La ley de protección de datos no es aplicable a los sistemas de video vigilancia que no generen ficheros de video
- Jueves, Junio 18, 2009, 0:08
- Opinión
- 47 comentarios
Los sistemas de video vigilancia que simplemente reproduzcan en un monitor las imágenes captadas por las cámaras no están obligadas a respetar la normativa de protección de datos ya que no le es de aplicación.
Esta es la primera consecuencia lógica de aplicar la ya consolidada doctrina del Tribunal Supremo y de la Audiencia Nacional de entender que si no existe un fichero de datos, sea manual o automatizado, la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) no entra en juego.
No es mi intención citar toda la jurisprudencia al respecto, simplemente y modo de ejemplo voy a citar las consideraciones de la Audiencia Nacional en un caso cualquiera, como el resulto allá por 2004 en el Recurso 721/2002, donde la Audiencia afirmaba que:
“aunque la definición legal de tratamiento de datos de carácter personal incluye tanto la recogida como la grabación, en este caso concreto no ha existido un tratamiento de datos incardinable o comprendido en el ámbito de la normativa sobre protección de datos de carácter personal dado que los datos recogidos por el empleado de la Caja Rural no dieron lugar a un fichero estructurado ni fueron recopilados con esa finalidad.”
Y concluye la Audiencia Nacional en estimar que al no existir fichero (o no constar prueba del mismo) la LOPD no es de aplicación.
Aquí también podemos traer a colación todas las Sentencias del Tribunal Supremo desestimando la cancelación de datos personales en los libros de bautismo de las parroquias por no constituir éstos ficheros de datos personales a efectos de la LOPD y por tanto, insisto, no entra en juego dicha normativa.
Pues bien, volviendo al tema de las videocámaras. Por todos es sabido que existen esencialmente dos clases: las que graban las imágenes en unos ficheros y las que simplemente las reproducen en un monitor. Continuando con la doctrina anterior, asumida por la propia Agencia Española de Protección de Datos, este último tipo, las que no generan fichero, no se encontrarían sometidas a la LOPD.
¿Qué consecuencias puede tener esto?
A mí se me ocurren algunas:
- Para empezar, no sería exigible cumplir con el artículo 5.1 de la LOPD ni por supuesto con el 3 de la Instrucción 1/2006 sobre Videovigilancia. Estos artículos obligan a informar de la existencia de videocámaras y del responsable del mismo.
- Tampoco sería exigible contar con el consentimiento de las personas que pudieran aparecer en estas imágenes, en el caso de que éste fuera necesario. Así por ejemplo, la Agencia Española de Protección de Datos no podría sancionarme si instalo una cámara enfocando a la ventana de mi vecina que no tiene cortinas, reproduciendo lo que capte por la mañana y por la noche, ya sea en mi televisión o por circuito cerrado a todo el edificio, o por mi webcam a mis colegas.
- Y por supuesto, aunque mi sistema de videocámaras generase ficheros de video, siempre podría borrarlos antes de que llegasen los inspectores.
Por suerte, la LOPD no es la única ley que protege la captación de la propia imagen (en mi opinión es que nunca debería haberlo hecho), la Ley Orgánica 1/1982 de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, extiende un manto protector sobre nuestra imagen, así, el artículo séptimo de esta ley determina que tendrán la consideración de intromisiones ilegítimas en la intimidad de las personas:
“El emplazamiento en cualquier lugar de aparatos de escucha, de filmación, de dispositivos ópticos o de cualquier otro medio apto para grabar o reproducir la vida íntima de las personas.
La captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos…”
Pero claro, a efectos de denuncia, no es lo mismo la comodidad y gratuidad de la Agencia Española de Protección de Datos que la jurisdicción ordinaria…
Recibe estos articulos en tu email:
Cargando ...
Por un lado, si sumamos a esta sentencia la que exculpa a la SGAE por grabar en bodas ya que no se generaba fichero, tendremos carta blanca para hacer lo que no plazca con las cámaras. Es decir, tanto si graba(pero sin componer un fichero como decía en la sentencia de la SGAE) como si no graba no se aplica la LOPD.
Y Samuel, ojo con esto. Donde dices “reproduciendo lo que capte por la mañana y por la noche, ya sea en mi televisión o por circuito cerrado a todo el edificio, o por mi webcam a mis colegas.” te recuerdo que a una comunidad de vecinos les sancionaron por hacer precisamente eso…. aunque claro, como no se pongan serios con esto, al final va a ser un cachondeo.
Amigo, Samuel
No estoy de acuerdo con este post.
De hecho, las CCTV no se consideran fichero, pero sí tratamiento. Por tanto, no hay obligación de inscripción en el Registro, pero sí de cumplir con la LOPD LOPD en la medida en que sea posible (difícilmente las copias de seguridad pueden ser aplicadas o se puede ejercitar el derecho de acceso por ejemplo).
