VIDEOVIGILANCIA Y RGPD (II) OCHO PREGUNTAS CON RESPUESTA -CONTROL LABORAL Y MÁS-
La semana pasada veíamos las primeras cuatro preguntas sobre Videovigilancia:
Indice
- ¿Es obligatorio que las cámaras con finalidad de seguridad sean gestionadas por una empresa de seguridad autorizada?
- ¿Es necesario el consentimiento de las personas captadas por las cámaras de videovigilancia?
- Y si la base legítima no es el consentimiento…. Entonces ¿cuál es?
- Pero entonces … ¿este rollo cómo funciona cuando entro, por ejemplo en Cortefiel? (Caso práctico).
- ¿QUÉ PASA CON LAS VIDEOCÁMARAS DE CONTROL LABORAL?
- ¿He prestado mi consentimiento al efecto?
- ¿Contrato o relación precontractual?
- ¿ENTONCES SE PUEDEN COLOCAR VIDEOCÁMARAS EN CUALQUIER UBICACIÓN DE NUESTRAS INSTALACIONES?
- ¿LAS “CARAS” CAPTADAS POR LAS VIDEOCÁMARAS CONSTITUYEN DATOS DE CATEGORÍA ESPECIAL (DE ESPACIAL PROTECCIÓN)?
- El ejemplo de Cortefiel
- El ejemplo de la oficina
- ¿LA FINALIDAD CONCRETA DE CADA CÁMARA LIMITA EL USO DE SUS IMÁGENES A ESA FINALIDAD?
- ¿CUAL ES EL PLAZO DE RETENCIÓN DE IMÁGENES? ¿QUÉ HAY QUE HACER AL TÉRMINO DE ESE PLAZO?
- A.-De acuerdo con la normativa actualmente vigente:
- B.- El proyecto de nueva LOPD regula expresamente, por primera vez:
¿Es obligatorio que las cámaras con finalidad de seguridad sean gestionadas por una empresa de seguridad autorizada?
¿Es necesario el consentimiento de las personas captadas por las cámaras de videovigilancia?
Y si la base legítima no es el consentimiento…. Entonces ¿cuál es?
Pero entonces … ¿este rollo cómo funciona cuando entro, por ejemplo en Cortefiel? (Caso práctico).
Y hoy seguimos con las otras cuatro.
¿QUÉ PASA CON LAS VIDEOCÁMARAS DE CONTROL LABORAL?
En este caso, aún no hay una ley que habilite el uso de videovigilancia: sólo se regula en la Instrucción 1/2006 (que no es más que eso, una instrucción).
Su uso sí se recoge en el Proyecto de nueva LOPD, que como sabemos aún no está en vigor.
En cualquier caso, recordemos que si no hay obligación legal al tratamiento de datos personales, tenemos que buscar una base legítima de tratamiento.
Hagamos el mismo recorrido lógico: la semana pasada mi calva sebosa se paseaba en su condición de, ups, posible cliente por Cortefiel.
Esta semana vamos a poner que la contratan para trabajar de abogado interno en una empresa. En una empresa que tiene cámaras de videovigilancia grabando lo que sucede en el staff o en los despachos donde se realizan las tareas de gestión.
¿He prestado mi consentimiento al efecto?
Ni de coña. Yo no. Y mi resplandeciente calva, tampoco. Mira que si acabo incluido en un maratón de vídeos de esos en Youtube “calvos sebosos trabajan mientras se meten el dedo en la nariz”. No señor, yo no consentiría eso.
Pero es que además (sí amigos, allá va una vez más): el consentimiento del trabajador no vale, por buenos motivos jurídicos y prácticos.
¿Contrato o relación precontractual?
Interpretación restrictiva, señores, que estamos hablando de derechos fundamentales. Y aplicando el principio de minimización.
Sólo puede justificarse la videovigilancia “por contrato”, es decir, incluirse una cláusula de sometimiento a videovigilancia en el contrato laboral, en el caso de trabajadores cuya prestación laboral o sector de actividad directamente lo exija.
Por ejemplo: un, dos, tres, responda otra vez:
- Trabajadores en un centro de control de infraestructuras críticas.
