En el procedimiento sancionadorhttps://www.aepd.es/es/documento/ps-00369-2019.pdf instruido por la AEPD, se sanciona a CASA GRACIO OPERATION, SLU (el reclamado), por la colocación de cámaras de videovigilancia grabando parte de la vía pública.

En este caso, el reclamante, una comunidad de propietarios, alegaba que las cámaras de videovigilancia de dicho hotel recogían imágenes de la vía pública, así como parte de la puerta de entrada a su comunidad. Para ello, en su escrito, presentó fotografías de la ausencia de carteles y de la ubicación de los dispositivos de videovigilancia y sus modelos.

La AEPD admite a trámite la reclamación e inicia un proceso de investigación. La reclamada presentó pruebas alegando que las cámaras cumplían con la normativa de protección de datos. Después de realizar las oportunas comprobaciones, la AEPD estima que no es así, ya que las cámaras instaladas tipo Domo poseen máscaras de privacidad que no son las adecuadas para la protección de los datos personales, puesto que recogen un perímetro mayor del permitido.

Se vulnera uno de los principios básicos del RGPD que es el de la minimización de datos, ya que las imágenes que captan estas cámaras son excesivas para cumplir con la finalidad de videovigilancia del Hotel. Se sanciona con 10.000 euros. El reclamado acepta su responsabilidad por lo que la cantidad al final fue menor.

IMPORTANTE 

Estaría permitido captar mínimamente parte de la vía pública, solamente, en el caso de no existir otra alternativa de instalación de las cámaras

Una de las principales características de la aplicación del RGPD es que es el propio responsable,(o encargado de tratamiento contratado), mediante un minucioso análisis de riesgos, el que determina cuáles son las medidas técnicas y organizativas más apropiadas para el tratamiento que se lleva a cabo en su entidad.

En el art.32 del RGPD se indican como mínimo algunas de las medidas que se deben aplicar para garantizar la confidencialidad, disponibilidad e integridad de la información. En concreto, se menciona a la auditoría de protección de datos como “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

En la anterior normativa se establecía un plazo para su realización dependiendo del nivel de seguridad bajo, medio o alto. En la actualidad como estos plazos no se encuentran regulados por la ley, será el responsable el que en función del análisis de riesgos establezca la periodicidad para su realización.

No solamente será obligación del responsable, también el encargado del tratamiento. Este tiene que poner a disposición del responsable para permitirle la realización de auditorías, incluidas las inspecciones, por parte del responsable o auditor autorizado.

 IMPORTANTE

Uno de los cometidos de los delegados de protección de datos es la supervisión del cumplimiento del RGPD, incluidas las auditorías.

 

 

El tratamiento de los datos personales de las personas físicas a las que se aplica el RGPD requiere que se haga con unas medidas técnicas y organizativas que garanticen una adecuada seguridad incluyendo la confidencialidad de los datos.

A lo largo de la lectura del RGPD y de sus considerandos, encontramos muchas referencias a esa obligación, por parte del responsable, de mantener la seguridad aplicando medidas técnicas y organizativas adecuadas. Ahora cabe preguntarse, cómo puede conocer la entidad cuáles son esas medidas.

Lo primero que se tiene que realizar es un exhaustivo análisis de los riesgos que ese tratamiento puede ocasionar. Para ello tenemos que definir los activos involucrados en el proceso de tratamiento de datos, sus vulnerabilidades y las amenazas a las que se encuentran expuestos. El responsable tiene que aplicar unas medidas adecuadas, según el resultado de la probabilidad de que ocurran las amenazas y el daño que producirían.

En el art.32 del RGPD se recoge un listado de medidas que han de aplicarse. La seudonimización, el cifrado de datos personales, una evaluación periódica de la eficacia de las medidas y la capacidad de garantizar la confidencialidad y recuperación de los datos, entre otras.

 IMPORTANTE

Se considera una infracción grave en la LOPDGDD la falta de adopción de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 

Uno de los pilares básicos en los que se fundamenta el RGPD y nuestra Ley Orgánica de protección de datos y garantía de derechos digitales asegurar una transparencia en la trazabilidad de los datos personales, de forma que de confianza al interesado en el tratamiento de sus datos.

La normativa nos permite cumplir con el deber de informar facilitando una información básica ¿Cuál es el contenido mínimo que debe comprender? Cuando los datos hayan sido facilitados por el propio interesado, el responsable le dará una primera información básica que ha de contener los puntos siguientes recogidos en el art.11 de la LOPDPGDD:

a) La identidad del responsable y de su representante en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos en materia de protección de datos.

d) La elaboración de perfiles en el caso de que se diera esa circunstancia y la posibilidad de oponerse a la adopción de decisiones individuales automatizadas.

En el caso de que los datos no procedieran del interesado, incluiríamos también las categorías de datos objeto del tratamiento y las fuentes de las que proceden los datos.

IMPORTANTE

En ambos casos debe indicarse una dirección electrónica u otro medio inmediato para acceder de forma sencilla a la información adicional.

En el procedimiento sancionador, instruido por la Agencia Española de Protección de datos, se multa a la entidad AMADOR RECREATIVOS, S.L. (en adelante, el reclamado), por no hacer un uso debido de los sistemas de videovigilancia. https://www.aepd.es/es/documento/ps-00135-2019.pdf

La Policía Local del Ayuntamiento de Molina de Segura presentó una reclamación a la AEPD debido al tratamiento de datos realizado a través de las cámaras. Estas cámaras de seguridad estaban orientadas hacía la vía pública sin causa justificada. Se aportó como prueba documental una fotografía del monitor de la empresa reclamada.

