La nueva y flamante Ley Orgánica 3/2018, de Protección de Datos y garantía de los derechos digitales (LOPDGDD o simplemente LOPD, para los más nostálgicos) que entró en vigor el pasado 7 de diciembre, siendo publicada el día anterior con festividad y alevosía en el Boletín Oficial del Estado (BOE); ha traído más elementos dignos de comentario, aparte del polémico artículo 58 bis (enlace al post original sobre el tema y a su versión mini) o los propios derechos digitales (enlace a ambos post publicados en el blog de Secuoya: 1º parte y 2º parte ), como son, al menos para el autor que firma este artículo, la dudas o controversias que suscita en materia de videovigilancia.
Pero antes de entrar en harina, cabe reseñar que la parte de la LOPDGDD relativa a los derechos digitales, para sorpresa de la comunidad jurídica, no ha sido bendecida ni en su denominación ni el propio epígrafe del título correspondiente, con las majestuosas letras capitales que si que ostenta la primera parte relativa a la resultona Protección de Datos. ¿el legislador se ha dado cuenta de que no deberían ir en esta ley?, ¿ha sido un despiste?, o ¿ni el legislador considera que sean derechos de verdad?
Videovigilancia a grandes rasgos
Solamente hablaremos de la videovigilancia como tal (sin entrar a valorar, si se debería justificar por la vía del interés legítimo o del interés público), es decir, del tratamiento de la imagen de personas físicas con la finalidad de preservar la seguridad de estas, de los bienes o de las instalaciones realizado a través de cámaras o videocámaras que filmen lo mínimo imprescindible de la vía pública; y no así del uso de estos dispositivos con otras finalidades como el control laboral, y que a diferencia del polémico 58 bis, si que se detallan las garantías y límites que deberán respetarse para poderse llevar a cabo, aunque eso sí, dentro de la parte de los derechos digitales bajo la denominación de “Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo”.
En palabras de la AEPD en su informe 254902/2016 es la finalidad “relacionada con la seguridad privada de las personas, bienes e instalaciones, con el fin de evitar robos o vandalismo, o en general proteger el patrimonio o las personas.
Cabe recordar también, que el servicio de videovigilancia prestado de manera profesional y privada (el que hagan las fuerzas y cuerpos de seguridad va por otra vía de la que hablaremos más adelante), debe ser prestado por personal autorizado de empresas de seguridad certificadas, tal y como establece, y sanciona su incumplimiento como infracción muy grave en su artículo 59.1.b, la Ley 5/2014 sobre Seguridad Privada:
- Servicio de videovigilancia: aquellas actividades que tengan como objetivo prevenir infracciones, evitar daños a las personas o bienes o impedir accesos no autorizados, deberán ser prestados por vigilantes de seguridad autorizado.
Por contra, no se considerarán servicios de videovigilancia, es decir, obligados a ser prestados por vigilantes de seguridad, todos aquellos cuya finalidad sean la comprobación del estado e instalaciones o bienes, control de acceso a aparcamientos y garajes o las actividades que se desarrollan desde los centros de control y otros puntos, zonas o áreas de las autopistas de peaje.
- Servicio de gestión de alarmas: puede comprender las siguientes actividades
- El depósito y custodia de las llaves de los inmuebles u objetos donde estén instalados los sistemas de seguridad conectados a la central de alarmas y, en su caso, su traslado hasta el lugar del que procediere la señal de alarma verificada o bien la apertura a distancia controlada desde la central de alarmas.
- El desplazamiento de los vigilantes de seguridad o guardas rurales a fin de proceder a la verificación personal de la alarma recibida.
- Facilitar el acceso a los servicios policiales o de emergencia cuando las circunstancias lo requieran, bien mediante aperturas remotas controladas desde la central de alarmas o con los medios y dispositivos de acceso de que se disponga.
Los servicios de videovigilancia y de gestión de alarmas deberá ser prestados por vigilantes autorizados de empresas de seguridad acreditadas, conllevando en caso contrario, sanción muy grave de la Ley de Seguridad Privada con posible multa de 20.001 a 100.000 euros, o cierre, desde seis meses y un día a dos años.
