RGPD: qué debes tener en cuenta si tienes cámaras en tu empresa
Uno de los mayores motivos de sanción con la LOPD eran las grabaciones de imágenes en las empresas. Con la llegada del nuevo RGPD, existen algunos cambios que es necesario conocer.
- Tipo de tratamiento para el que se toman las imágenes, ya sea por motivos de seguridad, control de accesos o empleados, etc.
- Necesidad de acreditar el interés legítimo para la instalación de videocámaras en los negocios
Las cámaras de seguridad se han convertido en un elemento bastante común en muchos negocios. Pueden tener un fin de control, permitiendo la visualización de las instantáneas que se captan, pero también se pueden grabar y almacenar dichas imágenes. Al recoger la imagen de una persona permitiendo su reconocimiento, hay que tratarlo como un dato personal y, por lo tanto, debe cumplir con el RGPD.
Y es aquí donde, en muchos casos, pueden surgir dudas sobre cómo requerir el consentimiento para la toma de imágenes, si es necesario hacerlo, cuánto tiempo se pueden almacenar las imágenes o si las mismas se consideran un dato de especial protección o no.
Control laboral, de seguridad y necesidad de consentimiento
Al igual que en otras cuestiones que tienen que ver con la protección de datos, para la obtención de imágenes de clientes, trabajadores o cualquiera que esté en las instalaciones de nuestra empresa, es necesario tener una base legítima para la obtención de las mismas. Entre las que se pueden considerar bases legítimas están el consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo del responsable.
En el caso de la captación de imágenes no se puede recoger el consentimiento de todas las personas que pasan por la empresa, por lo que generalmente se aplica un interés legítimo del responsable. Por ejemplo, para las empresas que tienen cámaras en sus instalaciones, de forma voluntaria podrían alegarse a tal fin:
- La seguridad de las personas y activos de la propia compañía.
- Control del debido cumplimiento de los trabajadores en sus tareas, así como el cumplimiento de las normas de seguridad y prevención de riesgos laborales.
Esto no implica que se puedan colocar cámaras en cualquier lugar de la empresa. Existen ciertos límites. Por ejemplo, para el control de trabajadores no se pueden ubicar en salas de descanso, servicios públicos o vestuarios. Hay que conjugar el interés legítimo para el que se toman las imágenes con el debido respeto a la privacidad.
Por supuesto, se debe informar a la AEPD de la existencia del tratamiento que se está realizando de dichas imágenes captadas por la cámara. Dentro del análisis de riesgos que se realiza de los datos personales, también se tienen que incluir las cámaras. En muchas ocasiones, son especialmente vulnerables al ser un elemento al que se puede acceder desde el exterior.
Un ejemplo, un comerciante tiene una cámara en su negocio que controla con una aplicación en su smartphone. Un día sufre un robo del teléfono, por lo que cualquiera que acceda al mismo podría llegar a ver imágenes de su negocio en tiempo real o guardadas si ha capturado algún video o foto. Este incidente de seguridad tendría que notificarse a la AEPD y tomar las medidas oportunas para eliminar dicho acceso lo antes posible.
Retención de imágenes y derecho al olvido
Es importante tener en cuenta que, en el caso de la videovigilancia si se almacenan las imágenes, éstas deberán estar debidamente custodiadas y no pueden ser de libre acceso. Con el nuevo requisito de privacidad desde el diseño y por defecto del RGPD, se añaden más obligaciones a las empresas en la protección de dichas imágenes.
Además, los interesados pueden ejercer sus derechos, por lo que cualquiera que haya sido grabado podría solicitar las imágenes y se tendrían que entregar en un plazo no superior a 30 días. Por otro lado, las empresas tienen la obligación de eliminar las imágenes almacenadas pasado un plazo de 30 días, con lo que también se da debido cumplimiento al derecho al olvido.
La imagen captada, ¿es un dato de categoría especial?
Por último, una cuestión bastante peliaguda es si la imagen recogida por una cámara es en sí misma un dato de categoría especial o no, tal y como sería el caso de una huella dactilar. Según dice el RGPD, en su artículo 4.14:
“Los datos biométricos son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Aunque parece enfocado a tratamientos técnicos de reconocimiento facial automatizado, lo cierto es que tiene una redacción bastante ambigua, al ser un sistema de videovigilancia un tratamiento técnico específico por sí mismo que permite reconocer a las personas que aparecen en las grabaciones. Y aquí habría que diferenciar entre las imágenes captadas de trabajadores de la empresa y aquellos que solo la visitan. En el primer caso, los empleados de los que se recogen imágenes debería ser un dato de categoría especial, puesto que el responsable de tratamiento disponen de todos los datos necesarios para identificarlos.
Para el resto de visitantes de la empresa faltarían elementos para producir dicha identificación, por lo que no tendrían dicho tratamiento de categoría especial. Esto no está del todo claro, pero tiene una serie de implicaciones importantes a la hora de custodiar, almacenar y acceder a las imágenes grabadas, que deberían permanecer en todo caso cifradas, para impedir que cualquiera que tenga acceso al dispositivo de almacenamiento pueda obtener dichas imágenes.
Finalmente, hay que tener en cuenta que, además de cumplir con el RGPD, la videovigilancia también está afectada por la LSP (Ley de Seguridad Privada), algo a tener en cuenta para saber si el personal de nuestra empresa puede o no controlar las cámaras. Por todo ello, antes de poner cualquier cámara en la empresas, es muy importante contactar con los expertos en RGPD para ver las implicaciones legales que tiene.
RGPD. Guía para pequeñas empresas.
El Reglamento General de Protección de Datos ha supuesto una revolución sobre cómo los datos personales han de ser recopilados, guardados y usados.