En el Boletín Oficial del Estado del sábado 5 de abril de 2014, se ha publicado la
Ley 5/2014, de 4 de abril, de Seguridad Privada, con un nuevo marco jurídico para este sector y actividad, que deroga la hasta vigente Ley 23/1992, de 30 de julio, así como la norma reglamentaria que lo desarrolla, el Real Decreto 2364/1994, en todo lo que se le oponga, y que entrará en vigor a los dos meses desde su publicación.
La norma contiene algunas referencias que afectan a la protección de datos de carácter personal, que no recoge la todavía vigente (durante dos meses)
Ley 23/1992. En cambio,
el Real Decreto 2364/1994, de 9 de diciembre, sí que regula alguna, como el caso de mantener las grabaciones de imágenes por las Entidades de Crédito durante un plazo de quince días desde que se efectuó la grabación en el que estarán exclusivamente a disposición de las autoridades judiciales y los Cuerpos y Fuerzas de Seguridad del Estado (artículo 120).
Estas novedades, que como decimos, están relacionadas con la protección de datos personales, son las siguientes:
Videovigilancia
La nueva ley regula en un artículo específico, concretamente el artículo 42, los Servicios de videovigilancia, con este contenido:
1. Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos, incluido cualquier medio técnico o sistema que permita los mismos tratamientos que éstas.
Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales.
No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control de accesos a aparcamientos y garajes, o las actividades que se desarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal distinto del de seguridad privada.
2. No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos o de acceso público salvo en los supuestos y en los términos y condiciones previstos en su normativa específica, previa autorización administrativa por el órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el consentimiento del titular.
3. Las cámaras de videovigilancia que formen parte de medidas de seguridad obligatorias o de sistemas de recepción, verificación y, en su caso, respuesta y transmisión de alarmas, no requerirán autorización administrativa para su instalación, empleo o utilización.
4. Las grabaciones realizadas por los sistemas de videovigilancia no podrán destinarse a un uso distinto del de su finalidad. Cuando las mismas se encuentren relacionadas con hechos delictivos o que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las Fuerzas y Cuerpos de Seguridad competentes, respetando los criterios de conservación y custodia de las mismas para su válida aportación como evidencia o prueba en investigaciones policiales o judiciales.
5. La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima.
6. En lo no previsto en la presente ley y en sus normas de desarrollo, se aplicará lo dispuesto en la normativa sobre videovigilancia por parte de las Fuerzas y Cuerpos de Seguridad.
Lo primero que llama la atención de este precepto, es que parece desprenderse que las cámaras de videovigilancia únicamente podrán ser manejadas por vigilantes de seguridad o guardas rurales, es decir, que el sector de seguridad privado consigue una de sus tradicionales demandas: que las cámaras sólo puedan ser gestionadas o utilizadas por el personal debidamente acreditado.
A este respecto, tengamos presente que en la práctica nos encontramos situaciones como cámaras colocadas en comunidades de vecinos o restaurantes, donde esa gestión la realiza el portero o cualquier empleado de los segundos. O más aún, los conocidos como “comercios de chinos”, la mayoría dotados de cámaras, que incluso en muchas ocasiones, el monitor está a la vista de los clientes.
En cuanto a los servicios que quedarían fuera de los servicios de videovigilancia, estamos ante lo que se conoce como “uso de la videovigilancia para finalidades diferentes a la seguridad”, que quedan fuera del ámbito de aplicación de la
Instrucción 1/2006 de la Agencia Española de Protección de Datos, ya que la misma sólo regula el tratamiento de imágenes con fines de seguridad, pero que no quiere decir que no se aplique el resto de la normativa de protección de datos de carácter personal cuando, obviamente, exista un tratamiento de datos.
Por ejemplo, una de las diferencias entre el uso de cámaras para seguridad y el uso de cámaras para el control de accesos, estaría en el contenido del cartel informativo para dar cumplimiento al artículo 5 de la LOPD: “Zona videovigilada” vs “Captura de imágenes con fines…”.
Y ojo, siempre y cuando consideremos que, de acuerdo a la enumeración de servicios que recoge el precepto (control de accesos a aparcamientos, garajes y peajes), la matrícula es un dato de carácter personal, ya que según la
sentencia de la Audiencia Nacional de 26 de diciembre de 2013 no lo es puesto que identifica un vehículo pero no a la persona, aunque la AEPD en el Congreso de ENATIC defendió que sí seguía teniendo dicha consideración.
