Sobre el autor

Samuel Parra

Jurista. Experto en privacidad y protección de datos de carácter personal. 14 años de experiencia en el sector.

62 comentarios

  1. Pingback: meneame.net

  2. 2

    Valentin

    Por un lado, si sumamos a esta sentencia la que exculpa a la SGAE por grabar en bodas ya que no se generaba fichero, tendremos carta blanca para hacer lo que no plazca con las cámaras. Es decir, tanto si graba(pero sin componer un fichero como decía en la sentencia de la SGAE) como si no graba no se aplica la LOPD.

    Y Samuel, ojo con esto. Donde dices “reproduciendo lo que capte por la mañana y por la noche, ya sea en mi televisión o por circuito cerrado a todo el edificio, o por mi webcam a mis colegas.” te recuerdo que a una comunidad de vecinos les sancionaron por hacer precisamente eso…. aunque claro, como no se pongan serios con esto, al final va a ser un cachondeo.

    Responder
  3. 3

    deincognito

    Amigo, Samuel

    No estoy de acuerdo con este post.

    De hecho, las CCTV no se consideran fichero, pero sí tratamiento. Por tanto, no hay obligación de inscripción en el Registro, pero sí de cumplir con la LOPD LOPD en la medida en que sea posible (difícilmente las copias de seguridad pueden ser aplicadas o se puede ejercitar el derecho de acceso por ejemplo).

    Si buscas un poco verás cómo la AEPD es de esta opinión.

    Recuerda el origen de la privacidad. En USA Warren y Brandeis plantearon este nuevo derecho precisamente por la invasión que suponía el uso de cámaras de fotos de pequeño tamaño por parte de la prensa.

    ¿Qué los Libros de Bautismo no son ficheros?¿Qué una cinta de vídeo por muy analógica que sea no es un fichero?¿Qué la SGAE no tiene una videoteca? En fin…

    Salu2

    Responder
  4. 4

    Samuel Parra

    Ya de incognito, pero la doctrina jurisprudencial es clara: sin fichero, no hay LOPD. Da igual que hagas tratamiento. De hecho pensaba hablar de la reciente resolución donde se produce un tratamiento de datos (envío de publicidad no consentida) pero al no existir evidencia de fichero alguno, solo del tratamiento, se archiva porque aplican la doctrina antes mencionada y concluyen que la LOPD no es de aplicación a pesar de que ha existido un tratamiento sin consentimiento.

    Yo no comparto este punto de vista, yo entiendo que con tal de que haya dato personal + tratamiento es suficiente para que se aplique la Ley, pero ya sabes que la AEPD sigue la palabra de la Audiencia Nacional y del Tribunal Supremo.

    Responder
  5. 5

    carlos

    Cada vez entiendo menos….

    En el artículo 1 de la Instrucción 1/2006 de la Agencia Española, dice textualmente “El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas.

    Está claro que con cualquier cámara que simplemente se utiliza para ver emitir la imágenes en un monitor, se “captan” imágenes, se “transmiten y “se emiten en tiempo real”, por lo tanto……

    Efectivamente, puede que no se graben las imágenes, pero, para mí, está claro que está incluida dentro de lo previsto en la instrucción y por lo tanto deberá respetar la LOPD.

    Y por cierto…. Cualquier captura de imágenes con una video cámara, genera un fichero (formato avi, mpeg, etc.), por lo que no entiendo que eso no se considere un fichero (lo digo por lo de la sentencia de SGAE).

    Y si una grabación con una video cámara no es un fichero, ¿las grabaciones de una cámara de video vigilancia (que genera el mismo formato de fichero) si?

    Me lo expliquen…
    Un saludo

    Responder
  6. 6

    Fco Javier García

    Creo que ya sabes cual es mi opinion (ya desde la famosa sentencia del bautismo avisé que traería cola sobre todo respecto a la videovigilancia), y basicamente es… si no hay fichero no hay LOPD, y dado que los requisitos para la consideracion de ficheros de datos de tipo personal son muy estrictos (y en ningun caso van a poder ser cumplidos por los videos de videovigilancia), el resultado practico es simple: la videovigilancia en general esta fuera del ámbito de la LOPD.

    Esto que puede resultar una barbaridad (de hecho lo es) es mucho menor que la regulacion que pretendia aplicar la AEPD en su interpretacion particular de la normativa: custodia ad-eternum de copias de seguridad, aplicacion extensiva exista o no grabacion, cobertura únicamente a instalaciones realizadas por empresas de seguridad (con independencia de que los ficheros esten o no a disposicion de otras personas ajenas a las empresas de seguridad) dejando fuera de la ley a todos los comerciantes que instalan personalmenet camaras de vigilancia.
    Resulta imprescindible una reforma legislativa que delimite claramente las obligaciones, ambito objetivo de la ley, asi como solucione un buen numero de problemas que la vigente legislacion no aborda obligando a la AEPD a realizar autenticos encajes de bolillos interpretativos para poder dar una respuesta (en muchos casos, como hemos podido comprobar, inconsistente).

    Responder
  7. 7

    Guillermo Díaz

    Entiendo que estamos hablando de dos cuestiones diferentes:
    Una es que si la videocámara no graba las imágenes, ciertamente no hay fichero y por tanto no es aplicable la LOPD (estoy de acuerdo con Samuel en esto).
    Otra muy distinta es la Ley Orgánica que protege mi honor y el derecho a mi propia imagen, en base a la que, en modo alguno se me puede grabar sin mi consentimiento expreso, si se está grabando mi vida íntima (otro tema distinto es la cámara de una calle o de un establecimiento donde se graba mi vida pública, y no mi intimidad personal).

    Responder
  8. 8

    Asesor

    El objetivo de las cámaras es protegernos, prevenir el crimen y tener pruebas de delitos.

    En mi opinión esto es lo más importante, en paises como Inglaterra donde hay tantos miles de cámaras en negocios, autobuses, metros, calles,…. las cámaras han sido muy importantes para resolver asesinatos, secuestros y delitos varios.

    En España parece que estamos más preocupados en que no nos vigilen para proteger nuestra intimidad pero no nos preocupa que estamos desprotegidos totalmente ante delincuentes y asesinos que campan a sus anchas.

    Me gustaría saber vuestra opinión al respecto.

    Responder
    1. 8.1

      pepe33

      Prevenir el crimen con miles de camaras que se graban y se visualizan a posteriori, lo dudo, es mas razonable emitir las camaras y advertirlo asi, los delincuentes no se imaginan por donde les va a venir el “palo” y eso si previene. El que una vez que me hayan matado resuelvan el crimen de poco me va a servir, prefiero permanecer vivo y con suerte poder huir si los veo venir.

      Responder
  9. 9

    deincognito

    Samuel,

    Estarás conmigo en que la Audiencia Nacional no está haciendo más que entorpecer la interpretación de la normativa, especialmente con las sentencias de los libros de bautismo pero también con otras de las que te has hecho eco en el blog (por ejemplo, el dato de teléfono por sí mismo no es un dato de carácter personal).

    Va siendo hora de que alguien vaya al TC a ver si éste va poniendo algo de luz en lo de fichero vs tratamiento y el concepto de dato de carácter personal.

    Para mí el enfoque dado en nuestro ámbito es erróneo, cosa que no sucede en el anglosajón. Lo determinante no es que se pueda poner nombre y apellidos a una persona, sino que a través de datos que permitan reconocer a un sujeto se hagan tratamientos que puedan afectar a sus derechos (relee el artículo 18.4 CE, el artículo 1 LOPD. Por ejemplo, elaborar perfiles mediante una dirección IP y por ejemplo bannear a alguien de un sitio cuando ha habido un error en el tratamiento ¿se han visto afectados los derechos de la persona que estaba detrás del perfil y dirección IP a él/ella asociados? Lo mismo sucede con el uso de nuestro teléfono fijo o móvil para abrasarnos a publicidad (llamadas comerciales anónimas atendidas o automáticas, SMS y MMS comerciales, ventanas emergentes,…). ¿Y qué es de nuestro derecho a que nos dejen solos, tranquilos?

    Por ejemplo, mira lo que dice Peter Fleischer aquí en relación con la consideración de las direcciones IP como datos de carácter personal o no. Sorpresa, ¿no? Pues dice exactamente lo que yo llevo predicando hace bastante tiempo.

    http://news.zdnet.co.uk/security/0,1000000189,39540137,00.htm

    Los anglosajones hablan de Personal Identifiable Information y no de Datos de Carácter Personal ¿ves ahora la diferencia?

    ¿Hasta qué punto crees que puede ser un problema escanear la red en busca de sitios fraudulentos por empresas de seguridad si las direcciones IP son datos de carácter personal (por ejemplo, bases de datos de las que tiran los filtros antiphishing de nuestros navegadores)? No veo a estas empresas información y recabando consentimiento de las mafias de cibercriminales y siendo por ello sancionadas, pues entiendo que lo hacen en post del interés general de evitar los fraudes on-line. ¿O no?

