Ley Omnibus y videovigilancia

El día 27 de diciembre de 2009, entró en vigor la Ley 25/2009 de 22 de diciembre, más conocida como Ley ómnibus, que vino a liberalizar la prestación de determinados servicios además de modificar de forma sustancial un gran número de normas jurídicas de nuestro país.

En el caso que nos afecta ahora, uno de los mayores cambios se refiere al que afecta a las actividades de videovigilancia.

Hasta hora, cuando alguien deseaba instalar un sistema de videovigilancia (vamos a referirnos siempre a ámbitos empresariales), debía acudir a dos normas para asegurase que dicho sistema cumplía con la legislación vigente. Por un lado la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, y por otra la Ley 23/1992 de 30 de julio de Seguridad Privada.

Si empezamos a destripar la segunda de estas normas, nos encontramos con que las funciones de seguridad y vigilancia son competencia exclusiva del Estado, no obstante, éste, realiza una “delegación” de dichas competencias a determinadas empresas o profesionales que cumplen con unas determinadas medidas de seguridad o estándares, y que por ello figuran como autorizadas en el Registro del Ministerio de Interior.

Por tanto, cuando se instala un sistema de video vigilancia, dado que es una actividad contemplada en la Ley 32/1992, debería acudir a una empresa debidamente autorizada e inscrita en el registro del Ministerio de Interior. Una vez hecho esto, quedaría cumplir con la normativa vigente en protección de datos.

Para lo anterior, debemos fijarnos no sólo en lo que dice la LOPD, sino también la Instrucción 1/2006 de la Agencia Española de Protección de Datos sobre video vigilancia.

La LOPD parte de la premisa recogida en el artículo 6.1, de que no para realizar el tratamiento de datos de carácter personal debo contar con la autorización del titular de los datos, a no ser que se pueda aplicar alguna de las excepciones que la propia norma indica.

En este caso si coloco una cámara de vigilancia, debería contar con el consentimiento del titular, no obstante el legislador, hábil, explica que en el caso de que dicha instalación de cámaras la realice una entidad inscrita en el Registro del Ministerio de Interior, no será necesario dicho consentimiento.

Por lo tanto, y siguiendo la Instrucción 1/2006, una vez que la instalación realizada por una empresa habilitada está legalizada y obtiene su número de registro otorgado por la Policía Nacional, debo aclarar si mi sistema graba o no graba imágenes.

Si no graba imágenes, deberé simplemente advertir mediante la colocación de carteles adecuados a los modelos contenidos en la citada Instrucción 1/2006, que la zona se encuentra videovigilada.

Si graba, además de estos avisos, deberé facilitar toda la información a que se refiere el artículo 5 de la LOPD y adecuar el tratamiento a las medidas de seguridad exigibles en el RD 1720/2007 de 21 de diciembre.

Concluimos pues, que aquellas instalaciones de videovigilancia realizadas por empresas o profesionales (incluso por uno mismo en el ámbito de su trabajo), que no están reconocidos e inscritos en el registro del Ministerio del Interior, no gozan del consentimiento del titular de los datos, a no ser que se le recabe expresamente, y por tanto cada uno de nosotros podría exigir que se parase una grabación si no deseamos que nuestra imagen quede incorporada a un Fichero.

Naturalmente también podríamos presentar una denuncia ante la Agencia Española de Protección de Datos, que podría salir por una buena cantidad dada la cantidad de preceptos que se conculcan.

Esto era cierto hasta la entrada en vigor de la Ley Ómnibus, pues ésta, faculta a que se puedan realizar instalaciones de videovigilancia, por entidades que no están inscritas en el famoso Registro del Ministerio de Interior, siempre y cuando no están conectados a una central de alarmas.

En mi opinión lo que ha hecho el legislador ha sido legalizar de un plumazo las instalaciones de videovigilancia realizadas por servicios tipo Telefónica y demás operadores de teléfono e Internet y por ende poner en bandeja la conculcación de los derechos fundamentales de las personas, que difícilmente podrán saber si la instalación ha sido realizada por una empresa profesional y homologada o por el propio comerciante u otra entidad de dudosa reputación en el mundo de la videovigilanica.

Mucho trabajo le queda a la AEPD, pues dada la preocupación en materia de protección de datos del empresario medio en España, es muy factible que proliferen instalaciones de videovigilancia ocultas a los trabajadores o clientes y que incluso se abuse de los mismos para grabar en espacios públicos con el ánimo de “proteger”.

