https://derechotic.wordpress.com/2011/11/19/la-lopd-y-la-videovigilancia-de-los-parkings-subterraneos-publicos/
El uso de la videovigilancia es una práctica muy extendida hoy en día y genera numerosas dudas sobre su legitimación y límites legales. En este sentido, las inspecciones de la Agencia Española de Protección de Datos por el uso de videocámaras se han multiplicado en los últimos años, ocupando este sector un lugar muy significativo en el número de denuncias recibidas y su importancia ha provocado la publicación de una Guía sobre la Videovigilancia en el año 2009.
Como regla general, los parkings subterráneos públicos incorporan un sistema de videovigilancia (CCTV) formado por dos subsistemas independientes: El que se ocupa de la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos, y exigido por la normativa sobre aparcamientos emanada de la Ley 44/2006, modificando la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos que introdujo la obligación de identificar al vehículo que accede al Aparcamiento; y otro, dedicado en exclusiva al control y vigilancia en el interior de los aparcamientos, con fines de seguridad y control de posibles daños a vehículos estacionados o a las instalaciones, como obligación derivada de la Ley 40/2002.
Analicemos la obligación relativa a la identificación del vehículo que accede al estacionamiento. Los Aparcamientos Públicos están obligados a entregar al usuario en papel o en cualquier otro soporte duradero un justificante, donde constará, entre otros datos, los relativos a la hora, día y minuto de entrada así como la identificación del vehículo, que se deberá realizar preferentemente con la matrícula. Respecto a la obligación de control y vigilancia en el interior de los aparcamientos, el titular de estacionamiento tiene la obligación clara de restituir al usuario, en el estado en que le fue entregado, el vehículo y los componentes y accesorios fijos e inseparables al vehículo. Esto significa que la empresa gestora del aparcamiento público es responsable de los daños que sufra el vehículo. La ley establece deberes de vigilancia y custodia de los vehículos durante el tiempo de ocupación del establecimiento, por lo que el titular del aparcamiento responderá de los daños que sufra un vehículo por desprendimientos, inundaciones, etc., como de los daños ocasionados por el robo en el vehículo.
Por lo expuesto, podemos concluir que la captación de imágenes de acceso y para la vigilancia y custodia de los vehículos tiene una fundamentación legal con base en las normas a las que nos hemos referido más arriba.
Por su parte, la AEPD a través de la Instrucción 1/2006 establece en su artículo 1 que “La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquellas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos y/o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma”.
Además, la Instrucción 1/2006 obliga a las empresas que dispongan de sistemas de captación y/o grabación de imágenes a informar en sitio visible, tanto a empleados como a terceros que acceden a las instalaciones y precisan identificarse, de los parámetros del artículo 5 LOPD, y en todo caso ostentan los afectados los derechos de acceso, rectificación, cancelación y oposición.
Pero debemos plantearnos una cuestión ¿esas imágenes captadas son en todo caso datos de carácter personal?
A este respecto, debemos empezar por ¿qué es un dato de carácter personal? El artículo 5.1.f del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, define datos de carácter personal como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.
En ese sentido, se pronuncia el artículo 2.1 de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, en el que identifica a efectos de dicha Directiva como datos personales “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Así mismo el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquella.
En vista de lo expuesto, ¿es realmente aplicable la Instrucción 1/2006 a todos los casos, extremos y circunstancias de la videovigilancia? ¿Y a la captación de imágenes en parkings subterráneos públicos? El objeto de este análisis es abordar la segunda de las cuestiones.
Para ello, analicemos el concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
Conforme al Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, se considera identificable una persona física cuando puede determinarse su identidad física, siempre que para su identificación no se requiera un esfuerzo desproporcionado.
Pero, ¿cómo establecer el límite de ese esfuerzo desproporcionado? Ese será el objeto de otro artículo. En el que nos ocupa, nos vamos a centrar en la línea de interpretación en cuanto al ámbito objetivo de aplicación de la LOPD tomada por la Audiencia Nacional en una sentencia que no fue recurrida por la AEPD.
Una sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 17 de septiembre de 2008 (recurso número 353/2007) que estimó el recurso contra la sanción de 60.000€ impuesta por la Agencia Española de Protección de Datos a una empresa prestadora de servicios de descargas a teléfonos móviles. En esta sentencia la Audiencia Nacional considera que la AEPD no había probado que la existencia del número de teléfono móvil por sí solo haga al titular identificable, y por tanto no se le podía aplicar la LOPD.