- Trabajadores en lugares de alta seguridad. Para entendernos, esos en los que siempre se intenta colar Tom Cruise.
Pero eso no es aplicable a mi caso, un probe abogadillo. No.
Agua.
¿Interés público, interés vital?
Ni de coña. Nop.
¿Interés legítimo?
Equilicuá. Esto sí.
En concreto, los siguientes intereses legítimos:
- Seguridad de las personas y activos en el seno de las instalaciones.
- Control del debido cumplimiento por parte de los trabajadores de su prestación laboral, y de las normas de seguridad y prevención de riesgos laborales.
¿Es preciso hacer la evaluación del interés legítimo de la empresa contra los derechos e intereses del dueño de la resplandeciente calva?
Sí, como siempre. No insisto más en esto.
¿ENTONCES SE PUEDEN COLOCAR VIDEOCÁMARAS EN CUALQUIER UBICACIÓN DE NUESTRAS INSTALACIONES?
No.
Los sistemas de videovigilancia, por definición, afectan a derechos fundamentales (como el de privacidad) de las personas sometidas a los mismos, y su instalación y utilización deben tenerlos muy en cuenta.
Como decía la semana pasada, poniendo dos ejemplos extremos: una cámara (visible) ubicada en un comedor, o una cámara (oculta) en un servicio público, pueden ser o no admisibles, dependiendo de las circunstancias concretas de cada caso.
En el ámbito del control laboral, la jurisprudencia y resoluciones de la AEPD han ido concretando determinados lugares localizados en el “lugar de trabajo” en los que prevalece el derecho de intimidad de los trabajadores. En estos lugares no se pueden instalar videocámaras.
- Dependencias dedicadas a comedor, aseos, vestuarios, duchas, taquillas.
En consecuencia, en estos lugares no sería admisible en general la ubicación permanente de cámaras (cosa distinta sería la ubicación incluso oculta de una cámara, ante sospechas fundadas de que así se podrá pillar con las manos en la masa a un trabajador concreto).
- Áreas de descanso de los trabajadores.
- Debajo de la mesa de los trabajadores.
- Lugares donde se reúnan los representantes de los trabajadores.
¿LAS “CARAS” CAPTADAS POR LAS VIDEOCÁMARAS CONSTITUYEN DATOS DE CATEGORÍA ESPECIAL (DE ESPACIAL PROTECCIÓN)?
En mi imperfecta opinión, depende.
Asumo la misma humilde postura que el notable Alfonso Pacheco en su blog Privacidad Lógica, cuando se hace preguntas sobre cómo quedará el nuevo régimen de los ficheros de morosos bajo el RGPD.
Aquí estamos todos aprendiendo.
Miren ustedes, yo no quiero armar mucho ruido con esto, pero es que yo leo y releo el 4.14 del RGPD y dice lo que dice.
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
Vale, lo de “tratamiento técnico específico” es un “concepto jurídico indeterminado” porque el legislador europeo no quería pillarse los dedos dejando fuera de esta definición a cualquier invento maravilloso que se desarrolle en el futuro.
Vale, todo el mundo está de acuerdo en interpretar “tratamiento técnico específico” como “sistema de reconocimiento facial integrado en el sistema de videovigilancia”.
Bueno, pues yo creo que:
- Un “sistema de videovigilancia” es un tratamiento técnico específico.
Todo lo que no sea poner a Manolo a vigilar currelas con su ojo de lince, será un tratamiento técnico. Bueno, a lo mejor todo todo, no. Pero un sistema de videocámaras, sí.
- Si además, el responsable del tratamiento (la empresa) tiene la información suficiente como para permitirle vincular (i) las imágenes faciales captadas con (ii) personas identificadas (a la sazón, los dueños de los respectivos caretos), entonces estamos de lleno en la definición del 4.14 del RGPD.
Entonces esos caretos serán datos de categoría especial. Con uuuuhhhh! todo lo que eso conlleva.
Vamos a verlo con dos ejemplos.
El ejemplo de Cortefiel
Yo puedo instalar en Cortefiel un sistema de videovigilancia de los modernos, con su software de reconocimiento facial, y normalmente, sólo me permitirá identificar a mis trabajadores, porque son los que están todo el rato siendo captados por las cámaras, y porque además tengo sus fichas con el resto de sus datos en mi departamento de recursos humanos.