    ¿Has pensado en qué pasaría con la interpretación de casos como el de la resolución de la AEPD en el caso de Antevenio (responsables de fichero) y Bankinter (responsable de tratamiento) por el envío a un menor de una tarjeta de crédito por no contar con un sistema de validación de datos de entrada en el formulario web de un sitio de trucos de videojuegos? Recuerda que sancionaban a ambas compañías.
    ¿Para qué entonces discutir tanto en la diferenciación de responsable de fichero y responsable de tratamiento o en establecer el régimen diferenciado del artículo 46 RLOPD para las campañaspublicitarias?
    ¿O por qué siempre criticar tanto a Google por ser el Panopticón, si la mayoría de los datos que tratan no están asociados a una persona que puedan identificar con nombre y apellidos? Según la AEPD habríoa fichero, además de tratamiento, pero como no estaríamos antes datos de carácter personal (si aplicamos lo de que el teléfono por sí mismo no es un dato de carácter personal).

    Guillermo,

    Una cosa es el derecho a la intimidad y otra el derecho a la propia imagen, por muy interrelacionados que estén ambos derechos. Estar en las instalaciones de una empresa o una Administración no forma parte de nuestro ámbito íntimo, sino privado. Creo que la diferenciación debe hacerse recurriendo al ejemplo de la cebolla o las esferas: en el núcleo el yo íntimo, después el yo privado y en el extremo esterno el yo público.

    Asesor,

    El objetivo de las videocámaras es además del apuntado el control de acceso a edificios e instancias dentro de estos, la protección del patrimonio, la seguridad física de las personas (por ejemplo empleados VIP en garajes), la prevención de riesgos laborales por ejemplo dentro de un CPD o en una cadena de montaje,…

    Salu2

    Responder
  10. 10

    maria

    hola a todos, estoy con Carlos. Si tomamos el artículo 1 de la Instrucción 1/2006 de la Agencia Española, que dice textualmente “El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas, esta claro que queda bajo el ámbito objetivo de la instruccion el mero tratamiento.

    Por tanto, si lo interpretamos junto con la jurisprudencia mencionada, la conclusión inmediata es que HAY QUE REFORMAR LA INSTRUCCIÓN. No os parece??

    Responder
  11. 11
  12. 12

    Pit

    Asesor dijo:

    El objetivo de las cámaras es protegernos, prevenir el crimen y tener pruebas de delitos.
    En mi opinión esto es lo más importante, en paises como Inglaterra donde hay tantos miles de cámaras en negocios, autobuses, metros, calles,…. las cámaras han sido muy importantes para resolver asesinatos, secuestros y delitos varios.
    En España parece que estamos más preocupados en que no nos vigilen para proteger nuestra intimidad pero no nos preocupa que estamos desprotegidos totalmente ante delincuentes y asesinos que campan a sus anchas.
    Me gustaría saber vuestra opinión al respecto.

    Las cámaras lo único que hacen es modificar la práctica de los delincuentes, no la eliminan. De hecho, con videocámaras solo se cogen a no-delincuentes que en algún momento pierden los nervios y cometen alguna barbaridad. Si observais los casos mas mediaticos, no suelen tener imágener. Las cámaras de videovigilancia no suelen servir de nada en el caso de actuaciones terroristas. Al final ¿para que sirven? para vigilar a quienes no son delincuentes, es decir, a la inmensa mayoria.

    Por otra parte, parafraseando a Thomas Jefferson: “Los pueblos que sacrifican su libertad en aras de la seguridad, no merecen libertad ni seguridad”.

    Para mi, la mayor parte de las cámaras de videovigilancia suponen un tratamiento excesivo.

    Responder
  13. 13

    Samuel Parra

    deincognito: completamente de acuerdo contigo; planteas interrogantes muy interesantes, y de dificil respuesta… y lo que es peor, que las Agencias nacionales y el propio Supervisor no están trabajando en una linea para armonizar o aclarar esos conceptos.

    Responder
  14. 14

    Pit

    Una resolución de archivo que canta:

    https://www.agpd.es/portalweb/resoluciones/archivo_actuaciones/archivo_actuaciones_2009/common/pdfs/E-00744-2007_Resolucion-de-fecha-09-02-2009_Art-ii-culo-11-LOPD.pdf

    ¿Será porque Andalucía es un feudo del PSOE y un ministro del PSOE nombro al actual director de la AEPD?

    Responder
  15. 15

    deincognito

    Samuel,

    El problema es que no hay reglas matemáticas en Derecho.

    En el asunto de direcciones IP creo que debe hacerse un análisis caso por caso y la referencia debe ser el “singling someone out” que dice en el vídeo Peter Husting, que no Fleischer como citaba erróneamente en mi anterior post.

    Se trata de que exista o no la posibilidad de individualizar a un sujeto dentro de una multitud y tomar decisiones en base a esa identificación, es entonces cuándo estamos ante esa persona identificable Y SIN NECESIDAD DE QUE SE PUEDA CONOCER SU NOMBRE Y APELLIDOS DANDO IGUAL EL PLAZO O ESFUERZO NECESARIO PARA ELLO.

    Salu2

    Responder
  16. 16

    Pit

    “Y por supuesto, aunque mi sistema de videocámaras generase ficheros de video, siempre podría borrarlos antes de que llegasen los inspectores.”

    Me he informado y me han dicho que depende del tiempo y las ganas del inspector, podrian recuperar los ficheros borrados, que solo seria imposible si se realizase un borrado seguro, lo que no está al alcance de la mayoria, que existen herramientas que incluso permiten recuperan ficheros que se han sobreescrito varias veces (me dijeron la cantidad, pero no lo recuerdo).
    Además, los inspectores no siempre avisan. Si lo creen contraproducente no lo hacen, pero en general, como los investigados no saben que es lo que van buscando, suelen avisar.

    Responder
  17. 17

    Samuel Parra

    Sí claro, existen aplicaciones de esas características, yo de hecho he utilizado alguna de ellas, aun así dudo mucho que el inspector de turno llegue tan lejos, sobre todo si echamos un vistazo a las resoluciones donde practicamente no realizan ninguna prueba en los sistemas informáticos y se limitan a reproducir las declaraciones de los responsables…

    Responder
  18. 18

    Anonimo

    Samuel Parra dijo:

    Sí claro, existen aplicaciones de esas características, yo de hecho he utilizado alguna de ellas, aun así dudo mucho que el inspector de turno llegue tan lejos, sobre todo si echamos un vistazo a las resoluciones donde practicamente no realizan ninguna prueba en los sistemas informáticos y se limitan a reproducir las declaraciones de los responsables…

    Para ser exacto, lo que habria que decir es que el numero de inspecciones se está reduciendo, a la vez que aumenta el numero de denuncias. El motivo es claro: el numero de inspectores no aumenta. Pero en las inspecciones SIEMPRE hay una fase de comprobaciones materiales, que normalmente supone la consulta de los sistemas informáticos. A veces es consultando directamente en la aplicación. En ocasiones no encontraban en la aplicación lo que buscaban y se han ido a consultar a la base de datos. En otras ocasiones les he visto entrar en el registro de Windows para ver si en algun momento habia estado instalada una aplicación, o hacer una busqueda en todo un disco duro para encontar multiples versiones de una base de datos y elebir para consultar la que han estimado mas conveniente. Pero es rarísimo una inspección sin consultas a los sistemas.
    Solamente no he visto hacer comprobaciones en sistemas informáticos cuando la denuncia se refería a ficheros en papel.

    Otra cuestión es que en la resolución publicada no se refleje, o se refleje mínimamente, porque sobre las comprobaciones realizadas por los inspectores normalmente no hay mucho de que discutir.

    Responder
  19. 19

    Samuel Parra

    Claro que sí Anónimo, estoy seguro que investigarán según las necesidades, pero yo sinceramente no creo que lleguen a utilizar aplicaciones como las que mencionamos. Buscarán ficheros de video en todo el disco duro, en la papelera de reciclaje, etc, pero ¿crees que utilizarán una aplicación de recuperación de ficheros para ver si hay algún video?

    Responder
  20. 20

    Jose Juan Cerpa

    Samuel llevo un tiempo siguiendo tu blog y hoy por primera vez he decidido escribir un comentario. En primer lugar agradecerte el que pongas tus conocimientos sobre Protección de Datos a disposición de los demás.
    En segundo lugar, y aprovechando el hilo sobre la videovigilancia, comentar que parece ser que se está redactando un proyecto de ley donde se establece que si la instalación de videovigilancia no lleva contratada la prestación de un servicio de alarmas no le será de aplicación de la Ley de Seguridad Privada.
    Por lo tanto la instalación podría ser realizada por cualquier tipo de empresa como por ejemplo de telecomunicaciones, informática, etc. Te adjunto borrador.

    http://www.meh.es/Documentacion/Publico/PortalVarios/Gestión%20del%20Portal/Proyectos%20normativos/LEY%20ÓMNIBUS%20nuevo%20texto%2012-6-09.pdf

    Un saludo,

    José Juan Cerpa

    http://jcerpa.blogspot.com

    Responder
  21. 21

    Samuel Parra

    Hola José Juan. Gracias por la información, el asunto parece interesante 🙂 por las consecuencias prácticas que ya te imaginarás…

    Responder
  22. Pingback: » LOPD no es aplicable a cámaras que no graben imágenes

  23. 22

    Alfonso Pacheco

    Buenos días.