No obstante lo anterior, hay finalidades que no han sido recogidas y sobre las que este apartado del artículo 42 guarda silencio, como serían el uso de la videovigilancia para el control laboral o para la mejora de la gestión de los servicios públicos. Debemos pensar, que también quedarían fuera, es decir, su régimen sería idéntico a los que están excluidos, como el control de accesos a aparcamientos y garajes.
Sin embargo, podemos encontrarnos con la siguiente situación: ¿Qué ocurrirá cuando la finalidad de la instalación de cámaras sea más de una, pongamos prevenir infracciones y daños a personas, así como el control laboral? Es decir, ¿Para el control laboral la gestión de las grabaciones se puede realizar sin personal de seguridad habilitado, pero en cambio sí es necesario para la finalidad de seguridad? O descendiendo al ámbito práctico, en un aparcamiento, con cámaras instaladas para el control de accesos así como para vigilancia de automóviles y personas, no sería necesario para la primera finalidad el personal de seguridad, y en cambio, sí para la segunda.
Y ahondando más aún, cuando se incumpla la obligación de ser prestado el servicio de seguridad por el citado personal, y sea controlado por cualquier empleado, por ejemplo, el portero de una finca ¿Veremos la tramitación de algún expediente sancionador por parte de la AEPD por acceso no autorizado a las cámaras de seguridad?
En este sentido, el cita apartado del mencionado artículo 42 abre el camino al uso de la seguridad privada en espacios, vías y lugares de acceso público, siempre y cuando lo permita la normativa específica y exista autorización administrativa.
A este respecto, recordemos que según el artículo 4.3 de la Instrucción 1/2006 de la AEPD:
3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.
No obstante lo anterior, la propia Ley 5/2014, de 4 de abril, justifica este apartado del artículo 42 de esta forma:
También se ha aprovechado para realizar una necesaria matización del principio general de exclusión de la seguridad privada de los espacios públicos, cuya formulación actual, excesivamente rígida, ha dificultado o impedido la necesaria autorización de servicios en beneficio del ciudadano, que resulta hoy obsoleta.
¿Y en qué caso podría ser de aplicación? Se nos ocurre el siguiente ejemplo, que ya en alguna ocasión ha sido objeto de discusión: instalación de cámaras en la terraza de un restaurante o bar que esté en la vía pública con la finalidad de seguridad de los clientes –nunca para ver si las mesas están libres u ocupadas-, y que podría autorizarse la puesta en marcha de la videovigilancia en la resolución administrativa que conceda la licencia para instalar las mesas. Otro ejemplo, que probablemente estemos cerca de que ocurra en la práctica sería el uso de drones para fines de seguridad por parte de empresas de seguridad privada.
En resumen, si bien, en todo caso, existirá el previo control mediante la correspondiente autorización administrativa para permitir las grabaciones en la vía pública para fines de seguridad privada, lo más adecuado habría sido reformar la Ley Orgánica 4/1997, e introducirla en la misma como una excepción.
Por otra parte, destaca también que todas las actuaciones (grabación, monitorización…etcétera) relacionadas con la videovigilancia se ajusten a la normativa de protección de datos, pero sobre todo respetando los principios de proporcionalidad, idoneidad e intervención mínima, si bien únicamente se cita estos principios sin explicar los mismos como sí ocurre en la Ley Orgánica 4/1997, de 4 de agosto, en su artículo 6, párrafos 1 al 3, que establece lo siguiente:
1. La utilización de videocámaras estará presidida por el principio de proporcionalidad, en su doble versión de idoneidad y de intervención mínima.
2. La idoneidad determina que sólo podrá emplearse la videocámara cuando resulte adecuado, en una situación concreta, para el mantenimiento de la seguridad ciudadana, de conformidad con lo dispuesto en esta Ley.
3. La intervención mínima exige la ponderación, en cada caso, entre la finalidad pretendida y la posible afectación por la utilización de la videocámara al derecho al honor, a la propia imagen y a la intimidad de las personas.
- Juicio de idoneidad: si el tratamiento de datos personales a través de la videovigilancia constituye una medida susceptible de conseguir el objetivo que se pretende;
- Juicio de necesidad si los fines perseguidos pueden alcanzarse o no de una manera menos intrusiva, teniendo en cuenta la protección de los datos de carácter personal, debiendo argumentar el responsable del fichero que dicha medida es necesaria por no existir otra más moderada para la consecución de tal propósito con la misma eficacia.
- Juicio de proporcionalidad: si la medida adoptada es proporcional resultando equilibrada en atención a la ponderación entre la finalidad perseguida y el grado de restricción del derecho fundamental a la protección de datos de carácter personal, con expresa mención a si de la referida medida derivan más beneficios o ventajas para el interés general que perjuicios sobre la protección de dato. Incidiría también en la proporcionalidad el número de cámaras a instalar así como el tipo de cámaras (por ejemplo, si tienen zoom o es un domo).