Si buscas un poco verás cómo la AEPD es de esta opinión.
Recuerda el origen de la privacidad. En USA Warren y Brandeis plantearon este nuevo derecho precisamente por la invasión que suponía el uso de cámaras de fotos de pequeño tamaño por parte de la prensa.
¿Qué los Libros de Bautismo no son ficheros?¿Qué una cinta de vídeo por muy analógica que sea no es un fichero?¿Qué la SGAE no tiene una videoteca? En fin…
Salu2
Ya de incognito, pero la doctrina jurisprudencial es clara: sin fichero, no hay LOPD. Da igual que hagas tratamiento. De hecho pensaba hablar de la reciente resolución donde se produce un tratamiento de datos (envío de publicidad no consentida) pero al no existir evidencia de fichero alguno, solo del tratamiento, se archiva porque aplican la doctrina antes mencionada y concluyen que la LOPD no es de aplicación a pesar de que ha existido un tratamiento sin consentimiento.
Yo no comparto este punto de vista, yo entiendo que con tal de que haya dato personal + tratamiento es suficiente para que se aplique la Ley, pero ya sabes que la AEPD sigue la palabra de la Audiencia Nacional y del Tribunal Supremo.
Cada vez entiendo menos….
En el artículo 1 de la Instrucción 1/2006 de la Agencia Española, dice textualmente “El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas.
Está claro que con cualquier cámara que simplemente se utiliza para ver emitir la imágenes en un monitor, se “captan” imágenes, se “transmiten y “se emiten en tiempo real”, por lo tanto……
Efectivamente, puede que no se graben las imágenes, pero, para mí, está claro que está incluida dentro de lo previsto en la instrucción y por lo tanto deberá respetar la LOPD.
Y por cierto…. Cualquier captura de imágenes con una video cámara, genera un fichero (formato avi, mpeg, etc.), por lo que no entiendo que eso no se considere un fichero (lo digo por lo de la sentencia de SGAE).
Y si una grabación con una video cámara no es un fichero, ¿las grabaciones de una cámara de video vigilancia (que genera el mismo formato de fichero) si?
Me lo expliquen…
Un saludo
Creo que ya sabes cual es mi opinion (ya desde la famosa sentencia del bautismo avisé que traería cola sobre todo respecto a la videovigilancia), y basicamente es… si no hay fichero no hay LOPD, y dado que los requisitos para la consideracion de ficheros de datos de tipo personal son muy estrictos (y en ningun caso van a poder ser cumplidos por los videos de videovigilancia), el resultado practico es simple: la videovigilancia en general esta fuera del ámbito de la LOPD.
Esto que puede resultar una barbaridad (de hecho lo es) es mucho menor que la regulacion que pretendia aplicar la AEPD en su interpretacion particular de la normativa: custodia ad-eternum de copias de seguridad, aplicacion extensiva exista o no grabacion, cobertura únicamente a instalaciones realizadas por empresas de seguridad (con independencia de que los ficheros esten o no a disposicion de otras personas ajenas a las empresas de seguridad) dejando fuera de la ley a todos los comerciantes que instalan personalmenet camaras de vigilancia.
Resulta imprescindible una reforma legislativa que delimite claramente las obligaciones, ambito objetivo de la ley, asi como solucione un buen numero de problemas que la vigente legislacion no aborda obligando a la AEPD a realizar autenticos encajes de bolillos interpretativos para poder dar una respuesta (en muchos casos, como hemos podido comprobar, inconsistente).
Entiendo que estamos hablando de dos cuestiones diferentes:
Una es que si la videocámara no graba las imágenes, ciertamente no hay fichero y por tanto no es aplicable la LOPD (estoy de acuerdo con Samuel en esto).
Otra muy distinta es la Ley Orgánica que protege mi honor y el derecho a mi propia imagen, en base a la que, en modo alguno se me puede grabar sin mi consentimiento expreso, si se está grabando mi vida íntima (otro tema distinto es la cámara de una calle o de un establecimiento donde se graba mi vida pública, y no mi intimidad personal).
El objetivo de las cámaras es protegernos, prevenir el crimen y tener pruebas de delitos.
En mi opinión esto es lo más importante, en paises como Inglaterra donde hay tantos miles de cámaras en negocios, autobuses, metros, calles,…. las cámaras han sido muy importantes para resolver asesinatos, secuestros y delitos varios.
En España parece que estamos más preocupados en que no nos vigilen para proteger nuestra intimidad pero no nos preocupa que estamos desprotegidos totalmente ante delincuentes y asesinos que campan a sus anchas.
Me gustaría saber vuestra opinión al respecto.