En esta sentencia se afirma que es evidente que, al no existir ninguna base de datos pública de números de teléfonos móviles asociados a sus titulares, la identificación de los titulares de los datos requiere un esfuerzo desproporcionado; es decir, únicamente podrían identificar a las personas físicas o los operadores de telefonía móvil respecto de sus clientes o aquellas empresas que gestionen datos identificativos asociados a números de móvil. En este mismo sentido, si se parte de la premisa de que el número de teléfono móvil por sí solo no hace al titular identificable, en nuestra opinión se deberían analizar otros supuestos análogos que tradicionalmente se han considerado como datos de carácter personal por parte del órgano de control, como por ejemplo las direcciones IP, el número de DNI, o la imagen de la persona a pesar de que no contengan ningún dato identificativo complementario sino únicamente porque pertenezcan a una persona física. En la línea de la Sentencia comentada, tampoco existe una base de datos pública de imágenes que identifiquen a las personas físicas con las que se relacionan dichas imágenes ni tampoco existe una base de datos pública de matrículas de vehículos que relacionen estas con las personas titulares de las mismas. Si esto es así, ¿cuál es la situación de la captación de imágenes en los parking subterráneos públicos? Pero, ¿dónde está el límite? ¿Se puede considerar, tal y como argumenta la AEPD, que por el mero hecho de descolgar el teléfono se identifica a la persona, o por el mero hecho de la captura de la imagen de una persona, de manera accidental por vigilarse exclusivamente el espacio y los vehículos en cumplimiento de la normativa específica de aplicación, y sin más información de la misma se identifica a la persona? Y por otra parte, ¿qué argumentos existen para considerar que las imágenes captadas en la videovigilancia de los parkings subterráneos públicos hacen identificables a las personas físicas? ¿Es posible de forma sencilla identificar a una persona física cuando únicamente contamos con una imagen, y en la mayoría de los casos sin la nitidez necesaria para llegar a detalles en sus rasgos?
Realicen una simple prueba para determinar si con el número de DNI o con el nombre y apellidos por sí solos bastaría para identificar a una persona física en las grabaciones de imágenes en el parking. Obtendrán, como hemos obtenido nosotros, resultados negativos en todos los intentos. Por lo tanto, en nuestra opinión, sería necesario un esfuerzo de investigación que podría considerarse “desproporcionado” para lograr la identificación de una persona física a partir de una imagen captada en la videovigilancia dentro de los parkings subterráneos públicos. En este caso, únicamente podría identificarse a las personas a través de estas imágenes mediante el envío de las mismas al Ministerio del Interior o a los Cuerpos y Fuerzas de Seguridad.
Por lo tanto, podemos concluir que no hay identificación de personas físicas en esta acción de grabación de las imágenes. Sólo se produciría la identificación en las imágenes de las personas físicas en cuestión, en un visionado posterior ah doc promovido por una reclamación o solicitud al efecto en el que se aporten los datos que relacionan a esa persona física con la imagen. Hasta ese momento, la información contenida en la imagen captada es anónima respecto a la persona física que hay detrás de esa imagen. Hay dato pero no se vincula a una persona física.
Otro aspecto a tener en cuenta en esta materia es la necesidad o no de recabar el consentimiento del afectado pero que no vamos a tratar en profundidad. En este sentido, es necesario que concurra la legitimación, dado que para que el tratamiento de los datos de carácter personal sea lícito, el artículo 6.1 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa” y así lo dispone el artículo 2 de la Instrucción 1/2006,
“1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la LOPD.
- Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras o videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia”.
Evidentemente, esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local; por ello, la AEPD ha venido entendiendo que existe una Ley que habilita el tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada. Por lo tanto, en el supuesto de los parkings subterráneos públicos debemos entender que se cumple con el deber de obtener el consentimiento de las personas que transitan por los lugares en los que se encuentran instaladas las cámaras, puesto que se consiente tácitamente al obtener el ticket de acceso al parking público, por ser el momento en el que se inicia la relación prestacional del servicio de parking; y por conformar la seguridad dentro de las instalaciones y de los vehículos una parte integrante de dicha prestación, y que conlleva la videovigilancia de las instalaciones.