    La reforma legal a la que se refiere José Juan Cerpa en su comentario es la derivada de la incorporación a la normativa interna de la Directiva Bolkestein, es decir, la Directiva 2006/123/CE, Parlamento Europeo y del Consejo, de 12 de diciembe de 2006, relativa a los servicios en el mercado interior. Esa reforna consistirá en la aprobaciñon de dos leyes, hoy en fase de proyecto: Ley sobre el libre acceso a las actividades de servicios y su ejercicio, así como Ley (la conocida como Ley Omnibus) de modificación de diversas leyes estatales para su adaptación a la anterior.
    Es en esta última donde se modifica la Ley de Seguridad Privada en el sentido apuntado por José Juan. Como bien dice Samuel, sus consencuencias, de aprobarse en la forma prevista, son importantes: La AEPD, por activa y por pasiva, ha mantenido que la legitimación legal para el tratamiento de la imagen a través de sistemas de videovigilancia tipo comunidad de propietarios, comercio (no control empleados)…, habida cuenta la imposibilidad de recabar innumerables consentimientos individualizados, precisamente radicaba en la LSP, dada la reserva y la obligatoriedad de que este tipo de instalaciones fueren realizadas por una empresa de seguridad privada. Sin embargo, si la reforma de la LSP expresamente excluye buena parte, por no decir la mayoría, de estas instalaciones de su ámbito de aplicación, de forma que podrán ser realizadas por cualquier prestador de servicios o incluso por el propio destinatario, eso significa la desaparición de la cobertura legal designada por la propia AEPD para legitimar ese tratamiento. Esto supone un grave problema, porque entonces la única vía abierta para esa legitimación pasará a ser la de contar con el consentimiento individual de cada sujeto cuya imagen pueda ser captada por las cámaras de videovigilancia; algo que inviable. Por tanto, el legislador deberá ponerse las pilas para dar nueva cobertura con rango de Ley a estas instalaciones.

    Responder
  24. 23

    Samuel Parra

    Excelente explicación Alfonso; me gustaría sacar algo de tiempo para escribir un artículo sobre las consecuencias de que finalmente la reforma de la LSP acabe en esos términos, pero Alfonso, ¿y si el legislador incluye una disposición adicional expresando algo así como “no será necesario exigir el consentimiento a efectos LOPD para blabla”?, tal y como hicieron con la reforma de la Ley Orgánica de Universidades a efectos de publicar las notas de los alumnos universitarios…

    Responder
  25. 24

    Alfonso Pacheco

    Hola Samuel. En el último número de datospersonales.org puedes encontrar un breve artículo al respecto. Creo sinceramente que si la reforma se aprueba en los términos propuestos habrá un verdadero problema de falta de legitimación. ¿Solución a través de una disposición adicional en la LSP? Cumple el requisito de rango, pero creo que lo procedente sería una revisión a fondo de los criterios imperantes en cuanto a la videovigilancia y el sector privado, en lo que nos podemos meter cuando quieras.

    Responder
  26. 25

    Alfonso Pacheco

    Por otra parte, esta reforma saca a la luz otra cuestión no menos importante: la reprobable creación de un nicho de negocio acotado a las empresas de seguridad privada que supone la legislación actual y su intepretación por parte de la AEPD. Creo que este es el único caso en el que la búsqueda de una norma de rango legal que amparase un tratamiento supone de facto una reserva de actividad a favor de un determinado colectivo profesional, algo que resulta inaceptable.

    Responder
  27. 26

    Anónimo

    Leyendo en tu blog las consecuencias que tu señalas me sorprende esta frase -“Y por supuesto, aunque mi sistema de videocámaras generase ficheros de video, siempre podría borrarlos antes de que llegasen los inspectores”-. Supongo que, por un lado, sabes que informáticamente, es posible recuperar la información que el usuario de un equipo ha borrado o ha mandado a la papelera de reciclaje pensando que la eliminado definitivamente de su equipo, dado que la información no se borra del disco duro se sobreescribe, con lo que podrían localizarse por parte de un informatico restos de ficheros; pero, además, siendo este un blog de protección de datos, no entiendo que de una manera manifiesta recomiendes el borrado en caso de inspección. ¿No sería más serio recomendar que la gente cumpla la ley?.
    Saludos

    Responder
  28. 27

    Samuel Parra

    Hola Anónimo. Yo no recomiendo que la gente incumpla la ley, simplemente digo que tal y como está constituido el sistema de garantías del proceso, recopilar las pruebas necesarias para ese caso concreto podría ser posible a poca idea que tenga el responsable: borrar los ficheros o similar. Yo nunca he recomendado no cumplir la ley, pero sí que siempre pongo de manfiesto las debilidades de las mismas y las deficiencias del legislador, adoptando una posición crítica.

    Respecto al borrado del fichero, pues sí, se puede recuperar hasta cierto punto: se pueden utilizar aplicaciones de borrado seguro, se puede hacer desaparecer físicamente el disco duro, etc. En cualquier caso, no creo que ningún inspector vaya a instalar ninguna aplicación de recuperado de ficheros en el ordenador del presunto infractor por una denuncia de esta clase, y yo creo que de ninguna en esta materia.

    Responder
  29. 28

    Anónimo

    Samuel, decir como dices que “siempre se pueden borrar antes de que llegue la inspección” me parece, a título personal y sin ser experto en la materia, que es como decirle a alguién -“si lo haces, por lo menos que no te pillen”. La ley, por lo que leo en tu blog, establece una serie de obligaciones que, si no se cumplen, pueden conllevar una sanción; tu sacas a la luz comportamientos de empresas que vulneran la LOPD, y decirle a alguien que borre porque así se libra, no lo veo muy coherente.
    Un saludo

    Responder
  30. 29

    Anónimo

    Se me olvidó lo que quería preguntarte en referencia a tu respuesta de -“no creo que ningún inspector vaya a instalar ninguna aplicación de recuperado de ficheros en el ordenador del presunto infractor por una denuncia de esta clase, y yo creo que de ninguna en esta materia”-. Entonces, ante una denuncia e inspección, la AEPD no tiene potestad para recabar pruebas y verificar si se está incumpliendo o no la ley?. Me sorprende tu respuesta después de haber visto el art.124 del RD 1720/2007, que dice claramente -“Los inspectores podrán recabar cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal fin podrán requerir la exhibición o el envío de los documentos y datos y examinarlos en el lugar en que se encuentren depositados, como obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación, accediendo a los lugares donde se hallen instalados”-.

    Responder
  31. 30

    Samuel Parra

    Hola Anónimo. Una cosa es “lo que pueden hacer” y otra cosa es “lo que hacen”; naturalmente que puede recabar toda la información que estimen oportuno, para eso tienen ese estatus jurídico, como también la guardia civil “podría” hacer un control de alcoholemia al 100% de los conductores las 24 horas del día, podría hacerlo según la ley (la ley no se lo impide), pero ¿lo pueden ejecutar materialmente?, evidentemente no.
    Los inspectores de la AEPD “pueden” hacer todo eso que dices, y más, pero en la práctica habitual no es así, primero por falta de tiempo (el ejemplo más claro de esta falta de tiempo es que ante una denuncia por inexistencia de cartel informativo videovigilancia lo más normal es que NO vaya un inspector de la AEPD a ver si efectivamente no hay cartel, sino que solicita la colaboración de la policía local del lugar para que levante acta sobre esos extremos, el inspector no tiene tiempo de desplazarse y demás), y segundo por conocimientos técnicos: los inspectores no tienen por qué ser especialistas en informática, ni en seguridad digital, etc, de manera que no se van a complicar mucho la vida instalando aplicaciones que desconocen, que pueden causar daños en los sistemas de la empresa, etc. Lo que normalmente hacen es ejecutar las propias aplicaciones de la empresa que inspeccionan e intentan buscar algún indicio o prueba de lo denunciado, NO van a realizar un análisis forense en los sistemas informáticos.

    Respecto a mi supuesta recomendación que hago a los lectores para saltarse la ley; en mi blog he publicado muchos artículos que vienen a demostrar como en la práctica una ley puede convertirse en papel mojado dados los avances técnicos, así por ejemplo, el artículo sobre “Cualquiera puede suscribirte a movilisto” o el de “chanchullos para eludir la LSSI”; no estoy recomendando a nadie que haga esto, pero pongo de manifiesto la inutilidad de una ley o un artículo frente a los procedimientos técnicos o informáticos, en otras palabras, es una crítica al sistema establecido.

    Responder
  32. 31

    Anonimo

    Anónimo dijo:

    y soporte del fichero o ficheros sujetos a investigación, accediendo a los lugares donde se hallen instaladosâ€?-.

    Muy bonito, pero la carga de los inspectores ha sido creciente. Ha aumentado, y mucho, el número de instructores en la AEPD, pero no el de inspectores, a los que no paran de aumentar la carga de trabajo, y ya dice el refran “quien mucho abarca, poco aprieta”. Ante el aumento de las denuncias, la Agencia está montando un sistema industrial de gestión de las denuncias. Al final va a terminar como las multas de tráfico: te llegará una carta con la denuncia, la sanción y el pie de recurso. Te reduciran la sanción automáticamente por aplicación del artículo 45.5 y como la gente sabrá que si recurre le pueden aumentar la sanción, multiplicandola pos 10 e incluso por 100, pues se la tragará sin recurrir.
    Antiguamente no habia sanción importante que se resolviese sin una inspección presencial, los antiguos directores no lo permitian, decian con toda la razon, que no podian imponer una sanción de 10 millones de pesetas sin que hubiese una inspección presencial donde se recabasen pruebas acreditativas suficientes. La Agencia no se creia nada porque se lo digesen los denunciados, iban los inspectores a comprobarlo. Si se habia hecho una busqueda en una base de datos y habia dado un resultado, todo esto habia sido delante de un inspector que fijaba los parámetros de la búsqueda y comprobaba el resultado. En la actualidad, las investigaciones se resuelven mayoritariamente por carta, el denunciado tiene tiempo de pensarse la contestación, destruir o crear pruebas, y contestar a placer. Ademas, y en una practica creciente, para que acepten una denuncia el denuciante tiene que aportar pruebas irrefutables. Si no es así, remiten una carta solicitando esas pruebas, y ya hay denunciantes que estan contestando que es la Agencia quien tiene que realizar las investigaciones, no el denunciante.

