Guía para cumplir con la normativa RGPD

Si tienes videocámaras en tu negocio, cuidado con la protección de datos

Tener cámaras de videovigilancia es algo frecuente en muchos establecimientos. Los autónomos suelen instalar estos sistemas de seguridad en establecimientos amplios, que no se pueden vigilar desde un solo punto. Con estos sistemas se puede llegar a identificar la imagen de una persona, información que es considerada por el nuevo Reglamento General de Protección de Datos como de carácter personal y necesita ser tratada de una determinada manera.

videovigilancia-seguridad-negocio
Si tienes videocámaras en tu negocio, cuidado con la protección de datos

El nuevo Reglamento General de Protección de Datos, que entró en vigor el pasado 25 de mayo, contiene una serie de principios y obligaciones a los que tanto autónomos como pequeñas y grandes empresas tienen que ajustarse. Principalmente, el objetivo de la normativa es proteger, controlar y regular el uso de los datos de carácter personal que se hacen de una persona.

Son considerados datos personales “toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” tal y como define el Reglamento General de Protección de Datos (RGPD)

En este sentido la imagen de una persona captada por una videocámara es considerada como un dato de carácter personal y los responsables de la captación de esa imagen tienen que cumplir con el RGPD. Normalmente, estos sistemas de videovigilancia se utilizan para garantizar el bienestar de las personas (o clientes), bienes, e instalaciones. Aunque también pueden utilizarse para otra serie de fines como la investigación, la asistencia sanitaria o el control de la prestación laboral de los trabajadores, tal y como señala la Guía Sobre el Uso de Video Cámara y otras finalidades elaborada por la Agencia Española de Protección de Datos (AEPD).

Esta Guía nace de las respuestas que la AEPD ha ido registrando de las dudas que leiban planteando los responsables de datos, encargados, profesionales y ciudadanos en general. Se une a otra serie de guías como: la de Protección de datos y administración de fincas; Protección de datos y Administración Local y Protección de datos y Guía para centros educativos.

La Guía Sobre Uso de Videocámaras se divide en dos. Una primera parte va dirigida al uso de las videocámaras con fines de seguridad (parte que le interesa a los trabajadores autónomos que dispongan de sistemas de videovigilancia en su local). Existe otra parte de la guía que recoge todos aquellos casos en los que las video cámaras son utilizadas para otros fines.

Guía del uso de videocámaras en el local

En la página seis de la Guía Sobre Uso de Videocámaras y otras finalidades comienza el apartado de 'Tratamiento de imágenes con fines de seguridad'. En él se recogen la base legal, la limitación del usos y se detalla las formas de cumplir con la RGPD

1.- Legitimación

En esta primera parte la Guía establece cuáles son las bases de la normativa en cuanto al RGPD. En primer lugar, señala que el Reglamento legitima en su artículo seis el tratamiento de datos de carácter personal cuando sea necesario para el cumplimiento de una misión de interés público. Aspectos que coincide con los sistemas de videovigilancia que garantizan la seguridad de las personas, del local o de sus bienes. Asimismo, también hace mención a diferentes leyes como la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, etc que también amparan estos sistemas de vigilancia.

2.- Proporcionalidad

Se advierte en este apartado de la Guía de cuáles son los límites de las videocámaras. En este sentido uno de los primeros aspectos que debe conocer el trabajador por cuenta propia es la ‘limitación de la finalidad’ que se recoge en el artículo cinco del RGPD y que establece que los datos obtenidos a través de un sistema de videovigilancia sólo pueden ser tratados para la finalidad para la que han sido instalados.

Otros aspectos que destacan en este aspecto son:

  • Captación de imágenes en la vía pública: normalmente sólo las Fuerzas y Cuerpos de Seguridad tienen permiso para gravar la vía pública, pero hay una serie de excepciones como es la grabación de la vía pública para la protección de espacios privados.
  • Minimización de datos: también recogido en el artículo cinco y limita el uso de este sistema a espacios “adecuados, pertinentes y limitados”. Y apunta a que hay lugares dónde su uso podría ser desproporcionado como vestuarios, taquillas y zonas de descanso de trabajadores. También aconseja al lector a valorar si realmente es necesario la instalación de videovigilancia o si están instalando el número proporcionado de cámaras correcto.

3.- Medidas de responsabilidad proactiva

Es el apartado más extenso de la Guía en lo referente a las videocámaras en los establecimientos. En él se recoge y detalla un catálogo de medidas proactivas que tienen que hacer los autónomos que instalen estos sistemas. Se trata de todas aquellas iniciativas o acciones que tiene que hacer el dueño de un negocio para cumplir con el principio de responsabilidad proactiva, que consiste en ”la capacidad del responsable, es decir, de la organización, de demostrar y proporcionar evidencias de dicho cumplimiento”.

El RGPD establece un catálogo de medidas que el dueño de un negocio y, en ocasiones los encargados, deben poner en marcha para cumplir la norma europea. No obstante, tal y como señala la Agencia, no en todos los casos estas medidas deben aplicarse obligatoriamente, sino que dependerá del tamaño, sector y el tipo de datos personales que maneje cada entidad.

El principio de Responsabilidad proactiva pasa por disponen de:

  1. Delegado de protección de datos
  2. Registro de actividades de tratamiento: consiste en cumplimentar un formulario con una serie de datos para notificárselo al Registro General de Protección de Datos de la AEPD; es un registro de tratamientos, no de ficheros tal y como puntualiza la Guía.
  3. Análisis de riesgos: estos variarán en función del tipo de tratamiento, de la naturaleza de los datos, del número de afectados y de la cantidad y variad de tratamientos que realice una misma organización.
  4. Medidas de seguridad: en el caso de pérdida, destrucción o alteración accidental o ilícita de los datos habrá que notificárselo a la AEPD.
  5. Evaluación del impacto en la protección de datos: es una medida preventiva para analizar el tipo de riesgos a los que está expuesta la actividad.
  6. Privacidad desde el diseño y por defecto: incluye dos formas de implementar de responsabilidad proactiva, una mediante la protección de datos desde el diseño (que la protección de datos esté presente desde el inicio y creación del negocio) y otra mediante la protección de datos por defecto (que se adopten las medidas apropiadas para garantizar el cumplimiento”.