Ana Marzo. Equipo Marzo Abogados.
A punto de cumplir los dos años de la entrada en vigor del Reglamento General de Protección de Datos (RPGD) podemos opinar en perspectiva lo que ha supuesto para las empresas su cumplimiento: mayor coste en recursos humanos, económicos y de gestión, cambios organizativos en la estructura de las compañías, nuevos cargos y puestos de control, y una burocracia infinita para atender los elevados estándares de responsabilidad proactiva que la norma (o las autoridades encargadas de su cumplimiento) parecen exigir.
Pero, qué hay de los derechos de la ciudadanía. ¿Ha sido una norma tan garantista como prometía o no ha superado las expectativas que había en ella?. Podríamos escribir líneas y líneas sobre el tema pero mucho me temo que las personas interesadas, las verdaderas titulares del derecho fundamental a la protección de datos, han ganado en derechos pero han perdido en el control de los mismos.
Es una opinión personal tras constatar, a la hora de resolver el ejercicio de derechos y peticiones recibidas de personas interesadas, que a éstas les cuesta distinguir la casuística y utilidad que presenta el derecho de supresión en sus diferentes variantes, o en qué casos cabría utilizar el derecho de limitación o incluso los datos a los que tienen derecho en una portabilidad.
Pese a ello, los tribunales nos siguen sorprendiendo y, cómo no, enriqueciendo, con sus pronunciamientos, aclarando aquellos aspectos de la norma sobre los que las empresas privadas y autoridades de control mantienen sus divergencias.
Empresas de seguridad
Así, en el caso resuelto por la Audiencia Nacional (AN) en su sentencia 3091/2019, el tribunal nos presenta un resultado que a buen seguro es de interés por las empresas de seguridad privada, y que concluye el recurso contencioso-administrativo presentado por una entidad de seguridad privada frente a una interesante resolución de la Agencia Española de Protección de Datos (AEPD) ante un procedimiento de tutela de derechos iniciado por un interesado.
Los hechos que dieron causa a la sentencia de la AN derivan de la reclamación que presentó un interesado ante la empresa de seguridad, tras la denegación por ésta del ejercicio del derecho de acceso en el que el interesado pretendía acceder a «toda la información obrante en sus servidores relativa a los registros y señales enviadas por el equipo de alarma instalado en mi propiedad (…), así como las copias existentes de los registros contenidos en la memoria interna de la alarma, entre los días 26 de noviembre y 18 de diciembre del año 2015».
Añade el escrito de ejercicio del derecho que (…) «la información cuyo acceso se solicita hace referencia, directa o indirectamente, a sucesos y acontecimientos (entradas, salidas, movimientos, saltos de alarma, activación y desactivación por un determinado usuario) acaecidos en el interior de mi hogar, de los cuales puede inferirse, directa o indirectamente, actos o comportamientos relacionados con mi persona, otras personas de mi familia o incluso terceros autorizados al acceso a la vivienda. No cabe dudar, por tanto, de la categorización jurídica de dicha información como datos personales y aplicación a los mismos de la LOPD».
Tras centrar la cuestión controvertida en si a los «logs» que se producen a consecuencia del funcionamiento de la alarma de seguridad o los producidos por el salto de la alarma (vg. al detectar la presencia de cualquier usuario), se les aplica la normativa sobre protección de datos o no, la AEPD razona lo siguiente:
… «el establecimiento de un servicio de alarma se basa en la relación contractual entre la empresa proveedora y el titular del contrato, de suerte que éste puede ser persona física o jurídica, estando esta última excluida del paraguas de la normativa de protección de datos.
Tratándose el cliente de una persona física, los logs de funcionamiento de una alarma pueden ser atribuibles al titular del contrato (al residir en la finca), a componentes de su familia o a un tercero titular del contrato de arrendamiento, siendo en este último caso los registros generados por la alarma, información ajena al titular contractual y, por tanto, no concurría la nota de la identificación en el prestador del servicio (…)
(…) en el presente caso, dado que el recurrente es el titular del contrato de la alarma con la empresa de seguridad, obviamente aquél es perfectamente identificable y, por tanto, le es de aplicación la normativa sobre protección de datos en cuanto al derecho a acceder a los logs sobre el funcionamiento de la alarma instalada en su propiedad».
El interés del denunciante deriva del hecho de haber sufrido un robo en su domicilio del cual la empresa de seguridad no le avisó a pesar de tener contratada la alarma de su vivienda con tal compañía.
En contestación al ejercicio del derecho de acceso, la empresa de seguridad informó al interesado únicamente cuáles eran los datos base relativos a su persona que constaban en sus ficheros, denegando sin embargo los registros contenidos en la alarma, al no considerarlos datos de carácter personal.