Samuel,
Estarás conmigo en que la Audiencia Nacional no está haciendo más que entorpecer la interpretación de la normativa, especialmente con las sentencias de los libros de bautismo pero también con otras de las que te has hecho eco en el blog (por ejemplo, el dato de teléfono por sí mismo no es un dato de carácter personal).
Va siendo hora de que alguien vaya al TC a ver si éste va poniendo algo de luz en lo de fichero vs tratamiento y el concepto de dato de carácter personal.
Para mí el enfoque dado en nuestro ámbito es erróneo, cosa que no sucede en el anglosajón. Lo determinante no es que se pueda poner nombre y apellidos a una persona, sino que a través de datos que permitan reconocer a un sujeto se hagan tratamientos que puedan afectar a sus derechos (relee el artículo 18.4 CE, el artículo 1 LOPD. Por ejemplo, elaborar perfiles mediante una dirección IP y por ejemplo bannear a alguien de un sitio cuando ha habido un error en el tratamiento ¿se han visto afectados los derechos de la persona que estaba detrás del perfil y dirección IP a él/ella asociados? Lo mismo sucede con el uso de nuestro teléfono fijo o móvil para abrasarnos a publicidad (llamadas comerciales anónimas atendidas o automáticas, SMS y MMS comerciales, ventanas emergentes,…). ¿Y qué es de nuestro derecho a que nos dejen solos, tranquilos?
Por ejemplo, mira lo que dice Peter Fleischer aquí en relación con la consideración de las direcciones IP como datos de carácter personal o no. Sorpresa, ¿no? Pues dice exactamente lo que yo llevo predicando hace bastante tiempo.
http://news.zdnet.co.uk/security/0,1000000189,39540137,00.htm
Los anglosajones hablan de Personal Identifiable Information y no de Datos de Carácter Personal ¿ves ahora la diferencia?
¿Hasta qué punto crees que puede ser un problema escanear la red en busca de sitios fraudulentos por empresas de seguridad si las direcciones IP son datos de carácter personal (por ejemplo, bases de datos de las que tiran los filtros antiphishing de nuestros navegadores)? No veo a estas empresas información y recabando consentimiento de las mafias de cibercriminales y siendo por ello sancionadas, pues entiendo que lo hacen en post del interés general de evitar los fraudes on-line. ¿O no?
¿Has pensado en qué pasaría con la interpretación de casos como el de la resolución de la AEPD en el caso de Antevenio (responsables de fichero) y Bankinter (responsable de tratamiento) por el envío a un menor de una tarjeta de crédito por no contar con un sistema de validación de datos de entrada en el formulario web de un sitio de trucos de videojuegos? Recuerda que sancionaban a ambas compañías.
¿Para qué entonces discutir tanto en la diferenciación de responsable de fichero y responsable de tratamiento o en establecer el régimen diferenciado del artículo 46 RLOPD para las campañaspublicitarias?
¿O por qué siempre criticar tanto a Google por ser el Panopticón, si la mayoría de los datos que tratan no están asociados a una persona que puedan identificar con nombre y apellidos? Según la AEPD habríoa fichero, además de tratamiento, pero como no estaríamos antes datos de carácter personal (si aplicamos lo de que el teléfono por sí mismo no es un dato de carácter personal).
Guillermo,
Una cosa es el derecho a la intimidad y otra el derecho a la propia imagen, por muy interrelacionados que estén ambos derechos. Estar en las instalaciones de una empresa o una Administración no forma parte de nuestro ámbito íntimo, sino privado. Creo que la diferenciación debe hacerse recurriendo al ejemplo de la cebolla o las esferas: en el núcleo el yo íntimo, después el yo privado y en el extremo esterno el yo público.
Asesor,
El objetivo de las videocámaras es además del apuntado el control de acceso a edificios e instancias dentro de estos, la protección del patrimonio, la seguridad física de las personas (por ejemplo empleados VIP en garajes), la prevención de riesgos laborales por ejemplo dentro de un CPD o en una cadena de montaje,…
Salu2
hola a todos, estoy con Carlos. Si tomamos el artículo 1 de la Instrucción 1/2006 de la Agencia Española, que dice textualmente “El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas, esta claro que queda bajo el ámbito objetivo de la instruccion el mero tratamiento.
Por tanto, si lo interpretamos junto con la jurisprudencia mencionada, la conclusión inmediata es que HAY QUE REFORMAR LA INSTRUCCIÓN. No os parece??
De acuerdo contigo Maria
Asesor dijo:
Las cámaras lo único que hacen es modificar la práctica de los delincuentes, no la eliminan. De hecho, con videocámaras solo se cogen a no-delincuentes que en algún momento pierden los nervios y cometen alguna barbaridad. Si observais los casos mas mediaticos, no suelen tener imágener. Las cámaras de videovigilancia no suelen servir de nada en el caso de actuaciones terroristas. Al final ¿para que sirven? para vigilar a quienes no son delincuentes, es decir, a la inmensa mayoria.