Google y la protección de datos

Hoy en la sección de Tecnología de El País, aparece un artículo muy interesante, acerca de Google y el derecho de los usuarios a la libre autodeterminación de sus datos personales.

Parece que el gigante tecnológico, líder de búsquedas y publicidad en la red, así como de gadgets y otras aplicaciones más o menos exitosas, ha diseñado su dashboard, desde el que el usuario puede visualizar los datos que Google, almacena sobre él.

Picado en la curiosidad he entrado en mi dashboard para conocer de primera mano, qué datos tiene google de mi.

Para empezar se muestra la actividad del usuario, esto es, blogs de los que es titular, cuentas de correo y libreta de direcciones (evidentemente la libreta de direcciones no son datos personales míos sino de otras personas), se muestra el historial de emails que has enviado, los chats que he abierto, mi zona horario, ubicación, el historial de mis visitas en la web, los gadgets que uso, qué miro en el youtube, y las fotos incluidas en el Picassa.

Como dicen en mi tierra “casi nada al aparato”.

Me preguntaba mientras pululaba en mi cuenta, si lo que estaba realizando podía ser entendido como una facilitación por parte de Google de mi derecho de acceso, contenido en el artículo 15 de la LOPD.

En mi opinión no lo es, pues faltan todos los requisitos formales para ello, pero sí es medio camino hacia ello, y la auto gestión del principio de libre autodeterminación de las personas respecto de sus datos personales.

Durante todo el tiempo que estaba escribiendo me preguntaba ¿si se llegase a entender o asimilar a un derecho de acceso… se me debería informar de quien tiene datos de mi persona, como por ejemplo, email, número de emails que me ha enviado o recibido de mi….)

¿A alguien se la ha ocurrido alguna vez, ejercer su derecho de acceso, en la forma establecida por la LOPD ante un buscador como Google?

Los funcionarios amables vs LOPD

Vaya por delante que no pretendo atacar al funcionariado de este país ni de mi ciudad pero esta mañana he vivido in situ, una situación digna de comentar.

Resulta que un amigo mio, que se mudó hace unos años a otra ciudad, tiene sin pagar el impuesto de vehículos mecánicos en A Coruña. Este amigo además, mientras no pague no puede modificar la dirección del vehículo en Tráfico.

Así que me pregunta si yo le puedo hacer la gestión y obviamente respondo que sí.

Lo bueno comienza después. Llego a la oficina de recaudación municipal, cojo número y espero. Cuando uno esta esperando ante el mostrador siempre tiene la típica duda de si le atenderá alguien que necesita all-bran o alguien a quien le funciona bien el intestino por las mañanas.

En este caso, al llegar mi número me atiende un afable funcionario. Le explico la situación, y ni corto ni perezoso, me solicita el nombre y apellido de mi amigo. Lo escribe mal, pero por fortuna la pantalla está colocada de tal forma que puedo verlo y lo corrijo. La primera en la frente.

Realiza la consulta y me informa de las anualidades debidas. Segunda en la frente.

Imprime el documento, con el papel del ayuntamiento. muy bonito. La tercera.

Y para rematarla, me solicita una dirección a la que enviar el recibo una vez pagada la deuda. Mi amigo no responde al teléfono, así que le facilito la mía. La cuarta y última.

En poco menos de 5 minutos, sin que nadie comprobase mi identidad, pude ver la pantalla del ordenador y la información que allí aparecía, obtuve un impreso oficial del ayuntamiento a nombre de otra persona con información de sus deudas y me enviarán a casa el recibo de pago.

Esto en una empresa privada supondría un cúmulo de sanciones, y que a  bote pronto se me ocurren las siguientes:

Una infracción grave del artículo 44.3 g. Vulnerar el deber de secreto. Los datos además en este caso son de nivel medio. Posible sanción de entre 60.000 y 300.000 euros.

Infracción grave derivada del artículo 44.3 h, mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad. Otra posible sanción de entre 60.000 y 300.000 euros.

Infracción muy grave del artículo 44.4 b, la comunicación de datos de carácter personal, fuera de los casos en que estén permitidas. Posible sanción de entre 300.000 y 600.000 euros.

Menos mal que la Administración no responde económicamente y el ayuntamiento de A Coruña ha pagado una buena suma a una consultora para adaptarse a la LOPD y formar a sus empleados…

Bienvenida

Con la creación de este espacio, damos un paso más en nuestro cometido y empeño de crear cultura de protección de datos.

Pretendemos que sea un foro de encuentro de opiniones, tanto para profesionales como para los que no lo son, a los que les preocupe la protección de datos de carácter personal.

Bienvenidos a todos.