    Responder
  33. 32

    José Juan Cerpa

    Hay rumores de que la Ley omnibus (Ley de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio) se aprobará antes de que acabe el año. ¿Preparados para un verdadero Gran Hermano?

    Responder
  34. 33

    Pit

    Samuel Parra dijo:

    los inspectores no tienen por qué ser especialistas en informática, ni en seguridad digital, etc, de manera que no se van a complicar mucho la vida instalando aplicaciones que desconocen, que pueden causar daños en los sistemas de la empresa, etc. Lo que normalmente hacen es ejecutar las propias aplicaciones de la empresa que inspeccionan e intentan buscar algún indicio o prueba de lo denunciado, NO van a realizar un análisis forense en los sistemas informáticos.

    Samuel, ¿en cuantas inspecciones presenciales has estado?. Todos los inspectores y subinspectores pertenecen, todos, a cuerpos TIC, y tienen conocimientos de seguridad informática, formación en auditoría informática, habiendo CISA’s y CISM entre ellos. Lo que no tienen es tiempo. Tienen una media de 2 dias para dedicar a cada investigación de cada denuncia. Una denuncia que tenga 3 inspecciones, como alguna que he visto, les quita tiempo para decicar a las otras.

    Busca alguna resolución sobre casos bastante técnicos y podrás ver como escarban. Lo que dicen en las actas de inspección los inspeccionados no es por hablar, sino por las preguntas que les hacen los inspectores, y en la fase de comprobación, lo que dicen que han visto no es porque se lo haya enseñado sin mas el inspeccionado, escarban hasta donde haga falta. Si mirando en la aplicación es suficiente, no van a mas, pero si hace falta hacen consultas directas a la base de datos, a los logs, etc. lo hacen, dentro de las limitaciones de tiempo. Te dicen lo que quieren, si no se lo das exactamente, te dicen lo que tienes que hacer, si sigues sin darselo te dicen exactamente, incluso letra a letra, lo que tienes que teclear en el ordenador. Es raro que se pongan directamente en el ordenador, pero en ocasiones lo hacen.

    Respecto a lo de borrar datos, pues en muchas ocasiones no sirve de nada. Cuando le llegan ya tienen suficiente para abrir el sancionador. Sabras que no tienen nada, o muy poco si la inspección es sin avisar, lo que tambien ocurre. Pero como normalmente no se sabe que buscan, pues no hay tiempo para reaccionar.

    Responder
  35. 34

    Andres

    Samuel, te planteo una pregunta. Consideras que un tipo reducido del iva, como el que se aplica a los vehículos de personas con movilidad reducida, es un dato de nivel alto, o por ser un dato que hace referencia al cumplimiento de un deber fiscal, debe ser de nivel básico?
    Gracias

    Responder
  36. 35

    Samuel Parra

    Yo creo que no es ni básico ni alto, simplemente no lo considero un dato de carácter personal: ese dato no es ninguna “información relativa a una persona física identificada o identificable”.

    Responder
  37. 36

    José Juan Cerpa

    Parece ser que finalmente se ha aprobado la ley omnibus (afectando a la Ley de Seguridad Privada). Samuel ¿qué repercusiones crees que puede tener esto sobre la LOPD y sobre todo a la hora de la obtención del consentimiento de los afectados/interesados? Hasta ahora la AEPD se amparaba en la LSP. Saludos

    Responder
  38. 37

    Cristina

    José Juan Cerpa dijo:

    Parece ser que finalmente se ha aprobado la ley omnibus (afectando a la Ley de Seguridad Privada). Samuel ¿qué repercusiones crees que puede tener esto sobre la LOPD y sobre todo a la hora de la obtención del consentimiento de los afectados/interesados? Hasta ahora la AEPD se amparaba en la LSP. Saludos

    Pues creo que precisamente excluye de su ámbito de aplicación a la seguridad privada (art. 2.2 k)

    Responder
  39. 38

    Jose

    Samuel, el 24 de Noviembre se publicó en el BOE la Ley omnibus.

    http://www.boe.es/boe/dias/2009/11/24/pdfs/BOE-A-2009-18731.pdf

    En ella se liberaliza el sector servicios excluyendo entre otros el de la seguridad privada.

    Lo que pasa es que el 23 de diciembre se publicó la modificaciones de ciertas leyes entre ellas la LSP donde parece que se permite la instalación de sistemas de seguridad que no vayan conectados a centrales de alarma por otras empresas ¿o me equivoco?.

    http://www.boe.es/boe/dias/2009/12/23/pdfs/BOE-A-2009-20725.pdf

    Por favor corríjanme si me equivoco. Entonces ¿como queda la cosa?

    Saludos y gracias

    Responder
  40. 39

    Samuel Parra

    Hola a los tres, yo es que siempre he entendido que la LSP no era de aplicación a un señor que instala una cámara en su domicilio o a un establecimiento que pone una cámara en su local (si leemos el ámbito de aplicación de la LSP lo deja claro).

    Así que esta modificación en efecto viene a confirmar esta teoría por lo que parece que la AEPD no podrá sujetarse a la LSP como ley habilitante para un tratamiento de datos en esos caso… pero ya se inventarán otra cosa…

    Responder
  41. 40

    José Juan Cerpa

    ¿Se supone entonces que un señor que instala un sistema de videovigilancia en su establecimiento (sin intervención de una empresa de seguridad privada) estaría realizando un tratamiento legítimo de datos de carácter personal? ¿Bastaría para la solicitud del consentimiento del afectado el informar con el cartel homologado correspondiente? Gracias nuevamente

    Responder
  42. 41

    Diego León

    Hola Samuel, felices pascuas! Hoy, 30 diciembre la Agencia ha publicado una nota informativa, que creo no se moja en absoluto, dado que no llega a determinar cuál sería el parámetro a tener en cuenta para considerar como norma habilitante para la instalación de cámaras de videovigilancia por empresas ajenas a la LSP sin necesidad de contar con el consentimiento de todo bicho viviente que fuese objeto de grabación.
    en todo caso, manifiesta y cito textualmente:
    «De
    este modo, dado que la ley permite la instalación y mantenimiento de dichos equipos
    por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos
    dispositivos para tratar los datos personales derivados de la captación de las imágenes
    sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento
    conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.»
    https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2009/notas_prensa/common/diciembre/301209_NotaVideovigilancia.pdf

    Responder
  43. 42

    Diego Leon

    Hola a todos, yo no estoy muy informado de este tema y la verdad es que me ronda una pregunta por la cabeza y es que si las empresas pueden instalar cámaras de video vigilancia y el jefe por ejemplo pueden hacer uso de estas en su casa o también por ejemplo entregarle a la empresa una documentación que tenga mis datos personales y a la semana siguiente pedir esa documentación y resulte que no me la puedan dar porque dicen que me la han tirado. Gracias y MUY FELIZ AÑO

    Responder
  44. 43

    Juan Carlos

    Totalmente de acuerdo con Fernando Pacheco. La Ley Omnibus es un despropósito jurídico. La AGPD ha emitido una nota informativa modificando la LSP cuando no es de su competencia. Si la legitimación respecto al cumplimiento de la LOPD se amparaba en la LSP porque las empresas de seguridad homologadas eran las únicas autorizadas para realizar instalaciones de videovigilancia….Si ahora puede realizar una instalación de videovigilancia un particular, una empresa informática o un lampista…de ninguna manera se les puede aplicar la Ley de Seguridad Privada ya que no les afecta. Conclusión: La Ley Omnibus ha ilegalizado miles de instalaciones. Veremos las sentencias que van dictando los juzgados y si aceptan como pruebas grabaciones de equipos no instalados por empresas de seguridad habilitadas, que por ley deben asesorar y cumplir la LOPD. No creo que finalmente quede así el asunto. Por otra parte el 95% de los usuarios de videovigilancia disponen previamente de equipos de alarma conectados a CRA (Tipo Securitas Direct, Prosegur, ADT) con lo cual el sistema de videovigilancia forma parte del dispositivo de seguridad y debe ser instalado por una empresa de seguridad homologada. La Ley Omnibus no cambia nada en la práctica pero induce a confusionismo. Ahora queda por ver cómo se pronuncia la AGPD y qué tiene que decir el Ministerio del Interior respecto a la LSP.