Por otra parte, parafraseando a Thomas Jefferson: “Los pueblos que sacrifican su libertad en aras de la seguridad, no merecen libertad ni seguridad”.
Para mi, la mayor parte de las cámaras de videovigilancia suponen un tratamiento excesivo.
deincognito: completamente de acuerdo contigo; planteas interrogantes muy interesantes, y de dificil respuesta… y lo que es peor, que las Agencias nacionales y el propio Supervisor no están trabajando en una linea para armonizar o aclarar esos conceptos.
Una resolución de archivo que canta:
https://www.agpd.es/portalweb/resoluciones/archivo_actuaciones/archivo_actuaciones_2009/common/pdfs/E-00744-2007_Resolucion-de-fecha-09-02-2009_Art-ii-culo-11-LOPD.pdf
¿Será porque Andalucía es un feudo del PSOE y un ministro del PSOE nombro al actual director de la AEPD?
Samuel,
El problema es que no hay reglas matemáticas en Derecho.
En el asunto de direcciones IP creo que debe hacerse un análisis caso por caso y la referencia debe ser el “singling someone out” que dice en el vídeo Peter Husting, que no Fleischer como citaba erróneamente en mi anterior post.
Se trata de que exista o no la posibilidad de individualizar a un sujeto dentro de una multitud y tomar decisiones en base a esa identificación, es entonces cuándo estamos ante esa persona identificable Y SIN NECESIDAD DE QUE SE PUEDA CONOCER SU NOMBRE Y APELLIDOS DANDO IGUAL EL PLAZO O ESFUERZO NECESARIO PARA ELLO.
Salu2
“Y por supuesto, aunque mi sistema de videocámaras generase ficheros de video, siempre podría borrarlos antes de que llegasen los inspectores.”
Me he informado y me han dicho que depende del tiempo y las ganas del inspector, podrian recuperar los ficheros borrados, que solo seria imposible si se realizase un borrado seguro, lo que no está al alcance de la mayoria, que existen herramientas que incluso permiten recuperan ficheros que se han sobreescrito varias veces (me dijeron la cantidad, pero no lo recuerdo).
Además, los inspectores no siempre avisan. Si lo creen contraproducente no lo hacen, pero en general, como los investigados no saben que es lo que van buscando, suelen avisar.
Sí claro, existen aplicaciones de esas características, yo de hecho he utilizado alguna de ellas, aun así dudo mucho que el inspector de turno llegue tan lejos, sobre todo si echamos un vistazo a las resoluciones donde practicamente no realizan ninguna prueba en los sistemas informáticos y se limitan a reproducir las declaraciones de los responsables…
Samuel Parra dijo:
Para ser exacto, lo que habria que decir es que el numero de inspecciones se está reduciendo, a la vez que aumenta el numero de denuncias. El motivo es claro: el numero de inspectores no aumenta. Pero en las inspecciones SIEMPRE hay una fase de comprobaciones materiales, que normalmente supone la consulta de los sistemas informáticos. A veces es consultando directamente en la aplicación. En ocasiones no encontraban en la aplicación lo que buscaban y se han ido a consultar a la base de datos. En otras ocasiones les he visto entrar en el registro de Windows para ver si en algun momento habia estado instalada una aplicación, o hacer una busqueda en todo un disco duro para encontar multiples versiones de una base de datos y elebir para consultar la que han estimado mas conveniente. Pero es rarísimo una inspección sin consultas a los sistemas.
Solamente no he visto hacer comprobaciones en sistemas informáticos cuando la denuncia se refería a ficheros en papel.
Otra cuestión es que en la resolución publicada no se refleje, o se refleje mínimamente, porque sobre las comprobaciones realizadas por los inspectores normalmente no hay mucho de que discutir.
Claro que sí Anónimo, estoy seguro que investigarán según las necesidades, pero yo sinceramente no creo que lleguen a utilizar aplicaciones como las que mencionamos. Buscarán ficheros de video en todo el disco duro, en la papelera de reciclaje, etc, pero ¿crees que utilizarán una aplicación de recuperación de ficheros para ver si hay algún video?
Samuel llevo un tiempo siguiendo tu blog y hoy por primera vez he decidido escribir un comentario. En primer lugar agradecerte el que pongas tus conocimientos sobre Protección de Datos a disposición de los demás.
En segundo lugar, y aprovechando el hilo sobre la videovigilancia, comentar que parece ser que se está redactando un proyecto de ley donde se establece que si la instalación de videovigilancia no lleva contratada la prestación de un servicio de alarmas no le será de aplicación de la Ley de Seguridad Privada.