Cesiones de datos de carácter personal a las Fuerzas y Cuerpos de Seguridad.
Otro de los artículos que llaman la atención desde el punto de vista de la protección de datos de carácter personal, es el artículo 15, denominado “Acceso a la información por las Fuerzas y Cuerpos de Seguridad”:
1. Se autorizan las cesiones de datos que se consideren necesarias para contribuir a la salvaguarda de la seguridad ciudadana, así como el acceso por parte de las Fuerzas y Cuerpos de Seguridad a los sistemas instalados por las empresas de seguridad privada que permitan la comprobación de las informaciones en tiempo real cuando ello sea necesario para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
2. El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de esta ley se someterán a lo dispuesto en la normativa de protección de datos de carácter personal.
3. La comunicación de buena fe de información a las Fuerzas y Cuerpos de Seguridad por las entidades y el personal de seguridad privada no constituirá vulneración de las restricciones sobre divulgación de información impuestas por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, cuando ello sea necesario para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
Sin embargo, el artículo 15, en su párrafo 1, introduce un matiz relacionado con los tiempos tecnológicos que corren: que las Fuerzas y Cuerpos de Seguridad puedan acceder en tiempo real a los sistemas instalados por las empresas de seguridad privada.
Asimismo, aunque este precepto, como acabamos de ver, regula la cesión desde las empresas privadas a las Fuerzas y Cuerpos de Seguridad, lo cierto es que la nueva Ley de Seguridad Privada, también regula las cesiones a la inversa, es decir, las Fuerzas y Cuerpos de Seguridad podrán compartir datos de carácter personal con las citadas empresas de seguridad. Así se desprende del artículo 14, titulado “Colaboración profesional”, párrafo 3:
1. La especial obligación de colaboración de las empresas de seguridad, los despachos de detectives y el personal de seguridad privada con las Fuerzas y Cuerpos de Seguridad se desarrollará con sujeción al principio de legalidad y se basará exclusivamente en la necesidad de asegurar el buen fin de las actuaciones tendentes a preservar la seguridad pública, garantizándose la debida reserva y confidencialidad cuando sea necesario.
2. Las empresas de seguridad, los despachos de detectives y el personal de seguridad privada deberán comunicar a las Fuerzas y Cuerpos de Seguridad competentes, tan pronto como sea posible, cualesquiera circunstancias o informaciones relevantes para la prevención, el mantenimiento o restablecimiento de la seguridad ciudadana, así como todo hecho delictivo del que tuviesen conocimiento en el ejercicio de su actividad o funciones, poniendo a su disposición a los presuntos delincuentes, así como los instrumentos, efectos y pruebas relacionadas con los mismos.
3. Las Fuerzas y Cuerpos de Seguridad podrán facilitar al personal de seguridad privada, en el ejercicio de sus funciones, informaciones que faciliten su evaluación de riesgos y consiguiente implementación de medidas de protección. Si estas informaciones contuvieran datos de carácter personal sólo podrán facilitarse en caso de peligro real para la seguridad pública o para evitar la comisión de infracciones penales.
Detectives privados.
Sobre el tratamiento de datos de carácter personal que puedan realizar los detectives privados, el criterio de la AEPD, según se desprende de esta
Resolución, es que:
“Los detectives privados se encuentran habilitados por Ley (artículo 19 de la Ley 23/1992, de 30 de julio) para obtener información de personas y, por consiguiente, para tratar los datos sin necesidad de recabar el consentimiento del afectado, siempre que no se utilicen para ello “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal o familiar (artículo 23.c) de la misma ley).
Sin embargo, ello no supone que cualquier persona física o jurídica pueda encargar a los detectives privados una investigación determinada relativa a un tercero, sino que este encargo deberá estar motivado y justificado por un interés legítimo que, además, guarde relación con la persona investigada y con la obtención de información sobre conductas o hechos privados, o con la investigación de delitos perseguibles sólo a instancia de parte”.
En este sentido, la nueva Ley al regular los informes de investigación, en el artículo 49, introduce dos elementos:
- Que no aparezcan aquellos datos de la persona física investigada que no sean necesarios, sobre todo, cuando sean datos especialmente protegidos;
- Deber de conservación de estos informes así como imágenes y sonidos durante un plazo mínimo de tres años, que debe ser compatible con el bloqueo a los efectos de cancelación de los datos personales.