    Responder
  45. 44

    marc

    Jose dijo:

    Samuel, el 24 de Noviembre se publicó en el BOE la Ley omnibus.
    http://www.boe.es/boe/dias/2009/11/24/pdfs/BOE-A-2009-18731.pdf
    En ella se liberaliza el sector servicios excluyendo entre otros el de la seguridad privada.
    Lo que pasa es que el 23 de diciembre se publicó la modificaciones de ciertas leyes entre ellas la LSP donde parece que se permite la instalación de sistemas de seguridad que no vayan conectados a centrales de alarma por otras empresas ¿o me equivoco?.
    http://www.boe.es/boe/dias/2009/12/23/pdfs/BOE-A-2009-20725.pdf
    Por favor corríjanme si me equivoco. Entonces ¿como queda la cosa?
    Saludos y gracias

    Falta que se pronuncie el Ministerio del Interior (DGP) sobre la modificación de la Ley de Seguridad Privada . Por lo que se comenta en los ambientes profesionales jurídicos y de seguridad privada, probablemente se regule más estrictamente la instalación de estos dispositivos. En unos meses se publicará la nueva ley.

    La AGPD tiene como función velar por los derechos de los ciudadanos respecto al cumplimiento de la LOPD. Las “urgentes y extrañas” notas informativas que han editado se implican en la modificación de la Ley de Seguridad Privada cuando NO es un asunto de su competencia. Como Empresa de Seguridad Homologada recomiendo esperar a la interpretación del Mº del Interior sobre qué se considera una “conexión CRA” y qué requisitos deberán reunir los instaladores de videovigilancia. Un sistema de videovigilancia nunca está conectado directamente a una CRA, forma parte integrada del sistema de seguridad (este ha sido hasta el día de hoy el criterio de la DGP y no creo que lo modifique). Los instaladores “piratas” de seguridad se van a llevar una sorpresa en los próximos meses.

    Responder
  46. 46

    AUDEA

    Quizá sea una visión bastante básica la que expongo pero no creo que sea comparable una cámara que graba las imágenes en algún tipo de formato y crea un fichero con una que reproduce imágenes en tiempo real y no quedan fijadas en ningún tipo de soporte. Entiendo que si no hay fichero no hay LOPD pero como se expone acertadamente en el articulo, esta la Ley Orgánica de protección al honor, intimidad y propia imagen para los casos de violación de la intimidad personal.

    Responder
  47. 47

    Mikel

    En Catalunya el Cuerpo de Mossos d’Escuadra (Policía Autonómica), la autoridad competente en el tema que nos ocupa, ya se ha pronunciado sobre quién debe realizar las instalaciones de sistemas de seguridad tras la publicación de la Ley Ómnibus: Las empresas de seguridad autorizadas, con independencia de conexión a Central Receptora de Alarmas o no. Aquí tenéis el decreto completo publicado en el DOGC del 7 de abril de 2010 :

    Verificación de los sistemas de seguridad y la comunicación a la policía (RI §1041367)
    08/04/2010
    Orden IRP/198/2010, de 29 de marzo, por la que se establecen los criterios de actuación para el mantenimiento y la verificación de los sistemas de seguridad y la comunicación a la policía de la Generalidad-mozos de escuadra de los avisos de alarma (DOGC de 7 de abril de 2010).

    Texto completo.

    ORDEN IRP/198/2010, DE 29 DE MARZO, POR LA QUE SE ESTABLECEN LOS CRITERIOS DE ACTUACIÓN PARA EL MANTENIMIENTO Y LA VERIFICACIÓN DE LOS SISTEMAS DE SEGURIDAD Y LA COMUNICACIÓN A LA POLICÃ?A DE LA GENERALIDAD-MOZOS DE ESCUADRA DE LOS AVISOS DE ALARMA.

    Entre las actividades y los servicios que pueden prestar las empresas de seguridad, de acuerdo con la Ley del Estado 23/1992, de 30 de julio, de seguridad privada, se mencionan la instalación y el mantenimiento de aparatos, dispositivos y sistemas de seguridad y la explotación de centrales para la recepción, verificación y transmisión de las señales de alarma y su comunicación a las fuerzas y cuerpos de seguridad [artículo 5.1.e) y f)].

    Se debe tener en cuenta, asimismo, que de acuerdo con el Reglamento de seguridad privada, aprobado por el Real decreto 2364/1994, de 9 de diciembre, en concreto el artículo 39.1, únicamente podrán realizar las operaciones de mantenimiento de sistemas de seguridad electrónica contra robo e intrusión las empresas autorizadas, añadiendo, además, el artículo 39.1.b) que la prestación a terceros de servicios de recepción, verificación y transmisión de señales de alarma, así como su comunicación a las fuerzas y cuerpos de seguridad, se deben realizar por empresas de seguridad explotadoras de centrales de alarma. De acuerdo con el artículo 43 del Reglamento citado, las instalaciones de aparatos, dispositivos y sistemas de seguridad deben estar sometidas a un mantenimiento con revisiones preventivas periódicas.

    Actualmente la policía de la Generalidad-mozos de escuadra recibe un gran número de avisos de alarma (104.387 durante el año 2008) en todo el territorio de Cataluña, de los que el 94,61% son falsos y sólo el 5,39% restante corresponde a alarmas reales. Este hecho implica que la policía de la Generalidad-mozos de escuadra invierte un gran número de horas de sus agentes en dar respuesta a avisos de alarma falsa, es decir, avisos en los que la asistencia policial es innecesaria.

    En el seno de la reunión del Consejo de Coordinación de la Seguridad Privada del día 15 de julio de 2008 se acordó la creación de un grupo de trabajo, formado por expertos en esta materia, con el objeto de estudiar esta problemática en Cataluña y aportar posibles soluciones. Este grupo, llamado Grupo para la Reducción de las Falsas Alarmas en Cataluña, después de diferentes reuniones, presentó sus conclusiones a fin de que fueran elevadas al pleno del Consejo de Coordinación.

    Entre las conclusiones del grupo de trabajo se debe remarcar la propuesta de elaboración de una regulación que, dentro del ámbito de Cataluña, establezca los criterios para el mantenimiento de los sistemas de seguridad, y el procedimiento o los criterios de actuación que se deben seguir por parte de los diferentes sujetos que intervienen en el proceso de activación y verificación de un sistema de alarma, con la finalidad de conseguir la mejor comunicación y coordinación posible entre la policía de la Generalidad-mozos de escuadra y los servicios de seguridad privada que actúan en Cataluña. En este sentido, se prevé un procedimiento más ágil para la comunicación de las alarmas reales y, además, una mayor comunicación entre las centrales receptoras de alarmas y la policía de Generalidad-mozos de escuadra encargada de dar respuesta policial a los avisos de alarma con la finalidad de determinar, de la manera más exacta posible, la causa de activación de la alarma.

    En este sentido, los criterios de actuación que ahora se establecen materializan y concretan lo que disponen el artículo 48.2 del Reglamento de seguridad privada, aprobado por el Real decreto 2364/1994, de 9 de diciembre, que establece que cuando se produzca una alarma, las centrales deben proceder inmediatamente a su verificación con los medios técnicos y humanos de que dispongan y seguidamente deben comunicar al servicio policial correspondiente las alarmas reales producidas, y el Estatuto de autonomía de Cataluña, que, en el artículo 163, atribuye a la Generalidad la ejecución de la legislación del Estado en unas materias determinadas en el ámbito de la seguridad privada y, en concreto, el apartado d) prevé la coordinación de los servicios de seguridad e investigación privadas con la policía de la Generalidad-mozos de escuadra y las policías locales de Cataluña.

    El Grupo de Trabajo para la Reducción de las Falsas Alarmas en Cataluña, antes mencionado, consideró que esta regulación debía tener como objeto sólo los sistemas de alarma conectados a una central receptora de alarmas (CRA), porque la gran mayoría de avisos que recibe actualmente la policía provienen de estas centrales y, además, permiten una mayor incidencia de actuación por parte de la Administración pública, vistas las características de los sujetos que intervienen y las diferentes fases que se dan en el proceso de activación y verificación de un aviso de alarma.

    La aplicación en territorio catalán de estos criterios de actuación garantiza un nivel mínimo de calidad en la gestión de la respuesta de los avisos de alarma que se produzcan y es un instrumento para reducir el número de alarmas falsas en el ámbito de la policía de la Generalidad-mozos de escuadra, a la vez que aporta una mayor seguridad jurídica para los diferentes actores que intervienen en el proceso de activación, verificación y respuesta de los avisos de alarma que se producen en Cataluña.

    Visto lo que se ha expuesto, visto el informe del Consejo de Coordinación de Seguridad Privada y de acuerdo con los artículos 12 de la Ley 13/1989, de 14 de diciembre, de organización, procedimiento y régimen jurídico de la Administración de la Generalidad de Cataluña, y 39.3 de la Ley 13/2008, de 5 de noviembre, de la presidencia de la Generalidad y del Gobierno,

    Ordeno:

    Artículo 1

    Objeto

    1.1 Esta Orden tiene por objeto establecer los criterios de actuación que se deben seguir por parte de los diferentes sujetos que intervienen en el mantenimiento de un sistema de seguridad electrónica, la gestión y la verificación de un aviso de alarma con el fin de garantizar que las centrales receptoras de alarmas (en adelante, CRA) realizan la verificación debida con todos los medios técnicos y humanos de que disponen.

    1.2 También se establece el procedimiento para comunicar a la policía de la Generalidad-mozos de escuadra (en adelante, PG-ME) las alarmas reales que se produzcan con el fin de garantizar la necesaria coordinación con la PG-ME y de conseguir la respuesta adecuada a la incidencia generada.