Por lo tanto la instalación podría ser realizada por cualquier tipo de empresa como por ejemplo de telecomunicaciones, informática, etc. Te adjunto borrador.
http://www.meh.es/Documentacion/Publico/PortalVarios/Gestin%20del%20Portal/Proyectos%20normativos/LEY%20ÓMNIBUS%20nuevo%20texto%2012-6-09.pdf
Un saludo,
José Juan Cerpa
http://jcerpa.blogspot.com
Hola José Juan. Gracias por la información, el asunto parece interesante
por las consecuencias prácticas que ya te imaginarás…
Buenos días.
La reforma legal a la que se refiere José Juan Cerpa en su comentario es la derivada de la incorporación a la normativa interna de la Directiva Bolkestein, es decir, la Directiva 2006/123/CE, Parlamento Europeo y del Consejo, de 12 de diciembe de 2006, relativa a los servicios en el mercado interior. Esa reforna consistirá en la aprobaciñon de dos leyes, hoy en fase de proyecto: Ley sobre el libre acceso a las actividades de servicios y su ejercicio, así como Ley (la conocida como Ley Omnibus) de modificación de diversas leyes estatales para su adaptación a la anterior.
Es en esta última donde se modifica la Ley de Seguridad Privada en el sentido apuntado por José Juan. Como bien dice Samuel, sus consencuencias, de aprobarse en la forma prevista, son importantes: La AEPD, por activa y por pasiva, ha mantenido que la legitimación legal para el tratamiento de la imagen a través de sistemas de videovigilancia tipo comunidad de propietarios, comercio (no control empleados)…, habida cuenta la imposibilidad de recabar innumerables consentimientos individualizados, precisamente radicaba en la LSP, dada la reserva y la obligatoriedad de que este tipo de instalaciones fueren realizadas por una empresa de seguridad privada. Sin embargo, si la reforma de la LSP expresamente excluye buena parte, por no decir la mayoría, de estas instalaciones de su ámbito de aplicación, de forma que podrán ser realizadas por cualquier prestador de servicios o incluso por el propio destinatario, eso significa la desaparición de la cobertura legal designada por la propia AEPD para legitimar ese tratamiento. Esto supone un grave problema, porque entonces la única vía abierta para esa legitimación pasará a ser la de contar con el consentimiento individual de cada sujeto cuya imagen pueda ser captada por las cámaras de videovigilancia; algo que inviable. Por tanto, el legislador deberá ponerse las pilas para dar nueva cobertura con rango de Ley a estas instalaciones.
Excelente explicación Alfonso; me gustaría sacar algo de tiempo para escribir un artículo sobre las consecuencias de que finalmente la reforma de la LSP acabe en esos términos, pero Alfonso, ¿y si el legislador incluye una disposición adicional expresando algo así como “no será necesario exigir el consentimiento a efectos LOPD para blabla”?, tal y como hicieron con la reforma de la Ley Orgánica de Universidades a efectos de publicar las notas de los alumnos universitarios…
Hola Samuel. En el último número de datospersonales.org puedes encontrar un breve artículo al respecto. Creo sinceramente que si la reforma se aprueba en los términos propuestos habrá un verdadero problema de falta de legitimación. ¿Solución a través de una disposición adicional en la LSP? Cumple el requisito de rango, pero creo que lo procedente sería una revisión a fondo de los criterios imperantes en cuanto a la videovigilancia y el sector privado, en lo que nos podemos meter cuando quieras.
Por otra parte, esta reforma saca a la luz otra cuestión no menos importante: la reprobable creación de un nicho de negocio acotado a las empresas de seguridad privada que supone la legislación actual y su intepretación por parte de la AEPD. Creo que este es el único caso en el que la búsqueda de una norma de rango legal que amparase un tratamiento supone de facto una reserva de actividad a favor de un determinado colectivo profesional, algo que resulta inaceptable.
Leyendo en tu blog las consecuencias que tu señalas me sorprende esta frase -”Y por supuesto, aunque mi sistema de videocámaras generase ficheros de video, siempre podría borrarlos antes de que llegasen los inspectores”-. Supongo que, por un lado, sabes que informáticamente, es posible recuperar la información que el usuario de un equipo ha borrado o ha mandado a la papelera de reciclaje pensando que la eliminado definitivamente de su equipo, dado que la información no se borra del disco duro se sobreescribe, con lo que podrían localizarse por parte de un informatico restos de ficheros; pero, además, siendo este un blog de protección de datos, no entiendo que de una manera manifiesta recomiendes el borrado en caso de inspección. ¿No sería más serio recomendar que la gente cumpla la ley?.