En este caso, las imágenes faciales de los trabajadores sí son datos de categoría especial porque permiten identificarles unívocamente.
En este mismo caso, las imágenes faciales de los clientes de Cortefiel, no son datos de categoría especial, porque por mucho software de reconocimiento facial que tenga, puede distinguir a los clientes habituales que repitan visita y fisguen los mismos pantalones, pero no puede saber quiénes son. No puede identificarles. Bueno, no es imposible saber quiénes son, pero eso me lleva a otros charcos que no vienen al caso.
El ejemplo de la oficina
Si en la oficina de la empresa que acaba de contratar mi calva sebosa, se instalan videocámaras de las de toda la vida, -sin el modelno sistema de reconocimiento facial-, el dato de mi fea cara trabajadora, sí sería, a pesar de todo, un dato de categoría especial, porque el responsable del tratamiento tiene todos los datos necesarios para identificarme a mí, y al resto de trabajadores que están constantemente bajo el ámbito de acción de esas videocámaras. Y ello aunque no tengan la capacidad técnica para identificarme automáticamente por sí mismas.
Las imágenes faciales del resto de visitantes que pasaran puntualmente por la oficina, no serían datos de categoría especial, por las mismas razones apuntadas anteriormente.
Esto es como el final de “Los Soprano” (alerta spoiler!). La opinión hegemónica es que se cargaron a Tony (yo estoy de acuerdo), pero es innegable que el final de la serie se dejó voluntariamente abierto.
Esta es mi opinión.
Lapídenme.
¿LA FINALIDAD CONCRETA DE CADA CÁMARA LIMITA EL USO DE SUS IMÁGENES A ESA FINALIDAD?
No.
Una vez cumplimentado el deber de información sobre la existencia de un sistema de videovigilancia a los trabajadores, las imágenes captadas por cualquier cámara pueden ser utilizadas para cualquiera de las finalidades comunicadas (control de acceso, seguridad, control laboral).
Es relevante dejar esto claro, porque hasta muy recientemente, la jurisprudencia era exactamente la contraria: hasta 2015, los tribunales venían anulando las sanciones disciplinarias o despidos basados en imágenes captadas por videocámaras de control de acceso (y no cámaras de “control laboral”).
Esto está contado en este antiguo post.
¿CUAL ES EL PLAZO DE RETENCIÓN DE IMÁGENES? ¿QUÉ HAY QUE HACER AL TÉRMINO DE ESE PLAZO?
A.-De acuerdo con la normativa actualmente vigente:
La LOPD actual no regula nada al efecto.
El artículo 6 de la Instrucción 1/2006 establece un plazo de un mes para la cancelación de las imágenes a contar desde la captación de las mismas.
Transcurrido dicho plazo los datos deberán ser cancelados o bloqueados (no pudiéndose hacer uso de los mismos y conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales).
El plazo durante el que los datos deberíann permanecer bloqueados es de tres años desde la expiración del citado período de un mes (tres años es el plazo de prescripción de las infracciones muy graves previsto en la LOPD).
Expuesto lo anterior, lo cierto es nadie cumple con esta obligación en estos términos.
B.- El proyecto de nueva LOPD regula expresamente, por primera vez:
- Que las imágenes deben conservarse (sólo) durante 30 días, (salvo cuando hubieran de ser conservadas para acreditar la comisión de actos ilícitos o delitos).
- No será de aplicación a estos tratamientos la obligación de “bloqueo”, es decir, transcurridos estos 30 días deberán ser directamente suprimidas o borradas.
Es decir, la nueva LOPD, de ser aprobada en sus actuales términos, “legalizará” la práctica que es hoy habitual en la generalidad de las empresas, de grabar en bucle sobre el mismo soporte durante períodos de 30 días, borrándose las imágenes más antiguas a medida que se vuelven a grabar nuevas imágenes.
De ser aprobada en sus actuales términos.
Hasta aquí hemos llegado.
Buena semana a todos.
Jorge García Herrero
Abogado y Delegado de Protección de Datos