    1.3 A los efectos de la máxima difusión entre el sector y las entidades directamente afectadas y a fin de facilitar el acceso a la ciudadanía, los criterios contenidos en la presente Orden serán objeto de publicación en la página web del departamento competente en materia de seguridad pública.

    Artículo 2

    �mbito de aplicación

    Esta Orden es de aplicación a todos los avisos de alarma que se produzcan en instalaciones ubicadas en Cataluña y que sean generados por sistemas de seguridad electrónica conectados a una CRA.

    Artículo 3

    Definiciones

    A los efectos de lo que establece esta Orden, se entiende por:

    3.1 Falsa alarma: aviso generado por un sistema de seguridad no susceptible de tratamiento policial y que, sin embargo, es transmitido a las fuerzas y cuerpos de seguridad, los cuales se desplazan hasta el lugar donde se ha generado el aviso.

    3.2 Elementos de un sistema de seguridad: elementos necesarios para una buena efectividad del sistema, debiendo estar la instalación dimensionada con suficientes elementos detectores.

    3.3 Alarmas técnicas: señales que emiten los equipos y que ayudan a la CRA para una mejor verificación. En todo caso son alarmas técnicas las siguientes:

    a) Fallo de línea telefónica.

    b) Fallo de comunicación de la línea principal de transmisión.

    c) Fallo de comunicación de otro medio de transmisión (entre ellos, el sistema global para las comunicaciones móviles, el protocolo de Internet, el troncal o la radio).

    d) Alarma o avería en el bus de comunicaciones.

    e) Inhibición o interferencias en sistemas vía radio.

    f) Alarma antienmascaramiento.

    g) Fallo de batería principal, estando o no en fallo de red de corriente.

    h) Fallo de sirena (alimentación cruzada o hilo cortado).

    i) Fallo de alimentación auxiliar (alimentación cruzada en detectores u otros elementos).

    j) Fallo de un módulo expansor.

    k) Pérdida de supervisión de un detector sin hilos.

    l) Reinicio del sistema.

    3.4 Sabotaje: manipulación no autorizada o ataque a los elementos del sistema.

    3.5 No tienen la consideración de alarmas técnicas ni de sabotaje las alarmas siguientes:

    a) Alarma de fuego.

    b) Alarma de gas.

    c) Alarma de inundación.

    d) Alarma de calor y de frío (termostato).

    e) Alarma médica.

    f) Reset watchdog (control interno del sistema operativo).

    g) Entrada o salida de programación.

    h) Batería baja de cualquier elemento detector.

    i) Batería principal baja.

    j) Fallo de alimentación de corriente.

    k) Fallo de batería estando en fallo de red de corriente alterna.

    3.6 Sistemas bidireccionales: permiten verificar, mediante sistemas telemáticos, estados de conexión o desconexión, comprobaciones y el reinicio de la instalación.

    Artículo 4

    Revisión y mantenimiento de los elementos del sistema de seguridad

    4.1 A los efectos de lo que prevé el artículo 43 del Reglamento de seguridad privada, aprobado por el Real decreto 2364/1994, de 9 de diciembre, en el anexo 1 se fijan los criterios sobre los elementos que deben ser objeto de revisión y mantenimiento presencial al menos con una periodicidad anual.

    4.2 El mantenimiento preventivo de los sistemas de seguridad bidireccionales se hará según los criterios que se fijan en el anexo 2 de esta Orden.

    Artículo 5

    Procedimiento de verificación de los avisos de alarma

    5.1 Siempre que la persona operadora de una CRA reciba un aviso de alarma, y antes de aplicar cualquiera de los procedimientos de verificación que se exponen en esta Orden, si procede, se debe llamar a los teléfonos de contacto facilitados por la persona usuaria con el fin de verificar el aviso, teniendo en cuenta lo siguiente:

    a) Si la persona operadora de la CRA contacta con la persona usuaria presente en el lugar de ubicación de la alarma y ésta le facilita la contraseña correcta, la persona operadora debe recoger la información de los hechos manifestados por la persona usuaria para incorporarlos en el registro propio de la empresa y debe dar por finalizado el incidente.

    b) En caso de que la contraseña facilitada por la persona usuaria presente en el lugar de ubicación de la alarma sea incorrecta, no la sepa o no la recuerde, la persona operadora debe evaluar la situación y actuar de acuerdo con lo que prevén los procedimientos de verificación establecidos en los artículos siguientes.

    c) Si la persona operadora no puede contactar con la persona usuaria presente en el lugar de ubicación de la alarma, debe llamar al resto de teléfonos facilitados por la persona usuaria con el fin de verificar el aviso de alarma y, en su caso, debe actuar de acuerdo con los procedimientos de verificación establecidos en los artículos siguientes.

    5.2 Cuando el protocolo de verificación establezca que se debe comunicar a la PG-ME el aviso de alarma, esta comunicación se debe hacer de acuerdo con el procedimiento para la comunicación de los avisos de alarma a la PG-ME previsto en el artículo 13 y, paralelamente, en caso de estar contratado, se debe activar el servicio de verificación personal para facilitar el acceso a las personas agentes de la autoridad.

    Una vez finalizado el incidente de que se trate, se debe intercambiar la información necesaria entre la CRA y la PG-ME con el fin de poder determinar la causa de la activación de la alarma.

    Artículo 6

    Tipos de procedimientos de verificación

    Los procedimientos de verificación regulados en esta Orden son los siguientes:

    a) Procedimiento de verificación secuencial.

    b) Procedimiento de verificación por imagen.

    c) Procedimiento de verificación por audio.

    d) Procedimiento de verificación bidireccional.

    e) Procedimiento de verificación presencial.

    Artículo 7

    Procedimiento de verificación secuencial

    El procedimiento de verificación secuencial es aquel procedimiento de actuación que es adecuado para efectuar el análisis de la activación de diferentes elementos en secuencia lógica mediante la identificación individual de cada uno de ellos. Los criterios de actuación en este procedimiento son los siguientes:

    a) La activación de un solo elemento se considera una prealarma y no se debe comunicar a la PG-ME. La activación reiterada del mismo elemento no se considera alarma y, por lo tanto, no se debe comunicar a la PG-ME.

    b) La activación de dos o más elementos de zonas diferentes en un periodo de tiempo inferior a 30 minutos se considera una alarma y se debe comunicar a la PG-ME.

    c) La activación de un elemento y un detector de fuego da lugar a una alarma que se debe comunicar a los servicios de bomberos y no se debe comunicar a la PG-ME.

    d) La activación de un pulsador de atraco o sistema de activación manual de emergencia se debe comunicar a la PG-ME.

    e) La activación de un elemento junto con la activación de una alarma técnica se considera una alarma que se debe comunicar a la PG-ME.

    f) La activación de un elemento junto con la activación de una alarma de sabotaje se considera una alarma que se debe comunicar a la PG-ME.

    g) La activación de una alarma técnica junto con una alarma de sabotaje se considera una alarma y, por lo tanto, se debe comunicar a la PG-ME.

    h) La activación de un elemento precedido de conexión reciente se considera una prealarma. En este caso, la CRA debe esperar una nueva señal durante un tiempo inferior a 30 minutos, y si durante este plazo se produce la activación de otro elemento, se recibe una avería técnica o se detecta un corte de comunicación, se considera que se trata de una alarma que se debe comunicar a la PG-ME.

    i) La activación de un elemento seguido de una desconexión inmediata no se considera una alarma. En este caso, se debe realizar la verificación correspondiente llamando a la persona usuaria.

    j) Después de la activación de un elemento, si la persona operadora de la CRA contacta telefónicamente con la persona usuaria presente en el lugar de ubicación de la alarma y ésta le facilita una contraseña errónea, no la sabe o no la recuerda, se considera que se trata de una alarma que se debe comunicar a la PG-ME. Si la persona usuaria que facilita la contraseña errónea, no la sabe o no la recuerda no está presente en el lugar de ubicación de la alarma, no se considera que se trate de una alarma que se deba comunicar a la PG-ME.

    k) El fallo de la línea telefónica, cuando ésta sea la única vía de comunicación, no se considera una alarma y, por lo tanto, no se debe comunicar a la PG-ME.

    l) El fallo de líneas redundantes o doble línea de comunicación sí se considera una alarma y se debe comunicar a la PG-ME.

    m) El fallo de la línea telefónica junto con la recepción de una alarma técnica sí se considera alarma y se debe comunicar a la PG-ME.

    n) La activación única y exclusivamente de una alarma técnica no se debe comunicar a la PG-ME.

    o) La activación de una alarma de sabotaje cuando la CRA no pueda realizar ninguna verificación en el sistema bidireccional se considera una alarma que se debe comunicar a la PG-ME.

    Artículo 8

    Procedimiento de verificación por imagen

    La verificación por imagen se debe realizar, exclusivamente, después de un aviso de alarma. Los criterios de actuación son los siguientes:

    a) La visualización de una persona humana en la imagen de verificación, siempre que no permita descartar un uso indebido de la persona usuaria, es motivo suficiente para considerar que existe alarma real y se debe comunicar a la PG-ME.

    b) La visualización de información relevante en la escena de la alarma (como cristales rotos, puertas rotas u otros desperfectos propios de un acto vandálico) también es motivo suficiente para considerar que existe una alarma real y, por lo tanto, se debe avisar a la PG-ME.

    c) La visualización defectuosa o ambigua no se considera una alarma real y, por lo tanto, no se debe comunicar a la PG-ME.