La AEPD determina en su resolución que los hechos presentados suponen una infracción del principio de minimización de los datos, es decir, los datos personales objeto del tratamiento tienen que ser adecuados, pertinentes y limitados a lo necesario. Las cámaras obtenían imágenes de la vía pública colindante siendo esta una competencia exclusiva de la Fuerzas y Cuerpos de Seguridad del Estado.

La entidad reclamada no realizó ninguna medida para reorientar las cámaras, a pesar de las advertencias de las Autoridades públicas. La infracción es calificada como muy grave. Se tuvieron en cuenta como agravantes, la intencionalidad, negligencia y la nula colaboración con la autoridad de control, ya que no presentó escrito alguno de alegaciones.

IMPORTANTE

 

El responsable de la instalación del sistema de videovigilancia debe adoptar las medidas necesarias para que se ajuste a la normativa en vigor.

 

En el portal Web de la AEPD encontramos en su apartado de “Guías y herramientas”, una publicación relativa a las consecuencias administrativas, disciplinarias, civiles y penales de la difusión de contenidos sensibles.https://www.aepd.es/sites/default/files/2019-12/consecuencias-administrativas-disciplinarias-civiles-penales.pdf

En el ámbito laboral, tal y como dispone la Ley sobre Infracciones y Sanciones en el Orden Social, los actos que realice el empresario que sean contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores serán considerados como una infracción muy grave, con multas desde 6.251 y hasta 187.515 euros. En la publicación se recoge un ejemplo de dos trabajadores varones de una empresa sometidos a hostigamiento por parte de sus compañeros/as, incluidos los que ocupan puestos de responsabilidad, por mantener una relación sentimental que fue difundida a través de imágenes. La dirección de la empresa es conocedora de la situación y no adopta medidas para impedirlo, incurriendo en una sanción grave.

En el ámbito de la ciudadanía, cuando se produzca esta difusión de contenidos sensibles puede tener, entre otras consecuencias, responsabilidad administrativa. Será la AEPD la que multe a aquellos que hayan difundido las imágenes sin el consentimiento de la víctima o bien hayan contribuido a su difusión. Los ciudadanos incluso podrían indemnizar a la víctima por daños y perjuicios.

IMPORTANTE 

En el ámbito de la responsabilidad penal, los ciudadanos pueden ser sancionados por casos de sexting, ciberacoso o ciberbullying

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-camaras-en-tiempo-real.pdf a la consulta planteada acerca de si la reproducción de imágenes en tiempo real que no graban se encuentran sometidas al RGPD.

En este informe, lo primero que se analiza es si el supuesto planteado existe un tratamiento de datos personales.

En Art.4.2 del RGPD define el tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

De la definición anteriormente indicada la AEPD nos indica que, aunque las imágenes no sean grabadas, la reproducción de las mismas en tiempo real supone un tratamiento de datos y por tanto está sometida al RGPD.

Dado que consiste en un tratamiento de datos personales, el Responsable del tratamiento está sometido a ciertas obligaciones y como tal debe efectuar el tratamiento de las imágenes en tiempo real con fines de videovigilancia.

Dentro de este tratamiento, el Responsable del mismo, está obligado a tener un registro de actividades de tratamiento.

También, el Responsable debe facilitar a los interesados un Derecho de información, el cual se efectúa mediante la colocación, en un lugar visible, del correspondiente cartel de videovigilancia y tener a disposición de los interesados impresos en los que se determine la información del mismo.

IMPORTANTE

 

Hemos de efectuar la adaptación del tratamiento de imágenes en tiempo real y a su vez informar a los interesados mediante la colocación del correspondiente cartel de videovigilancia.

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-drones.pdf  a la consulta planteada por una empresa de operadores de drones.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

IMPORTANTE

 

Se debe informar de la forma más apropiada posible y con carácter previo al uso de los drones. Indicando claramente quién es el responsable del tratamiento y las finalidades

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-drones.pdf  a la consulta planteada por una empresa de operadores de drones.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

IMPORTANTE 

 

Se debe informar de la forma más apropiada posible y con carácter previo al uso de los drones. Indicando claramente quién es el responsable del tratamiento y las finalidades

 

El término de brecha de seguridad se define en el art.4.12 del RGPD, como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, la conservación o tratamiento de forma ilícita, así como la comunicación o el acceso no autorizado a los datos, para que sea tenida en cuenta como brecha de seguridad, debe afectar a datos de carácter personal.

¿Qué han de tener en cuenta el responsable y encargado del tratamiento ante una brecha de seguridad?  Independientemente del tamaño de la entidad y de la gravedad y consecuencias del incidente, el responsable y encargado del tratamiento lo tienen que dejar documentado en el registro de incidencias, incluyendo entre otros datos, los hechos relacionados con el incidente, sus efectos y las medidas correctivas que se han adoptado. Así, por ejemplo, la pérdida de un ordenador portátil, el acceso de un empleado no autorizado a la base de datos y su borrado, el envío de un e_mail a un destinatario incorrecto, constituyen todas brechas de seguridad que deben documentarse. Este documento lo pondremos a disposición de la autoridad de control, cuando ésta nos lo requiera, y verificar así, que cumplimos con lo dispuesto en la norma.

IMPORTANTE

El encargado del tratamiento debe notificar las quiebras de seguridad al responsable, en caso de no comunicárselas se considera una infracción grave

Página 1 de 5