El contenido de este artículo 49 sobre los informes de investigación es el siguiente:
1. Por cada servicio que les sea contratado, los despachos o los detectives privados encargados del asunto deberán elaborar un único informe en el que reflejarán el número de registro asignado al servicio, los datos de la persona que encarga y contrata el servicio, el objeto de la contratación, los medios, los resultados, los detectives intervinientes y las actuaciones realizadas, en las condiciones y plazos que reglamentariamente se establezcan.
2. En el informe de investigación únicamente se hará constar información directamente relacionada con el objeto y finalidad de la investigación contratada, sin incluir en él referencias, informaciones o datos que hayan podido averiguarse relativos al cliente o al sujeto investigado, en particular los de carácter personal especialmente protegidos, que no resulten necesarios o que no guarden directa relación con dicho objeto y finalidad ni con el interés legítimo alegado para la contratación.
3. Dicho informe estará a disposición del cliente, a quien se entregará, en su caso, al finalizar el servicio, así como a disposición de las autoridades policiales competentes para la inspección, en los términos previstos en el artículo 54.5.
4. Los informes de investigación deberán conservarse archivados, al menos, durante tres años, sin perjuicio de lo dispuesto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Las imágenes y los sonidos grabados durante las investigaciones se destruirán tres años después de su finalización, salvo que estén relacionadas con un procedimiento judicial, una investigación policial o un procedimiento sancionador. En todo caso, el tratamiento de dichas imágenes y sonidos deberá observar lo establecido en la normativa sobre protección de datos de carácter personal, especialmente sobre el bloqueo de datos previsto en la misma.
5. Las investigaciones privadas tendrán carácter reservado y los datos obtenidos a través de las mismas solo se podrán poner a disposición del cliente o, en su caso, de los órganos judiciales y policiales, en este último supuesto únicamente para una investigación policial o para un procedimiento sancionador, conforme a lo dispuesto en el artículo 25.
Publicidad de sanciones.
Al igual que ocurre con otras leyes, cuando se regula la parte referente a las infracciones y sanciones, se regula en el artículo 71 como sanción adicional la posibilidad de publicar el nombre y apellidos de personas físicas cuando cometan infracciones muy graves:
Las sanciones, así como los nombres, apellidos, denominación o razón social de las personas físicas o jurídicas responsables de la comisión de infracciones muy graves, cuando hayan adquirido firmeza en vía administrativa, podrán ser hechas públicas, en virtud de acuerdo de la autoridad competente para su imposición, siempre que concurra riesgo para la seguridad de los usuarios o ciudadanos, reincidencia en infracciones de naturaleza análoga o acreditada intencionalidad.
Medidas de seguridad informática y electrónica.
Por último, en el artículo 52 se clasifican las medidas de seguridad, entre las que se encuentran las de carácter electrónico e informático, si bien, se desarrollarán de forma reglamentaria:
1. A los exclusivos efectos de esta ley, se podrán adoptar los siguientes tipos de medidas de seguridad, destinadas a la protección de personas y bienes:
a) De seguridad física, cuya funcionalidad consiste en impedir o dificultar el acceso a determinados lugares o bienes mediante la interposición de cualquier tipo de barreras físicas.
b) De seguridad electrónica, orientadas a detectar o advertir cualquier tipo de amenaza, peligro, presencia o intento de asalto o intrusión que pudiera producirse, mediante la activación de cualquier tipo de dispositivos electrónicos.
c) De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.
d) De seguridad organizativa, dirigidas a evitar o poner término a cualquier tipo de amenaza, peligro o ataque deliberado, mediante la disposición, programación o planificación de cometidos, funciones o tareas formalizadas o ejecutadas por personas; tales como la creación, existencia y funcionamiento de departamentos de seguridad o la elaboración y aplicación de todo tipo de planes de seguridad, así como cualesquiera otras de similar naturaleza que puedan adoptarse.
e) De seguridad personal, para la prestación de servicios de seguridad regulados en esta ley, distintos de los que constituyen el objeto específico de las anteriores.
2. Las características, elementos y finalidades de las medidas de seguridad de cualquier tipo, quien quiera que los utilice, se regularán reglamentariamente de acuerdo con lo previsto, en cuanto a sus grados y características, en las normas que contienen especificaciones técnicas para una actividad o producto. Asimismo dichas medidas de seguridad, medios materiales y sistemas de alarma deberán contar con la evaluación de los organismos de certificación acreditados en el momento de su instalación y tendrán vigencia indefinida, salvo deterioro o instalación de un nuevo sistema, que deberá ser conforme a la homologación que le resulte aplicable.