    Artículo 9

    Procedimiento de verificación por audio

    9.1 La verificación por audio se debe realizar, exclusivamente, después de un aviso de alarma.

    9.2 Sólo se consideran alarmas reales, durante la verificación, los supuestos en que se escuchen ruidos o conversaciones que identifiquen razonablemente un acto delictivo (como destrozo de objetos, gritos de auxilio o conversaciones indudables).

    9.3 Los criterios de actuación son los siguientes:

    a) Si el ruido o la conversación que se recibe o se mantiene identifica de forma positiva un acto delictivo, se debe efectuar comunicación a la PG-ME.

    b) Si el ruido o la conversación que se recibe o se mantiene no identifica de forma positiva un acto delictivo, no se debe efectuar comunicación a la PG-ME.

    Artículo 10

    Procedimiento de verificación bidireccional

    10.1 El procedimiento de verificación bidireccional, en los sistemas bidireccionales, es aquél que sólo es adecuado para realizar comprobaciones técnicas y no para verificar si las alarmas son reales o falsas.

    10.2 En los sistemas bidireccionales, y cuando no se hayan podido realizar las verificaciones correspondientes, se debe intentar la conexión con la CRA si la línea de transmisión lo permite. Una vez se ha conseguido la conexión, se deben comprobar los detectores abiertos y cerrados, así como el conocimiento de posibles alarmas técnicas por los sistemas de recepción.

    Si se dispara un solo elemento de forma reiterada y sucesiva, dado que no se considera alarma real, la CRA debe reiniciar el sistema (conexión y desconexión) en la instalación y, en caso de persistir la anomalía y para evitar perjuicios a terceras personas, se debe desactivar hasta que acuda el servicio técnico con el fin de enmendar las deficiencias.

    Artículo 11

    Procedimiento de verificación presencial

    Los criterios de actuación para la verificación de forma presencial son los siguientes:

    a) Una vez se ha recibido un aviso de alarma y, posteriormente, la verificación indica que se trata de una alarma real, la persona operadora lo debe comunicar inmediatamente a la PG-ME y debe hacer desplazar al/a la vigilante de seguridad correspondiente con el fin de poner las llaves a disposición de los efectivos policiales, si está contratado el servicio.

    b) Una vez se ha recibido un aviso de alarma y, posteriormente, no se puede comprobar que se trata de una alarma real, siempre que esté contratado el servicio de verificación presencial, la persona operadora debe enviar al/a la vigilante de seguridad al lugar de activación de la alarma con el fin de hacer las comprobaciones correspondientes, el/la cual debe actuar según las circunstancias de cada caso concreto.

    Artículo 12

    Supuestos de aviso de alarma a la PG-ME

    Cuando de la aplicación de los procedimientos de verificación mencionados en los artículos anteriores resulte la existencia de una alarma real, ésta se debe comunicar a la PG-ME, según lo que se ha expuesto, en los supuestos recogidos en el anexo 3 de esta Orden y de conformidad con el procedimiento que se establece en el artículo siguiente.

    Artículo 13

    Procedimiento para la comunicación de los avisos de alarma a la PG-ME

    13.1 Las CRA, independientemente del cuerpo policial que se desplace hasta el lugar de ubicación de la alarma, deben comunicar las alarmas reales producidas a la PG-ME, como cuerpo policial competente en materia de seguridad ciudadana, a través de los teléfonos o los medios telemáticos facilitados a este efecto por parte de la Dirección General de la Policía del departamento competente en materia de seguridad pública.

    13.2 Para evitar demora en la respuesta policial, las personas operadoras de las CRA deben facilitar a las salas de mando policial los datos siguientes:

    a) Datos del comunicante: nombre de la CRA y número de homologación, así como la identificación de la persona operadora.

    b) Dirección completa de la ubicación exacta de la alarma activada: tipo de establecimiento (local comercial, entidad financiera o lo que corresponda), tipo de vía, nombre de la vía y número, bloque, escalera y población.

    c) Con el máximo de precisión que sea posible, la ubicación exacta del/de los elemento/s que se ha/n activado, especificando el espacio concreto del inmueble en el que está ubicado el elemento activado.

    d) Si el procedimiento de verificación se ha hecho por el sistema de verificación por imagen o audio, se deben comunicar de manera detallada los hechos observados o los sonidos escuchados.

    e) En el caso de que el/la vigilante de seguridad vaya al lugar de activación de la alarma con las llaves para acceder al mismo, cuando sea posible, se deben comunicar sus datos: nombre, apellidos, TIP de la/s persona/s vigilante/s, empresa de seguridad para la que trabaja en caso de que esté subcontratado el servicio, teléfono de contacto y tiempo estimado de llegada.

    f) En caso de que se dirija cualquier otra persona responsable (como el/la propietario/a, un/a vecino/a, un/a familiar o la persona encargada) al lugar de activación de la alarma con las llaves para acceder al mismo, se deben comunicar los datos: nombre, apellidos, teléfono de contacto y tiempo estimado de llegada.

    13.3 Una vez finalizada la actuación de la patrulla policial comisionada en el lugar de activación de la alarma, la persona operadora de la sala de mando policial encargada de la gestión de la patrulla debe comunicar a la CRA el resultado de la actuación policial y el número de incidente policial, así como la causa conocida de la alarma, si se tiene conocimiento de ésta.

    13.4 En caso de que la policía desconozca la causa de la activación de la alarma, es la CRA la que debe realizar las gestiones necesarias con el fin de saber cuál ha sido la causa, teniendo en cuenta que:

    a) Si la CRA conoce en aquel momento la causa de la activación de la alarma la debe comunicar a la persona operadora de la sala de mando policial.

    b) Si la CRA no conoce en aquel momento la causa de la activación de la alarma, debe realizar las gestiones posteriores necesarias para determinar la causa y, una vez conocida, la deberá comunicar a la unidad regional de policía administrativa correspondiente de la PG-ME, facilitando, además, el número de incidente policial para agilizar el trámite.

    NO SÓLAMENTE SIGUE SIENDO UNA ACTIVIDAD RESTRINGIDA A EMPRESAS HABILITADAS SINO QUE SE CONTEMPLAN Y AGRAVAN INCIDENCIAS CON LOS SISTEMAS DE SEGURIDAD CUYA RESPONSABILIDAD NO ESTABA SUFICIENTEMENTE DEFINIDA.

    TODO LO ANTERIOR ES REFERIDO A LA COMUNIDAD AUTONOMA DE CATALUÑA. ES DE SUPONER QUE LAS DEMAS COMUNIDADES APLIQUEN CRITERIOS SIMILARES.

    Responder
  48. 48

    Andreu

    Un sistema de Circuito Cerrado de Televisión es aquel en el que las cámaras y las imágenes de dichas cámaras son visionadas en tiempo real en un monitor o televisión por una o varias personas autorizadas, nunca pueden ser grabadas en ningún tipo de soporte.
    A este tipo de instalaciones solo le afecta la LOPD dado que al no procederse la grabación de imágenes, los delitos visualizados en un sistema de CCTV no sirven como prueba pericial. Es la palabra del que ha visionado el delito contra la del delincuente que ha realizado el acto vandálico.

    En cuanto a la instalación de CCTV se le instala algún sistema de grabación, entonces dicha instalación pasa a ser un sistema de Video Vigilancia y tiene que ser gestionada, auditada y mantenida (por lo menos el Video Grabador) por una Empresa de Seguridad esté o no conectada a una central de alarmas. En este caso las imágenes extraídas por la Empresa de Seguridad y los correspondientes técnicos de seguridad y forenses sí pueden ser utilizadas en un juicio.

    A este sistema le afecta muy directamente la LOPD dado que en unos segundos las imágenes grabadas pueden pasar de nivel básico a nivel alto (imaginen la grabación de una violación, atraco o similar).

    Todas estas imágenes deben cumplir con la normativa exigida por la ley de Seguridad Privada y por la Ley Orgánica de Protección de Datos.

    En el caso de reclamación de daños sin actuación de las Fuerzas de Seguridad del Estado, es preciso que intervenga un Perito cualificado, experto en sistemas de seguridad, además de un Ingeniero Forense de Evidencias Electrónicas para poder solicitar cualquier reclamación en los juzgados.

    La responsabilidad penal de los prestadores de servicios de intermediación de la Sociedad de la Información se refiere a las empresas instaladoras, sean empresas de Seguridad Habilitadas por el Ministerio del Interior o “Prestadores de servicios”, autorizados para realizar instalaciones de videovigilancia en algunos pocos supuestos.

    Según la Ley de Enjuiciamiento Civil y Criminal, sólamente las pruebas electrónicas debidamente validadas por un Peritaje Experto pueden aportarse a juicio.

    Para ello son necesarios una serie de datos que los prestadores de servicios de intermediación de la sociedad de la información pueden facilitar, en la mayoría de los casos, a petición de la autoridad judicial.

    Son prestadores de servicios de intermediación de la sociedad de la información aquellas empresas o profesionales que:

    1.- facilitan el servicios de acceso a Internet.

    2.- trasmiten datos por redes de telecomunicaciones.

