Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), las empresas españolas han asumido una responsabilidad proactiva en todo lo que concierne a la privacidad de los ciudadanos. Este principio, pilar del RGPD, se extiende a prácticas como la videovigilancia, que debe alinearse con la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD GDD). Este artículo detalla las claves y obligaciones que las empresas deben cumplir al implementar sistemas de videovigilancia, garantizando el respeto por los derechos de los ciudadanos.
¿Qué es la videovigilancia?
La videovigilancia es el uso de cámaras para grabar o visualizar imágenes en espacios públicos o privados, con el objetivo de garantizar la seguridad de personas o instalaciones. Sin embargo, esta práctica, que puede parecer sencilla, conlleva una serie de responsabilidades legales relacionadas con la protección de datos personales, dado que las imágenes captadas pueden identificar a individuos.
Obligaciones de Información
El RGPD exige que los usuarios sean informados de manera clara y transparente sobre la presencia de cámaras de videovigilancia. Para ello, las empresas deben:
- Instalar carteles visibles: Los letreros deben advertir a los usuarios que están en un espacio videovigilado. Además, deben incluir información sobre el responsable del tratamiento y cómo los ciudadanos pueden ejercer sus derechos, como el acceso, rectificación o supresión de datos.
- Ejemplo práctico: La Agencia Española de Protección de Datos (AEPD) proporciona modelos de carteles que las empresas pueden utilizar como guía.
- Zonas de trabajo: En lugares laborales, es obligatorio informar específicamente a los trabajadores, siguiendo los lineamientos establecidos por la AEPD.
Límites de la Filmación: ¿Qué se Puede Grabar?
Para garantizar el cumplimiento del RGPD, las cámaras deben limitar su enfoque a:
- El establecimiento en cuestión: Solo se permite grabar el espacio privado o la franja mínima de vía pública necesaria para acceder al lugar.
- Prohibiciones: No está permitido grabar terrenos colindantes, viviendas cercanas o cualquier espacio ajeno.
- Cámaras orientables y zoom: Estas tecnologías deben configurarse con máscaras de privacidad para evitar capturar imágenes de espacios no autorizados.
Además, las grabaciones tienen un plazo de conservación máximo de un mes. Una vez transcurrido este periodo, las imágenes deben ser eliminadas de manera segura.
Acceso a las Grabaciones
El acceso a las grabaciones está estrictamente regulado:
- Responsable del tratamiento: Solo el responsable designado puede acceder a las imágenes, utilizando contraseñas o códigos de acceso seguros para evitar la intervención de terceros.
- Fuerzas de seguridad y juzgados: Estas entidades pueden solicitar acceso a las grabaciones en el marco de denuncias o procedimientos judiciales. El responsable debe exigir documentación oficial que justifique dicha solicitud.
Medidas de Responsabilidad Obligatoria
El RGPD introduce la obligación de que las empresas puedan demostrar que cumplen con las normativas de protección de datos. Para ello, es imprescindible:
1. Registro de Actividades de Tratamiento
Este documento interno debe justificar el uso de cámaras por motivos de seguridad y detallar cómo se garantiza la privacidad de los ciudadanos. Incluye:
- Base jurídica del tratamiento.
- Tipo de datos captados.
- Período de conservación.
- Medidas de seguridad implementadas.
En el caso de administraciones públicas, este registro debe publicarse en portales como sedes electrónicas o plataformas de transparencia.
2. Análisis de Riesgos
Es fundamental realizar una evaluación de riesgos para identificar posibles vulnerabilidades en el tratamiento de imágenes. Este análisis permite tomar medidas preventivas y correctivas para proteger los datos.
3. Evaluación de Impacto en la Protección de Datos
Es obligatoria cuando se utilizan tecnologías como drones, reconocimiento facial o huellas dactilares. Este análisis evalúa los riesgos potenciales y propone soluciones para mitigarlos, priorizando los derechos y libertades de las personas.
Gestión de Brechas de Seguridad
Si se produce una brecha de seguridad que afecte a las grabaciones, como pérdida, destrucción o alteración de datos, el responsable debe:
- Notificar el incidente a la AEPD en un plazo máximo de 72 horas.
- Incluir detalles como:
- Cantidad de personas afectadas.
- Consecuencias potenciales.
- Medidas adoptadas para mitigar los daños.
- Designar al Delegado de Protección de Datos (DPD) como punto de referencia para gestionar la comunicación y el seguimiento del incidente.
Cámaras IP: Especial Atención a la Seguridad
Las cámaras IP, que permiten la visualización remota a través de ordenadores, plantean retos adicionales de seguridad. El RGPD establece medidas específicas para garantizar su uso seguro:
- Control de accesos: Verificar que solo personal autorizado pueda activar las cámaras.
- Contraseñas seguras: Cambiar las credenciales predeterminadas asignadas por el fabricante.
- Encriptación: Implementar medidas para proteger las transmisiones de video frente a accesos no autorizados.
Sistemas Simulados: ¿Están Exentos?
Si las cámaras son ficticias o no almacenan imágenes, no existen obligaciones relacionadas con la protección de datos, ya que no se realiza tratamiento alguno.
La videovigilancia, aunque esencial para la seguridad, implica una gran responsabilidad en términos de protección de datos. Las empresas españolas deben adoptar un enfoque proactivo, garantizando el cumplimiento del RGPD y la LOPD GDD. Esto no solo protege a los ciudadanos, sino que también refuerza la confianza en las organizaciones que priorizan la privacidad.
Implementar las medidas adecuadas y mantenerse informado sobre las actualizaciones legales es fundamental para gestionar correctamente los sistemas de videovigilancia, evitando sanciones y fortaleciendo la seguridad de todos los involucrados.