Todos nos hemos acostumbrado al uso extendido de videocámaras en nuestro día a día. Encontramos videocámaras en las tiendas, supermercados, centros de trabajo, vehículos, etc., para un sinfín de finalidades. Parece que nuestra vida pasa cada vez más, y de forma irremediable, por un monitor.

Dejando de lado el drama, en la medida en que estas videocámaras capten la imagen de personas identificadas o identificables, entrará en juego el derecho fundamental a la protección de datos de carácter personal y la normativa de protección de datos.

Desde la perspectiva de protección de datos, el uso de videocámaras es una cuestión que lleva años preocupando a la Agencia Española de Protección de Datos (AEPD). Ello explica que ya desde 2006 contásemos con la Instrucción 1/2006 a este respecto y que la propia AEPD cuente con una sección específica en su página web sobre videovigilancia; con una Guía sobre el Uso de Videocámaras para Seguridad y Otras Finalidades; con fichas técnicas (e.g. sobre su uso en garajes, vivienda, comunidades de propietarios, etc.); informes jurídicos, preguntas frecuentes o FAQs, etc. Por si lo anterior supiera a poco, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDYGDD) regula, en sus artículos 22 y 89, el uso de dispositivos de videovigilancia.

Sin ánimo de exhaustividad, y sin perjuicio de la enorme casuística en el uso de estos dispositivos, a continuación se pretende realizar un breve resumen de las cuestiones básicas y prácticas a tener en cuenta por las empresas que utilicen sistemas de videovigilancia sin sonido:

  1. Determinar la finalidad: Lo primero que hay que tener claro es la finalidad de las videocámaras, que determinará la aplicación de unas u otras obligaciones bajo la LOPDYGDD y, en última instancia, bajo el Reglamento (UE) 2016/679 (RGPD).Las dos finalidades más habituales y reguladas en la LOPDYGDD son (A) la seguridad de las personas, bienes e instalaciones (Seguridad), y (B) el control de los trabajadores (Control Laboral).
  1. Análisis de legitimidad y proporcionalidad: Se debe analizar cuál es la base legitimadora del tratamiento, así como la proporcionalidad del mismo:
    1. Seguridad: La LOPDYGDD basa la licitud del tratamiento en la existencia de un interés público.Además, la LOPDYGDD pone límites a la captura de imágenes de la vía pública.
    2. Control Laboral: Los empleadores podrán tratar las imágenes obtenidas para el ejercicio de las funciones de control de los trabajadores previstas en el Estatuto de los Trabajadores, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.Además, se prohíbe la instalación de sistemas de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores, tales como vestuarios, aseos, comedores y análogos.
  1. Informar de su uso: Una de las obligaciones más importantes y visibles consiste en el cumplimiento de los deberes de transparencia e información, que implican:
    1. El uso de un cartel informativo en los accesos a zonas vigiladas, en un lugar suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos de protección de datos. También se puede incluir en el dispositivo informativo un código de conexión o dirección de internet a esta información.
    2. Se deberá poner a disposición de los interesados la información prevista en el artículo 13 RGPD. Además, los empleadores habrán de informar con carácter previo y de forma expresa, clara y concisa, a los trabajadores y, en su caso, a sus representantes, acerca de esta medida.
  1. Conservación: Como regla general los datos deben ser suprimidos en el plazo máximo de un mes desde su captación.
  2. Otras obligaciones a tener en cuenta: Los responsables deben, entre otros, (i) analizar los riesgos que derivan del tratamiento; (ii) implantar las medidas técnicas y organizativas apropiadas de seguridad; (iii) analizar la necesidad de llevar a cabo una evaluación de impacto de protección de datos; (iv) elaborar un registro de actividades del tratamiento; y (v) firmar, cuando resulte de aplicación, un contrato de encargo del tratamiento (ex. 28 RGPD).