    3.- realizan copias temporales de las páginas de Internet solicitadas por los usuarios.

    4.-alojan en sus propios servidores datos, aplicaciones o servicios suministrados por otros.

    5.- proveen de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.

    ¿Se dan cuenta los instaladores no homologados por el Ministerio del Interior de la problemática latente cuando deban aportar archivos electrónicos de videograbaciones a juicios penales?

    Responder
  49. 49

    rogermail

    Dado que un fichero de videovigilancia, para considerarse que contiene datos personales, la cuestión es cual es la línea de corte en el fichero entre una imagen como dato personal si no es claramente identificable la persona.¿Es un dato personal una imagen de CCTV donde se ve a una persona pero no se puede identificar?

    Responder
  50. 50

    Carlos

    La Comisión Mixta Central de Seguridad Privada va a publicar en breve 5 Órdenes Ministeriales del MI relativas a la actualización de las Normas europeas EN de seguridad física aplicables en la actualidad, con la inclusión de las nuevas Normas Reguladoras de las características que deben reunir los sistemas de seguridad electrónicos instalados así como las funciones de las empresas de seguridad privada.

    En el tema que nos ocupa : “Protección de datos, Videovigilancia y Ley Ómnibusâ€? hay un artículo que define explícitamente el criterio del Ministerio del Interior/ DGP sobre la instalación de sistemas de videovigilancia. Os lo transcribo literalmente a continuación: ORDEN del Ministerio del Interior de fecha XXXXXX (Está en trámite administrativo) sobre empresas de seguridad privada.CAPITULO II. Funcionamiento de las empresas de seguridad. SECCIÓN 2ª DISPOSICIONES ESPECÃ?FICAS. Artículo 23. Homologación de sistemas de seguridad. â€? A los efectos de la normativa reguladora de la seguridad privada, se entenderá por sistema de seguridad, el conjunto de aparatos o dispositivos electrónicos contra robo e intrusión o para la protección de personas u bienes, cuya activación sea susceptible de producir la intervención policial, independientemente de que esté o no conectado a una central de alarmas o centros de control. Se considerará que forma parte de la instalación de un sistema de seguridad, todo aquello que complemente a estos dispositivos, automática, material o procedimentalmente, incluyendo controles de acceso y sistemas de video vigilancia. Cuando la instalación se conecte a central de alarmas, deberá ajustarse a los dispuesto en los artículos 40, 42 y 43 del Reglamento de Seguridad Privada, considerándose homologados si reúnen las características determinadas en los artículos 22 y 24 de la presente orden.â€?

    El artículo 22 se refiere al “Material de las instalacionesâ€? Normas UNE-EN etc…) y el artículo 24 a las “Características de los sistemas de seguridadâ€?
    Resumiendo, queda muy claro que las cámaras de videovigilancia (estén conectadas o no, directa o indirectamente, al sistema de CRA) forman parte integrada del conjunto de sistemas de seguridad. Por lo tanto un particular o empresa que ya tenga contratado un sistema CRA (Tipo Securitas DIrect, Prosegur Activa, ADT…) y que quiera instalar videovigilancia, debe hacerlo a través de una empresa de seguridad homologada por el MI. Los “prestadores de serviciosâ€? sólamente podrán instalar legalmente sistemas de videovigilancia en el caso de que no exístan de forma previa otros sistemas de seguridad/CRA. Para estos casos, si posteriormente deciden instalar CRA, deberá intervenir siempre una empresa homologada.

    Espero que la Agencia de Protección de Datos se dé la misma prisa para confirmar la adaptación a esta normativa, en el momento que se publique en el BOE, que para comentar la interpretación de la Ley Ómnibus en los sistemas de videovigilancia. Tal como hemos defendido muchos en este foro, poco a poco se están despejando las dudas en cuanto a la legalidad de las instalaciones de videovigilancia tras la pronunciación de los diversos estamentos y organismos intervinientes. Estaba claro que no se podía “liberalizar alegrementeâ€? una actividad de Seguridad Privada con elementos tan sensibles como la protección de datos, privacidad de las imágenes y seguridad de las personas y cosas, a pesar de la “Ley Ómnibusâ€?. Como algún forero dijo anteriormente: “blanco y en botellaâ€? Saludos a todos los foreros y en especial a las empresas de Seguridad Homologadas.

    Responder
  51. 51

    toyin

    Hola,

    Soy particular no de dedicado al mundo de la abogacía. Me he leído todo el artículo pero sigo sin aclarame.
    Quería instalar una cámara de video en el rellano de mi puerta. Somos 4 vecinos, un vecino por planta, y yo vivo en el último piso.
    ¿Puedo instalar la cámara para ver quién llama a mi puerta?.
    La cámara exclusivamente se utilizaría para visualizar las imagenes mediante el móvil de las personas que llamasen a mi puerta.

    Saludos

    Responder
  52. 52

    Susana

    Hola a todos, con todo esto que he leído es obvio entonces que con cámaras de vigilancia falsas colocadas con el único fin de disuadir, no se incurre en ningún delito ¿no?… y en ese caso ¿cómo informo de que hay videovigilancia para más efectividad, con qué cartel?
    Tengo un vecino que ha decidido que su único fin en esta vida es ir robandome piezas del coche poco a poco para que yo me harte y aparque lejos de mi casa y así él pueda aparcar sus 4 coches en mi fachada y se me ha ocurrido poner cámaras de videovigilancia falsas para ver si así se corta un poco, pero no me gustaría tener ningún follón legal. Ruego me ayuden. Gracias

    Responder
  53. 53

    ilux

    Hola, tras tanta información la ley admite tener cámaras con la finalidad de subterfugio que no enfoquen a lugares públicos y no es necesaria la inscripción del fichero dado no se está grabando, pero sí poner el cartel (los mismo procede a las cámaras on time que no graban pero cuya finalidad es vigilar o inclusivo los video-porteros).
    Y yo me pregunto, si no inscribo el fichero de video-vigilancia en la AEPD, y pongo el cartel en el que estoy obligado a poner nombre titular y donde ejercer los derechos ARCO (dirección) no estoy saltándome algo??
    Es algo incongruente, no??
    O está la opción, de poner cartel y cuando una persona desee ejercer los derechos ARCO, debo informarle que la cámara no graba y que es meramente un subterfugio; o que la cámara solo emite las imagenes “on time”.
    En resumen, estoy obligado a poner el cartel ??

    Responder
  54. 54

    Enrique

    Hoy ha salido en el BOE lo que comentaba Carlos hace unos meses:
    http://www.boe.es/boe/dias/2011/02/18/

    Responder
  55. 55

    ilux

    Muchas gracias Enrique !!!

    Responder
  56. 56

    TRUE

    Pues va a ser que no es cierto lo que dice el artículo. La Instrucción 1/2006 de la AEPD no dice en absoluto que en estos casos no sea de aplicación la LOPD,antes al contrario. Lo que sí dice, que no es lo mismo, es que en estos casos no hay que declarar el fichero porque entiende que al no grabarse no hay fichero que declarar pero sí hay “tratamiento” de imágenes -véase definición de tratamiento del art. 3 LOPD entre lo que incluye la “captación”- y,por tanto, se está ante el ámbito de aplicación de la LOPD. Decir lo contrario es no entender nada del asunto y tergiversar lo que dice la Instrucción 1/2006 de la AEPD.

    Responder
  57. 57

    Elizeth tapatia

    Donde podre preguntar quien me podra decir de una alarma o sensor alarma que esta en mi trabajo es como una cajita color beigg pegada arriba en la pared, que usan en negosios como para proteccion para darse cuenta de rateros, en farmacias guadalajara e visto de la marca ADT pero la de mi trabajo es de las de la marca DAI nose si sean igual los efecctos y esque en mi trabajo los compañeros me atacan con eso es muy torturador y quisiera saber si alguien me podria desir de las claves que debo decir para protegerme de ellos, quisiera que alguien me pudiera ayudar como me protejo para que ya no me ataquen como le ago estoy desesperada en eso, podra alguien darme por aqui una respuesta e eso porfa

    Responder
  58. 58

    Leire

    Pues me parece que no debería ser así. No puedes librarte de que se te aplique la ley de protección de datos simplemente porque el responsable de turno coja en un momento y borre todos los ficheros, y estoy segura de que esto pasará así constantemente. Dicen eso de “hecha la ley, hecha la trampa”, pero tampoco se puede poner tan fácil al “tramposo”.

    Responder
  59. 59

    carmen

    en mi edificio hay 48 camaras, han puesto 2 sin consentimiento de la comunidad ni de la junta, el presidente y administrador, me siento vigilada ,pues de muchisimos pasillos de trasteros han puesto 2 en el pasillo de mi trastero, en el resto nada he hablado con el administrador y dice que 2 camaras mas, no es delito.pero no me gusta que vea la gente cada vez que yo o algunos de mis hijos 1 menor , nos vigilen como si fueramos ladrones,cada vez que vamos al trastero.

    Responder
  60. 60

    Mario Domínguez

    Buenos días tengo una duda al respecto, es la siguiente:

    ” La colocación de aparatos que permiten grabar o reproducir la vida íntima de las personas (sin su consentimiento) es una intromisión ilegítima en el derecho a la intimidad, aun cuando dichos aparatos no sean utilizados”. Graci

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *