670 - Sistemas de videovigilancia o alarma como categoría separada del registro de datos y su adaptación a las empresas

Una categoría separada del registro de datos llevado a cabo por el responsable de tratamiento será la de aquellos datos que se obtengan a través de un sistema de videovigilancia o alarma, sobre los cuales se deben realizar ciertas precisiones, pues no se suelen tomar en consideración cuando se piensa en la adaptación normativa de cualquier entidad. Así, las imágenes obtenidas por una cámara de videovigilancia o alarma son datos personales de interesados, pero revisten ciertas especialidades.

La primera de las especialidades reseñadas tiene que ver con situar al responsable de tratamiento en este contexto. Esto responde a la problemática que se da en aquellos supuestos en los que una entidad que es responsable de todo el resto de tratamientos tiene instalado un sistema de videovigilancia a través de una empresa de seguridad especializada. En estos supuestos, la gestión de las imágenes puede pasar por dicha entidad, por lo que se deberá configurar como encargada de tratamiento y mantener a la entidad principal, donde están situadas las cámaras, como responsable principal.

La segunda de las especialidades tiene que ver con la debida distinción que debe realizarse sobre los sistemas de alarma y los de videovigilancia. Esto es así debido a que no es lo mismo la grabación permanente de un recinto que la grabación puntual o, en su caso, la captación de imágenes estáticas y no en vídeo. Esta distinción la realizamos de conformidad con el propio funcionamiento de un sistema de alarma, el cual estará programado para captar imágenes únicamente en el momento en el que salta el sistema por un acceso no autorizado al recinto de cobertura, y el funcionamiento de un sistema de videovigilancia, cuya cobertura temporal es constante y no se activa o desactiva en atención al acceso no autorizado al recinto.

Siguiendo lo establecido en el artículo 22 de la LOPDGDD, cabe indicar que no podrán captarse imágenes de la vía pública, como norma general, con la única excepción de que resulte imprescindible para la finalidad de preservar la seguridad de personas, bienes o instalaciones. Asimismo, en el caso de que el responsable de tratamiento esté vinculado a instalaciones estratégicas o infraestructuras relacionadas con el transporte, se podrán captar imágenes de la vía pública, sin que se produzca la captación de imágenes del interior de un domicilio privado.

Además, el plazo de conservación máximo permitido es de un mes desde la captación de las imágenes, con la excepción vinculada a la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, en cuyo caso se podrán conservar durante más tiempo, poniéndolas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación. Consecuentemente, tal y como dispone el artículo 22.3 in fine de la LOPDGDD, «no será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica».

Como se puede observar, existen numerosos factores a los que atender para confeccionar un adecuado listado de datos de carácter personal que formarán parte del sistema de protección de datos de cualquier entidad. Es difícil abarcar todas las posibilidades de tratamientos, por lo que nuestro objetivo con todo lo establecido hasta este punto es otorgar las claves prácticas y las herramientas que sirvan para adoptar una óptica identificativa de estos elementos. Recuérdese que cada entidad presenta una realidad diferente y el objetivo es adaptar esta realidad a la normativa, por lo que será labor de cada responsable (o encargado) el confeccionar un listado de datos y tratamientos que se corresponda con su actividad.

CUESTIONES

1. En mi empresa tengo instaladas cámaras de videovigilancia conectadas a una señal IP que puedo reproducir en mi teléfono móvil, ¿es eso un tratamiento de datos de carácter personal?

Según se ha indicado, recabar imágenes del rostro y la presencia física de un interesado supone un dato personal evidente. Así, colocar un dispositivo que realiza una emisión de imágenes en directo en un teléfono, aunque estas no se graben o almacenen en un soporte concreto, supone un tratamiento de datos igualmente. En este caso, un tratamiento de duración instantánea, pero definitivamente un tratamiento de datos de carácter personal.

2. La instalación de un sistema de alarma que únicamente saca fotografías cuando salta, ¿supone un tratamiento de datos de carácter personal?

De acuerdo con el criterio mantenido hasta este punto, la respuesta es afirmativa. Con independencia de que se trate de vídeo o fotografía, y de si se trata de una grabación constante o puntual, en el momento en el que el dispositivo es susceptible de sacar fotografías del recinto, lo recomendable es incorporar este tratamiento, con su correspondiente finalidad, al registro interno de actividades de tratamiento que se deba confeccionar.