Saludos
Hola Anónimo. Yo no recomiendo que la gente incumpla la ley, simplemente digo que tal y como está constituido el sistema de garantías del proceso, recopilar las pruebas necesarias para ese caso concreto podría ser posible a poca idea que tenga el responsable: borrar los ficheros o similar. Yo nunca he recomendado no cumplir la ley, pero sí que siempre pongo de manfiesto las debilidades de las mismas y las deficiencias del legislador, adoptando una posición crítica.
Respecto al borrado del fichero, pues sí, se puede recuperar hasta cierto punto: se pueden utilizar aplicaciones de borrado seguro, se puede hacer desaparecer físicamente el disco duro, etc. En cualquier caso, no creo que ningún inspector vaya a instalar ninguna aplicación de recuperado de ficheros en el ordenador del presunto infractor por una denuncia de esta clase, y yo creo que de ninguna en esta materia.
Samuel, decir como dices que “siempre se pueden borrar antes de que llegue la inspección” me parece, a título personal y sin ser experto en la materia, que es como decirle a alguién -”si lo haces, por lo menos que no te pillen”. La ley, por lo que leo en tu blog, establece una serie de obligaciones que, si no se cumplen, pueden conllevar una sanción; tu sacas a la luz comportamientos de empresas que vulneran la LOPD, y decirle a alguien que borre porque así se libra, no lo veo muy coherente.
Un saludo
Se me olvidó lo que quería preguntarte en referencia a tu respuesta de -”no creo que ningún inspector vaya a instalar ninguna aplicación de recuperado de ficheros en el ordenador del presunto infractor por una denuncia de esta clase, y yo creo que de ninguna en esta materia”-. Entonces, ante una denuncia e inspección, la AEPD no tiene potestad para recabar pruebas y verificar si se está incumpliendo o no la ley?. Me sorprende tu respuesta después de haber visto el art.124 del RD 1720/2007, que dice claramente -”Los inspectores podrán recabar cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal fin podrán requerir la exhibición o el envío de los documentos y datos y examinarlos en el lugar en que se encuentren depositados, como obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación, accediendo a los lugares donde se hallen instalados”-.
Hola Anónimo. Una cosa es “lo que pueden hacer” y otra cosa es “lo que hacen”; naturalmente que puede recabar toda la información que estimen oportuno, para eso tienen ese estatus jurídico, como también la guardia civil “podría” hacer un control de alcoholemia al 100% de los conductores las 24 horas del día, podría hacerlo según la ley (la ley no se lo impide), pero ¿lo pueden ejecutar materialmente?, evidentemente no.
Los inspectores de la AEPD “pueden” hacer todo eso que dices, y más, pero en la práctica habitual no es así, primero por falta de tiempo (el ejemplo más claro de esta falta de tiempo es que ante una denuncia por inexistencia de cartel informativo videovigilancia lo más normal es que NO vaya un inspector de la AEPD a ver si efectivamente no hay cartel, sino que solicita la colaboración de la policía local del lugar para que levante acta sobre esos extremos, el inspector no tiene tiempo de desplazarse y demás), y segundo por conocimientos técnicos: los inspectores no tienen por qué ser especialistas en informática, ni en seguridad digital, etc, de manera que no se van a complicar mucho la vida instalando aplicaciones que desconocen, que pueden causar daños en los sistemas de la empresa, etc. Lo que normalmente hacen es ejecutar las propias aplicaciones de la empresa que inspeccionan e intentan buscar algún indicio o prueba de lo denunciado, NO van a realizar un análisis forense en los sistemas informáticos.
Respecto a mi supuesta recomendación que hago a los lectores para saltarse la ley; en mi blog he publicado muchos artículos que vienen a demostrar como en la práctica una ley puede convertirse en papel mojado dados los avances técnicos, así por ejemplo, el artículo sobre “Cualquiera puede suscribirte a movilisto” o el de “chanchullos para eludir la LSSI”; no estoy recomendando a nadie que haga esto, pero pongo de manifiesto la inutilidad de una ley o un artículo frente a los procedimientos técnicos o informáticos, en otras palabras, es una crítica al sistema establecido.
Anónimo dijo:
Muy bonito, pero la carga de los inspectores ha sido creciente. Ha aumentado, y mucho, el número de instructores en la AEPD, pero no el de inspectores, a los que no paran de aumentar la carga de trabajo, y ya dice el refran “quien mucho abarca, poco aprieta”. Ante el aumento de las denuncias, la Agencia está montando un sistema industrial de gestión de las denuncias. Al final va a terminar como las multas de tráfico: te llegará una carta con la denuncia, la sanción y el pie de recurso. Te reduciran la sanción automáticamente por aplicación del artículo 45.5 y como la gente sabrá que si recurre le pueden aumentar la sanción, multiplicandola pos 10 e incluso por 100, pues se la tragará sin recurrir.