Esta situación asentada en la AEPD se ha visto trastocada por la entrada en vigor de la reforma de esta Ley de Seguridad Privada propiciada por la Ley 25/2009 de 22 de diciembre, Ley Omnibus, que ha venido a crear una disposición adicional sexta que establece:
“Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
Hasta ahora, el artículo 5.1.e de la Ley de Seguridad Privada, disponía que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Dicha previsión se reiteraba en el artículo 1 del Reglamento de Seguridad privada, aprobado por el Real Decreto 2364/1994, de 9 de diciembre.
Lo que no ha cambiado es la necesidad para la instalación y captación de sistemas de videovigilancia en parking subterráneos públicos de la preceptiva autorización de la Subdelegación/Delegación del Gobierno, con carácter previo a su instalación justificando la adopción de dicha medida en base al principio de proporcionalidad.
De conformidad con la línea argumental expuesta, la captación de imágenes a través de videocámaras constituye un tratamiento de datos personales si las imágenes captadas se refieren a personas físicas identificadas o que puedan ser identificables.
En relación al cumplimiento de las obligaciones establecidas en la Ley 40/2002, reguladora del contrato de aparcamientos de vehículos y sus posteriores modificaciones, la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos y la captación de imágenes de las instalaciones con fines de seguridad y control de posibles daños a vehículos estacionados es una obligación de los gestores o explotadores de estos parkings. Las imágenes captadas por el segundo subsistema únicamente son visualizadas si se produce alguna reclamación por daños o porque lo solicite las fuerzas y cuerpos de seguridad y únicamente bajo el criterio de búsqueda de fecha y hora, siendo imposible la búsqueda individualizada de la imagen de una persona. En este sentido, en cumplimiento de la Ley 44/2006, que modifica la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos y de la relación contractual derivada del servicio de parking, al usuario se le hace entrega de un justificante o resguardo del aparcamiento, con expresión del día y hora de la entrada, la identificación del vehículo y si el usuario hace entrega o no al responsable del aparcamiento de las llaves del vehículo. Esos son los únicos datos que se tratan en el este tipo de aparcamientos.
Las imágenes captadas por las cámaras de videovigilancia son grabadas en un sistema automático de grabación que está configurado para grabar en ciclos periódicos, siendo ese el período máximo de conservación, que nunca superará el periodo de un mes. A estos sistemas de visualización, con carácter general, se accede mediante usuario y contraseña, cuando se produce algún tipo de reclamación por usuarios o requerimiento por parte de los Cuerpos y Fuerzas de Seguridad que resultan imprescindibles para poder identificar a las personas físicas por parte del Responsable del tratamiento en el primer caso, por parte de los Cuerpos y Fuerzas de Seguridad en el segundo. Consiguientemente, dentro del sistema de grabación de imágenes lo único que hay es una acumulación de imágenes tomadas según transcurre el tiempo y que son borradas de manera automática en periodos de tiempo establecidos en el sistema. En este sentido, resulta anecdótico que se pudieran dar situaciones como que en la fecha de contestación a una Hoja de Reclamación de Consumo acerca de la tarifa por hora del parking y por incumplimiento del artículo 5 de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, en el caso de que se hubiera producido la grabación de imágenes en las que pudiera aparecer el denunciante, se estuviera produciendo el borrado automático de esas imágenes con la grabación de las nuevas imágenes según la configuración del sistema de grabación. O en el supuesto de que no se hubiera producido el borrado automático de las imágenes, sólo en ese momento, y nunca antes, por no disponerse de datos complementarios a esas imágenes que identifiquen al titular de ese dato, se podrá identificar a la persona física que está detrás de esa imagen.
Por consiguiente, en la grabación que nos ocupa, no puede considerase que dichas imágenes se destinen a integrarse en un archivo estructurado según criterios específicos relativos a las personas físicas. En todo caso, ha de diferenciarse el derecho a la intimidad y a la propia imagen con el derecho a controlar los datos de carácter personal sin que pueda hacerse una interpretación extensiva y genérica de la LOPD.
Volviendo al concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable. Podemos concluir, que en el caso de la videovigilancia en los parkings subterráneos públicos, debemos entender que no hay tratamiento de datos de carácter personal porque no se podría acreditar, que a través de la imagen se identifique al titular de la misma o que a partir de la citada imagen fuese posible tal identificación, de forma que esa imagen ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular de la misma impide que pueda encajarse en la definición legal de dato de carácter personal.