas Esenciales de Protección Contra Incendios en Discotecas

Planes de autoprotección, ¿por qué y cuándo usarlos?

Plan de emergencia y plan de autoprotección, ¿son lo mismo?

4 claves de la normativa PCI

Cómo se elabora un documento de protección contra explosiones

Plan de actuación en emergencias. Respuesta de los ocupantes ante una señal de alarma.

Extintores de diseño. Muy bonitos pero…¿fiables?

Recursos gratuitos de ingeniería de protección contra incendios (I)

Diseño prestacional: alternativas a los sistemas de PCI tradicionales (3)

Aspectos a considerar en la adaptación de los planes de autoprotección a los riesgos derivados del COVID-19