Guía sobre el uso de videocámaras para seguridad
A la hora de instalar cámaras de seguridad, un detalle esencial es determinar la finalidad que tiene la grabación de tales imágenes, o el tratamiento que se le va a dar a esa información.
Finalidad del tratamiento de datos de cámaras de videovigilancia
Aunque la videovigilancia consiste en garantizar la seguridad de personas, bienes e instalaciones, el interés público legitima dicho tratamiento. La limitación de la finalidad según el Reglamento General de Protección de Datos RGPD, indica que los datos personales recogidos con fines determinados, no serán tratados de forma incompatible con tales fines.
Captación de imágenes de la vía pública
Por norma general, la captación de imágenes con fines de seguridad de la vía pública debe realizarse por las Fuerzas y Cuerpos de Seguridad, ya que les corresponde la prevención de hechos delictivos y la garantía de la seguridad en la vía pública regulado por la Ley Orgánica 4/1997 de 4 de agosto
Aunque, en general, las cámaras de videovigilancia con fines de seguridad no deben captar imágenes de la vía pública, existen excepciones. En algunos casos, cuando las cámaras están instaladas en fachadas o interiores de espacios privados, puede resultar imprescindible grabar una parte mínima de la vía pública para cumplir adecuadamente con el objetivo de seguridad, especialmente si la ubicación de las cámaras hace imposible evitar dicha captación.
Asimismo, se permite una captación más amplia de la vía pública cuando sea necesaria para proteger infraestructuras estratégicas o de transporte. También es común el uso de videovigilancia en espacios de acceso público como centros comerciales, restaurantes, lugares de ocio o aparcamientos, aunque sean de propiedad privada. En estos entornos, los propietarios emplean cámaras para proteger tanto a las personas como a las instalaciones.
También puedes consultar si se puede denunciar las cámaras de videovigilancia ilegales.
Minimización de datos recogidos por videocámaras
El principio de minimización de datos hace referencia a los espacios en los que por sus condiciones podría ser desproporcionado la utilización de la videovigilancia, pudiendo utilizar las máscaras de privacidad para evitar captar y grabar imágenes excesivas.
De igual modo se debe valorar si el fin perseguido se puede alcanzar de otra forma más allá de la instalación de la videovigilancia, o la proporcionalidad en cuanto al número de cámaras y la opción de utilizar máscaras de privacidad.
Análisis de riesgos y medidas de seguridad sobre cámaras de videovigilancia
El Reglamento General de Protección de Datos obliga a que los responsables lleven a cabo una valoración del riesgo de los tratamientos que realicen con el fin de establecer las medidas a aplicar. Este análisis de riesgo variará en función de los tipos de tratamiento, la naturaleza de los datos, número de afectados y la cantidad y variedad de tratamientos que realice una misma organización.
Derecho de información
Otras de las obligaciones que conlleva el uso de la videovigilancia con fines de seguridad es cumplir con el derecho de la información mediante un distintivo informativo. Este distintivo se deberá exhibir en un lugar visible en los accesos a las zonas vigiladas ya sean interiores o exteriores.
El distintivo deberá informar de la existencia del tratamiento, identidad del responsable del tratamiento, la posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD y donde obtener más información sobre el tratamiento de datos personales.
Contratación de un tercero para el tratamiento de imágenes
El acceso a las imágenes de las cámaras por cuenta de terceros distintos del responsable del tratamiento, deberá estar regulado por la existencia de un contrato.
De forma resumida, el contenido del contrato o acto jurídico del encargado de tratamiento incluye las instrucciones que debe seguir del responsable del tratamiento, así como:
El deber de confidencialidad.
Las medidas de seguridad a implementar.
El régimen aplicable en caso de subcontratación.
La manera en que asistirá al responsable en el cumplimiento de su deber de responder al ejercicio de los derechos de los afectados.
La colaboración en el cumplimiento de las obligaciones del responsable.
Y el destino que se dará a los datos una vez finalizada la prestación del servicio.
Notificación de brechas de seguridad
En caso de una brecha de seguridad que afecte a los tratamientos de cámaras con fines de seguridad: como la destrucción, pérdida, alteración accidental o ilícita de datos personales, o el acceso o comunicación no autorizados. El responsable del tratamiento deberá notificarlo a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas, siempre que exista un riesgo para los derechos y libertades de las personas físicas.
Esta notificación deberá incluir, como mínimo, la naturaleza de la brecha, las categorías y número aproximado de afectados, los tipos de datos comprometidos, el número de registros afectados, los datos de contacto del Delegado de Protección de Datos, las posibles consecuencias del incidente y las medidas adoptadas o propuestas para remediarlo.