Por último, la excepción del uso privado o doméstico en esta materia ha sido ejemplificada por la Agencia Española de Protección de Datos en los dispositivos de videoportería y mirillas digitales, siempre que solamente se usen con la finalidad de identificar y permitir el acceso a la vivienda, y no permitan la grabación o reproducción de imágenes.
Videovigilancia en la LOPDGDD
A pesar de que la nueva LOPDGDD no ha cambiado las bases de esta materia, manteniendo en plazo máximo de conservación de 30 días la información a través de cartel informativo más un clausula con la información concreta del tratamiento con la posibilidad incluir un enlace o un código de conexión: ¿se referirá al código QR y similares?; sí que destaca por haber mezclado en un mismo artículo, concretamente en el nº 22, la videovigilancia pública, privada y el uso doméstico realizado ,y sobre todo por los siguientes elementos:
1) Captación de imágenes de la vía pública
A diferencia de la norma actual de enfocar los sistemas de videovigilancia de tal manera que capten el espacio de vía pública estrictamente necesario para cumplir con la finalidad de seguridad, en el artículo 22.3 la LOPDGG se abre la posibilidad de que se pueda captar la vía pública en una mayor extensión, siempre que se justifique para garantizar la seguridad de las bienes o instalaciones estratégicas o de infraestructuras de transportes ,con el límite de que no filmen el interior de ningún domicilio privado.
A falta de mayor aclaración sobre esa expresión de bienes o instalaciones estratégicas, ya que la LOPDGDD no cuenta con un precepto o anexo de definiciones, parece que debemos irnos al concepto del mismo nombre de la Ley 8/2011 sobre protección de las infraestructuras críticas : las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales (funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas); pero sin entrar en la denominadas en la misma ley como infraestructuras estratégicas, y que serían aquellas que su funcionamiento se considera indispensable, no permitiendo soluciones alternativas, y cuya perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Huelga decir que la Directiva que traspone esta ley, sólo define el concepto de infraestructura crítica como única aplicable para todas ellas.
En atención a lo anterior, parece que permitirá filmar la totalidad de la vía pública, o al menos lo que se estime necesaria, tanto al organismo público competente, como a aquellas sociedades públicas, semipúblicas o privadas que preste el servicio de IT en algún punto (por ejemplo los operadores de telecomunicaciones) así como a aquellas sociedades que gestionen las distintas infraestructuras de transporte existentes (por ejemplo, Adif, Aena o Puertos del Estado; pero dejando fuera a las que gestionan infraestructuras críticas (como por ejemplo, las centrales nucleares)
De conformidad al artículo 22.2 de la LOPD se podrá grabar vía pública en mayor extensión a la mínima imprescindible con el objetivo garantizar la seguridad de instalaciones o bienes estratégicos, así como de infraestructuras relativas al transporte con el límite del interior de domicilio privado ¿Incluiría la referencia a las infraestructuras estratégicas?.
2) Videovigilancia pública
En el apartado 6 de este artículo 22, la LOPDGDD incluye en un mismo precepto, muy sucinto y exiguo, los distintos órganos públicos competentes para tratar imágenes en el ejercicio de sus competencias, como son: las Fuerzas y Cuerpos de Seguridad, los centros penitenciarios o la gestión del tráfico, determinando que cuando actúen con la finalidades de: prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública; deberán regirse por la normativa de transposición de la Directiva 2016/680 sobre tratamiento por autoridades competentes sobre datos personales con las finalidades descritas, y que a día de hoy, no se existe ni se la espera.
En atención a lo anterior, y a esa falta de normativa, se deberá derivar , al menos para las Fuerzas y Cuerpos de Seguridad del Estado, a la actual Ley Orgánica 4/1997 sobre la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y que no se cita expresamente en este artículo.
El tratamiento de imágenes por las Fuerzas y Cuerpos de Seguridad con las finalidades de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, se regirá por la norma de trasposición de la Directiva 2016/680 que no existe actualmente.
Como conclusión final, parece que este precepto sobre videovigilancia, al igual que otras partes de la norma, tiene ciertos elementos que pueden inducir a confusión, y que deberían se matizados. Asimismo, parece que no se va a promulgar una nueva instrucción sobre videovigilancia en sustitución de la conocida 1/2006 de la AEPD.