Vídeovigilancia y protección de datos

JAVIER HERNANDEZ MARTINEZ
Abogado

No es raro que, cuando un profesional del mundo de la protección de datos departe con otro del, también mundo, de la vídeovigilancia, se produzca cierto desacuerdo a la hora de considerar aplicable la normativa de la LOPD ( Ley Orgánica de Protección de Datos ) a dicho tipo de actividad. Entre otros motivos, suelen aducir más de una vez el argumento de que, si no hay grabación de sonido no se aplica dicha legislación. También, aunque en mi opinión por desconocimiento, alegan que en el caso de las cámaras de circuito cerrado de televisión ( CCTV ) que no almacenan las imágenes recogidas no se aplica esta legislación. Para analizar estos y otros aspectos nada mejor que zambullirse en este artículo.

¿ Qué hace la Unión Europea ?

Pues bien, en la actualidad no está impasible ante este fenómeno, y es por ello que, y sólo a título de ejemplo, las diferentes autoridades de protección de la UE, por lo tanto incluida también la española ( www.agpd.es ) han adoptado la decisión de someter a consulta pública el llamado Documento de trabajo relativo al tratamiento de datos personales mediante vigilancia por videocámara. Las aportaciones a dicho documento se pueden efectuar a través de la página indicada de nuestra Agencia de Protección de Datos.

¿ Qué indica al respecto nuestra Directiva ?

Para el que no lo sepa, la normativa interna española, como nuestra Ley Orgánica de Protección de Datos, no podrá en ningún momento contradecir lo establecido en esta norma comunitaria, que lo es la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, del año 1995 ( para abreviar, y en lo sucesivo, la Directiva ).

Pues bien, y ya para empezar no está de más comentar y destacar que la Directiva, en sus Considerandos 14 y 15 trae previsiones referidas a los tratamientos de datos carácter personal en los que haya en juego imagen y/o sonido ( nótese que no tienen por qué darse las dos circunstancias a la vez, o sea, vale que sólo se recoja el sonido, o, como en el caso que nos ocupa, sólo imagen, o también, y por supuesto, ambos elementos, imagen y sonido, aunque lo habitual es sólo la imagen ).

El Considerando 14, en síntesis, habla de la aplicación de la Directiva a aquellos tratamientos en los cuales, mediante sonido e imagen, y mediante el uso de las técnicas pertinentes, se capten, transmitan, manejen, registren, conserven o meramente se comuniquen, datos de dicho tipo.

Por su lado, el Considerando 15, nos recuerda que esta norma comunitaria se aplicará a dichos datos cuando los mismos se encuentren contenidos, o bien se destinen a encontrarse contenidos, en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trate.

Requisito 1 para la aplicación de la Directiva

Esta norma nos dice que sus preceptos o articulado se aplicarán al tratamiento, total o parcialmente automatizado, de datos personales, así como al tratamiento, no automatizado, de datos personales contenidos o destinados a ser incluidos en un fichero.

Por tanto, es claro que habremos de analizar cuándo estamos ante un tratamiento en el sentido de la Directiva, y esta norma nos dice que se entiende por tal : Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su destrucción, supresión o bloqueo.

Como se desprende del párrafo anterior, y dada la enorme amplitud de la definición de tratamiento contenida en la Directiva, aunque no se conserven o almacenen las imágenes captadas, sí estaríamos ante un tratamiento en los términos de esta norma.

Requisito 2 de la Directiva

No obstante lo anterior, este precepto comunitaria exige otro requisito adicional, consistiendo este en que el tratamiento aludido sea, al menos parcialmente, considerado como automatizado.

Resulta evidente que si la obtención de las imágenes se realiza, de forma total, bajo el control de un ordenador, estando ello totalmente digitalizado, podemos afirmar en tal caso y sin ningún género de dudas que estamos ante un tratamiento automatizado, siendo este en tal caso totalmente automatizado.

Ni qué decir tiene que cuando dentro del tratamiento automatizado del párrafo anterior usamos técnicas biométricas - cada vez más extendidas y de costos más económicos - como por ejemplo las consistentes en reconocimiento de rostros, para su cotejo o comparación con otros rostros previamente almacenados en otra base de datos ( por ejemplo, de presuntos delincuentes; gente bajo orden de busca y captura, o incluso terroristas ), en tal caso también estaríamos ante un tratamiento automatizado.

El problema habitual, actualmente, es el caso concreto de las imágenes captadas por cámaras que forman parte de circuitos cerrados de televisión ( CCTV ), y que no efectúan ningún tipo de almacenaje de las imágenes captadas. Ante tal supuesto hay quien afirma que no se aplicaría la Directiva, ni tampoco, por tanto, la normativa española.

Caso concreto : las CCTV

Ante este supuesto tan específico, pero sin duda uno de los más extendidos en la práctica, no está de más realizar una lectura del Anexo denominado Análisis Técnico de la Transposición en los Estados miembros en relación a la Directiva. En dicho documento, aparte de desprenderse del mismo la tendencia casi aplastante, aparte de contundente y clara, en el sentido de sí aplicar la legislación de protección de datos a las CCTV por parte de los distintos Estados ( así, y a modo de ejemplo : Alemania, Grecia, o incluso Suecia ).

En el caso concreto español, aunque no existe una norma que de forma específica regule, en el marco de la protección de datos, las CCTV, sí existe una resolución de la Agencia de Protección de Datos en la cual se analiza un caso realmente iluminador a estos efectos. Consistió dicho caso en una empresa que, vía Internet, y a través de una web cam, emitía imágenes, a modo de fotos fijas, y actualizadas cada 15 segundos, de sus empleados. Dicha empresa no almacenaba, grababa, ni de ninguna forma conservaba dichas imágenes. Pues bien, la APD consideró que sí le era de aplicación la LOPD.

El supuesto expuesto, el de las imágenes de la web cam, fue recurrido por la empresa ante la Audiencia Nacional, perdiendo el recurrente el juicio, En dicha sentencia final, hay algunas afirmaciones que resultan de una utilidad extrema para el tema ahora analizado, siendo tal vez la más importante la que indica que las imágenes así captadas no exigen su conservación para considerar que existe tratamiento, bastando a tal fin con su recogida. Resumen : La mera captación, aunque no suponga conservación, supondrá la aplicación de la LOPD.