Antiguamente no habia sanción importante que se resolviese sin una inspección presencial, los antiguos directores no lo permitian, decian con toda la razon, que no podian imponer una sanción de 10 millones de pesetas sin que hubiese una inspección presencial donde se recabasen pruebas acreditativas suficientes. La Agencia no se creia nada porque se lo digesen los denunciados, iban los inspectores a comprobarlo. Si se habia hecho una busqueda en una base de datos y habia dado un resultado, todo esto habia sido delante de un inspector que fijaba los parámetros de la búsqueda y comprobaba el resultado. En la actualidad, las investigaciones se resuelven mayoritariamente por carta, el denunciado tiene tiempo de pensarse la contestación, destruir o crear pruebas, y contestar a placer. Ademas, y en una practica creciente, para que acepten una denuncia el denuciante tiene que aportar pruebas irrefutables. Si no es así, remiten una carta solicitando esas pruebas, y ya hay denunciantes que estan contestando que es la Agencia quien tiene que realizar las investigaciones, no el denunciante.
Hay rumores de que la Ley omnibus (Ley de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio) se aprobará antes de que acabe el año. ¿Preparados para un verdadero Gran Hermano?
Samuel Parra dijo:
Samuel, ¿en cuantas inspecciones presenciales has estado?. Todos los inspectores y subinspectores pertenecen, todos, a cuerpos TIC, y tienen conocimientos de seguridad informática, formación en auditoría informática, habiendo CISA’s y CISM entre ellos. Lo que no tienen es tiempo. Tienen una media de 2 dias para dedicar a cada investigación de cada denuncia. Una denuncia que tenga 3 inspecciones, como alguna que he visto, les quita tiempo para decicar a las otras.
Busca alguna resolución sobre casos bastante técnicos y podrás ver como escarban. Lo que dicen en las actas de inspección los inspeccionados no es por hablar, sino por las preguntas que les hacen los inspectores, y en la fase de comprobación, lo que dicen que han visto no es porque se lo haya enseñado sin mas el inspeccionado, escarban hasta donde haga falta. Si mirando en la aplicación es suficiente, no van a mas, pero si hace falta hacen consultas directas a la base de datos, a los logs, etc. lo hacen, dentro de las limitaciones de tiempo. Te dicen lo que quieren, si no se lo das exactamente, te dicen lo que tienes que hacer, si sigues sin darselo te dicen exactamente, incluso letra a letra, lo que tienes que teclear en el ordenador. Es raro que se pongan directamente en el ordenador, pero en ocasiones lo hacen.
Respecto a lo de borrar datos, pues en muchas ocasiones no sirve de nada. Cuando le llegan ya tienen suficiente para abrir el sancionador. Sabras que no tienen nada, o muy poco si la inspección es sin avisar, lo que tambien ocurre. Pero como normalmente no se sabe que buscan, pues no hay tiempo para reaccionar.
Samuel, te planteo una pregunta. Consideras que un tipo reducido del iva, como el que se aplica a los vehículos de personas con movilidad reducida, es un dato de nivel alto, o por ser un dato que hace referencia al cumplimiento de un deber fiscal, debe ser de nivel básico?
Gracias
Yo creo que no es ni básico ni alto, simplemente no lo considero un dato de carácter personal: ese dato no es ninguna “información relativa a una persona física identificada o identificable”.
Parece ser que finalmente se ha aprobado la ley omnibus (afectando a la Ley de Seguridad Privada). Samuel ¿qué repercusiones crees que puede tener esto sobre la LOPD y sobre todo a la hora de la obtención del consentimiento de los afectados/interesados? Hasta ahora la AEPD se amparaba en la LSP. Saludos
José Juan Cerpa dijo:
Pues creo que precisamente excluye de su ámbito de aplicación a la seguridad privada (art. 2.2 k)
Samuel, el 24 de Noviembre se publicó en el BOE la Ley omnibus.
http://www.boe.es/boe/dias/2009/11/24/pdfs/BOE-A-2009-18731.pdf
En ella se liberaliza el sector servicios excluyendo entre otros el de la seguridad privada.
Lo que pasa es que el 23 de diciembre se publicó la modificaciones de ciertas leyes entre ellas la LSP donde parece que se permite la instalación de sistemas de seguridad que no vayan conectados a centrales de alarma por otras empresas ¿o me equivoco?.
http://www.boe.es/boe/dias/2009/12/23/pdfs/BOE-A-2009-20725.pdf
Por favor corríjanme si me equivoco. Entonces ¿como queda la cosa?
Saludos y gracias
Hola a los tres, yo es que siempre he entendido que la LSP no era de aplicación a un señor que instala una cámara en su domicilio o a un establecimiento que pone una cámara en su local (si leemos el ámbito de aplicación de la LSP lo deja claro).