La «excusa» propuesta por la empresa de seguridad, en síntesis, se resumía en los siguientes argumentos:
- En cumplimiento de la normativa de seguridad privada, la empresa realiza de manera automática chequeos y verificaciones técnicas para comprobar el estado de conexión y transmisión de señales, el estado de la red de comunicaciones, así como el de las baterías de los distintos dispositivos y sensores instalados. Verificaciones autónomas del sistema que se realizan sin intervención ni del usuario, ni del prestador del servicio, sirviendo las mismas, únicamente, a efectos de prestar el servicio en óptimas condiciones.
- Los referidos test automáticos se emiten y transmiten por la centralita del sistema de alarma y se reciben en forma de señales técnicas en la Central Receptora de Alarmas. Son registros que únicamente reflejan información relativa al funcionamiento de dicha concreta centralita, y en ningún caso suponen una suerte de monitorización o seguimiento de los hábitos de las personas que hacen uso de dicho sistema de seguridad.
- Teniendo tales señales naturaleza meramente técnica, que únicamente sirven a la compañía de seguridad para la correcta prestación del servicio, la solicitud de dichos registros vía derecho de acceso carece de fundamento, al no tener los mismos la consideración de datos de carácter personal.
Logs, datos de carácter personal
Según la AN, la cuestión controvertida en el pleito, consiste en determinar si los logs (registros y señales originados y almacenados por la alarma ubicada en la propiedad del codemandado) tienen o no la consideración de datos de carácter personal.
Razona el citado Tribunal que el artículo 4.1 del RGPD, define como «datos personales» toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Se trata, por tanto, de un concepto muy amplio que incluye no solo el nombre, apellidos, dirección, número de DNI y determinados datos relativos a la profesión de la persona, así como a su identidad física, psíquica y genética, sino también el número de teléfono, incluso sin aparecer directamente asociado a una persona, siempre que a través de él se pueda identificar a su titular, así como la dirección de correo electrónico, aunque en la composición de la leyenda inicial de dicha dirección no aparezca el nombre y apellidos del titular. También se conceptúa como dato de carácter personal la imagen de una persona y la dirección IP.
Lo esencial, en definitiva, a efectos de la normativa de protección de datos, indica la AN, es que la información haga referencia a una persona física identificable, es decir, y como también esta Sala ha reiterado en múltiples ocasiones, que razonablemente y sin grandes esfuerzos, sea posible asociar los datos proporcionados a una determinada persona.
Para la AN reviste asimismo trascendencia traer a colación el Considerando 26) del RGPD, a cuyo tenor, los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable (…)
Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.
Con el objeto de determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.
Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación. (…)
Y ello en relación con el artículo 4.5 del mismo Reglamento que define como «seudonimización» el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
En definitiva, para la AN lo concluyente es determinar si la posibilidad de combinar la información con la que cuenta el responsable con la información adicional que esté en poder de un tercero puede ser razonablemente utilizada para identificar al interesado.
Lo cual no sucedería «cuando la identificación del interesado esté prohibida por ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante«.
Así, aplicando dicha normativa y doctrina al supuesto de autos la AN considera, al igual que aprecia la AEPD, que dentro de la información obrante en los servidores de la empresa de seguridad relativa a los registros y señales enviados por el equipo de alarma instalado en el domicilio de reclamante, así como en las copias de los registros contenidos en la memoria interna de la alarma, sí figuran datos de carácter personal del titular de tal alarma contratada.
Por un lado, se trata de una persona física, y por tanto plenamente identificable, que firma un contrato de instalación y mantenimiento de una alarma para la protección de su vivienda con la empresa de seguridad actora. Firma del contrato del que necesariamente derivan una serie de derechos respecto de la custodia y seguridad de dicha vivienda.
De otro lado, y esto resulta importante remarcarlo, el derecho de acceso se ejercita respecto de registros y señales captadas y enviadas por el equipo de alarma instalado en un domicilio privado, ejerciéndose precisamente por parte de quien es titular de dicho domicilio.
Domicilio respecto del que el artículo 18.2 CE reconoce el derecho fundamental a su inviolabilidad, y que conforme a consolidada Jurisprudencia del Tribunal Constitucional se vincula al derecho a la intimidad de las personas, al ser el ámbito donde el individuo desarrolla su intimidad, donde ejerce su libertad más íntima, lo que refuerza la naturaleza de dato personal de los registros y señales captadas por el sistema de alarma instalado dentro del referido domicilio.
Y todo lo anterior en relación con el amplio concepto que, de dato personal, deriva en toda la normativa de aplicación expuesta con anterioridad, conceptuándose como tal incluso, según el RGPD, también el dato seudonimizado, que cabría atribuir a una persona física mediante la utilización de información adicional, teniendo en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, a tenor de la tecnología disponible en el momento del tratamiento.
Razones todas ellas que conducen a la AN a desestimar el recurso de la empresa de seguridad y a confirmar la resolución de la AEPD impugnada.
Una buena noticia para las personas interesadas y puede que no tan buena para las empresas de seguridad que deberán adaptar sus procesos para poder atender los derechos de acceso de sus clientes con todo lujo de detalle en la información a servir, incluyendo los registros y señales enviadas por el equipo de alarma porque, si pueden ser datos de carácter personal.
