Cómo impacta el RGPD en el uso de cámaras de seguridad

Los pilares básicos en el tratamiento de las imágenes con fines de seguridad son definidos en: Legitimación y Minimización de los datos y la Limitación de la finalidad.

La legitimación y minimización viene recogida en el artículo 6 exponiendo que se permite el tratamiento cuando sea necesario para el cumplimiento de una misión de interés público, contemplándose explícitamente la seguridad de las personas, bienes e instalaciones.

Este punto podría presentar algunas dudas puesto que la captación de imágenes en la vía pública corresponde, como norma general, las Fuerzas y Cuerpos de Seguridad, basándonos en la L.O. 4/1997, de 4 de Agosto, y al Reglamento que la desarrolla., pero el nuevo RGPD presenta las siguientes excepciones:

• Protección de espacios privados donde se recoge la porción mínima e imprescindible de vía pública o que resulte imposible evitarla por la ubicación de la misma
• Garantizar la seguridad de bienes e instalaciones estratégicas o de infraestructuras vinculadas al transporte.
• Lugares de libre acceso aunque sean de titularidad privada, tales como centros comerciales, ocio, recintos feriales…

La limitación de la finalidad viene recogida en su articula 5 exponiendo que los datos personales serán recogidos con fines determinados, explícitos y legítimos, asegurando al titular de las imágenes que no serán tratados ulteriormente de manera incompatible con los fines a los que han sido objeto.

No solo son cuestión de estudio los datos recogidos, sino que se hace especial mención a las máscaras de privacidad, es decir, sopesar si el fin de seguridad se puede conseguir por otros medios o valorar la proporcionalidad, el número de cámaras y el tipo de las mismas con el objeto de limitar los datos recogidos.

Es por ello que el nuevo RGPD expresa en su artículo 5.2 la responsabilidad proactiva con el objeto de asegurar el cumplimiento del tratamiento de datos personales, y que se basa en la demostración del responsable de las imágenes de demostrar y proporcionar  evidencias del tratamiento conforme a la normativa europea.

Este responsable queda definido en el RGPD que introduce la figura del Delegado de Protección de Datos (DPD), a la que exige tener unos conocimientos de Derecho y de Protección de Datos. El artículo 37.1 recoge los supuestos obligatorios:

. Obligatorio para las Administraciones Públicas.

. Cuando las actividades consistan en operaciones de tratamiento y requieran de una observación habitual y sistemática de interesados a gran escala.

En este segundo punto se incluyen a las empresas de seguridad privada, ya que la vigilancia es parte de su actividad principal y especialmente la videovigilancia que no es otra cosa que una observación sistemática en la que se manejan una gran cantidad de datos.

Otra de las novedades que hay que tener presente con el entrada del nuevo RGPD que se quitado la obligación de notificar la inscripción de datos al Registro de ficheros de la AEPD  (o registro de la autoridad autonómica competente), sin perjuicio de la obligación de implementar el Registro de Actividades de Tratamiento, debiendo ser éste por escrito o telemático y aunque se trate de un documento interno deberá estar a disposición de las autoridades ante cualquier control.

El RGPD también contempla y define dos supuestos nuevos: las cámaras que no graban o almacenan las imágenes y de aquellas que son simuladas y/o ficticias.

Respecto a las cámaras que permiten el visionado a tiempo real pero no realizan grabación alguna se deben configurar el Registro de Datos ya que existe un tratamiento, incluyendo los fines, las categorías de los datos personales o las medidas de seguridad.

Para las cámaras simuladas o ficticias no se requieren de un registro ni del cumplimiento de las obligaciones del RGPD ya que no existen tratamientos de datos de carácter personal.

Por Agustín Hernández Pozuelo. Director y Jefe de Seguridad.