Así que esta modificación en efecto viene a confirmar esta teoría por lo que parece que la AEPD no podrá sujetarse a la LSP como ley habilitante para un tratamiento de datos en esos caso… pero ya se inventarán otra cosa…
¿Se supone entonces que un señor que instala un sistema de videovigilancia en su establecimiento (sin intervención de una empresa de seguridad privada) estaría realizando un tratamiento legítimo de datos de carácter personal? ¿Bastaría para la solicitud del consentimiento del afectado el informar con el cartel homologado correspondiente? Gracias nuevamente
Hola Samuel, felices pascuas! Hoy, 30 diciembre la Agencia ha publicado una nota informativa, que creo no se moja en absoluto, dado que no llega a determinar cuál sería el parámetro a tener en cuenta para considerar como norma habilitante para la instalación de cámaras de videovigilancia por empresas ajenas a la LSP sin necesidad de contar con el consentimiento de todo bicho viviente que fuese objeto de grabación.
en todo caso, manifiesta y cito textualmente:
«De
este modo, dado que la ley permite la instalación y mantenimiento de dichos equipos
por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos
dispositivos para tratar los datos personales derivados de la captación de las imágenes
sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento
conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.»
https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2009/notas_prensa/common/diciembre/301209_NotaVideovigilancia.pdf
Hola a todos, yo no estoy muy informado de este tema y la verdad es que me ronda una pregunta por la cabeza y es que si las empresas pueden instalar cámaras de video vigilancia y el jefe por ejemplo pueden hacer uso de estas en su casa o también por ejemplo entregarle a la empresa una documentación que tenga mis datos personales y a la semana siguiente pedir esa documentación y resulte que no me la puedan dar porque dicen que me la han tirado. Gracias y MUY FELIZ AÑO
Totalmente de acuerdo con Fernando Pacheco. La Ley Omnibus es un despropósito jurídico. La AGPD ha emitido una nota informativa modificando la LSP cuando no es de su competencia. Si la legitimación respecto al cumplimiento de la LOPD se amparaba en la LSP porque las empresas de seguridad homologadas eran las únicas autorizadas para realizar instalaciones de videovigilancia….Si ahora puede realizar una instalación de videovigilancia un particular, una empresa informática o un lampista…de ninguna manera se les puede aplicar la Ley de Seguridad Privada ya que no les afecta. Conclusión: La Ley Omnibus ha ilegalizado miles de instalaciones. Veremos las sentencias que van dictando los juzgados y si aceptan como pruebas grabaciones de equipos no instalados por empresas de seguridad habilitadas, que por ley deben asesorar y cumplir la LOPD. No creo que finalmente quede así el asunto. Por otra parte el 95% de los usuarios de videovigilancia disponen previamente de equipos de alarma conectados a CRA (Tipo Securitas Direct, Prosegur, ADT) con lo cual el sistema de videovigilancia forma parte del dispositivo de seguridad y debe ser instalado por una empresa de seguridad homologada. La Ley Omnibus no cambia nada en la práctica pero induce a confusionismo. Ahora queda por ver cómo se pronuncia la AGPD y qué tiene que decir el Ministerio del Interior respecto a la LSP.
Jose dijo:
Falta que se pronuncie el Ministerio del Interior (DGP) sobre la modificación de la Ley de Seguridad Privada . Por lo que se comenta en los ambientes profesionales jurídicos y de seguridad privada, probablemente se regule más estrictamente la instalación de estos dispositivos. En unos meses se publicará la nueva ley.
La AGPD tiene como función velar por los derechos de los ciudadanos respecto al cumplimiento de la LOPD. Las “urgentes y extrañas” notas informativas que han editado se implican en la modificación de la Ley de Seguridad Privada cuando NO es un asunto de su competencia. Como Empresa de Seguridad Homologada recomiendo esperar a la interpretación del Mº del Interior sobre qué se considera una “conexión CRA” y qué requisitos deberán reunir los instaladores de videovigilancia. Un sistema de videovigilancia nunca está conectado directamente a una CRA, forma parte integrada del sistema de seguridad (este ha sido hasta el día de hoy el criterio de la DGP y no creo que lo modifique). Los instaladores “piratas” de seguridad se van a llevar una sorpresa en los próximos meses.
Marc: http://www.samuelparra.com/2010/01/07/proteccion-de-datos-videovigilancia-y-ley-omnibus/
Quizá sea una visión bastante básica la que expongo pero no creo que sea comparable una cámara que graba las imágenes en algún tipo de formato y crea un fichero con una que reproduce imágenes en tiempo real y no quedan fijadas en ningún tipo de soporte. Entiendo que si no hay fichero no hay LOPD pero como se expone acertadamente en el articulo, esta la Ley Orgánica de protección al honor, intimidad y propia imagen para los casos de violación de la intimidad personal.