La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado una sentencia por la que se anula una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se imponían dos sanciones a una discoteca por la instalación de cámaras de videovigilancia. Las cámaras se encontraban instaladas en la fachada y vigilaban la entrada del local, por lo que la AEPD entendía que se captaba la vía pública, lo cual está reservado a las Fuerzas y Cuerpos de Seguridad y por tanto se realizaba un tratamiento de datos ilícito, sancionando este hecho con 2.500 euros. La otra sanción, de 800 euros, se imponía por no haber realizado la inscripción del fichero en el Registro General de Protección de Datos.

Es conveniente recordar que el tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto está sujeto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en concreto a la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

El artículo 7 de esta norma establece la obligación de inscribir el fichero generado por el sistema de videovigilancia, pero aclara que “no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“. La sentencia de la Audiencia Nacional anula esta sanción por considerar que no había grabaciones y, por tanto, no había fichero alguno que inscribir.

Más interesante es la otra sanción, por captar imágenes de la vía pública. De acuerdo con lo establecido en la Ley Orgánica 4/1997esto es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dice también el artículo 4.3 de la Instrucción 1/2006: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos”. Pero ese mismo precepto establece una excepción: ”salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas”.

Es decir, es perfectamente entendible que para la seguridad de entradas a establecimientos o perímetros de fincas, por ejemplo, puedan obtenerse, de forma accesoria, imágenes de la vía pública. Para analizar si esa instalación de videovigilancia es lícita debe realizarse un juicio de proporcionalidad, que no exista posibilidad de instalación alternativa y que la captación de imágenes de la vía pública sea la mínima imprescindible. En el caso que nos ocupa, la AN analiza varios aspectos:

• Las imágenes captadas apenas permitían la identificación de las personas que accedían a al discoteca.
• Las cámaras estaban orientadas de tal modo que si objeto de vigilancia principal era el entorno privado (la entrada al local).
• La captación de imágenes de la vía pública era la mínima imprescindible.
• El sistema no grababa las imágenes, sólo emitía.
• Las imágenes sólo eran vistas por el encargado del local, a fin de controlar el acceso y evitar aglomeraciones.

A la vista de estos hechos, se considera que no hay infracción del principio de consentimiento por captar imágenes en la vía pública y por ello se anula la sanción de la AEPD. Lo interesante de esta sentencia es que las valoraciones que realiza la AN nos pueden servir de guía para determinar cuándo será posible instalar un sistema de videovigilancia que tome imágenes de la vía pública, lo cual es posible pero, como vemos, con limitaciones.

Más sobre este tema: Alfonso Pacheco, en Privacidad Práctica.

Protección de Datos

El artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) exige la existencia, con carácter general, de consentimiento para el tratamiento de datos de carácter personal. Por su parte, el art. 7 de la misma norma exige que el consentimiento sea expreso para el tratamiento de datos especialmente protegidos. Dado que el artículo 7 especifica el consentimiento expreso para algunos casos, es fácilmente deducible que son válidos a estos efectos otros tipos de consentimiento.

Hecha esta pequeña introducción para los no iniciados, debemos preguntarnos qué otros tipos de consentimiento o qué otras formas de expresar la voluntad, pueden ser válidas. No es objeto de este artículo entrar en profundidades ni analizar los matices que pueden encontrarse en la doctrina, pero no obstante podemos distinguir:

• Consentimiento expreso: la voluntad del interesado se expresa a través de una declaración clara por su parte.

• Consentimiento tácito: la voluntad del interesado se deduce de su falta de actuación.

• Consentimiento presunto: la voluntad del interesado se deduce de su comportamiento.

Pese a que en documentos anteriores podemos encontrar la aceptación, por parte de la Agencia Española de Protección de Datos , de estas tres formas de expresar la voluntad, al menos desde el año 2000 no admite el consentimiento presunto, por considerar que no cumple con el requisito de “inequívoco” que exige la LOPD en su art. 6.

Así lo expresaba un informe de 2000, en el que, recogiendo “los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa”, se establecía que el consentimiento debe ser libre, específico, informado e inequívoco “lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento”. Esta interpretación de lo que ha de ser un consentimiento inequívoco ha sido repetida por la AEPD en multitud de resoluciones, y está presente en su página web para explicar las obligaciones de la LOPD en lo referido al consentimiento.

Conociendo esto, me ha sorprendido enormemente leer una resolución por la que se archivan las actuaciones iniciadas contra la Federación de Comunicación y Transportes de Comisiones Obreras, por una denuncia debida a la grabación de las intervenciones realizadas en un congreso de esta organización sin obtener el consentimiento de los afectados. La Agencia considera que “es conforme a derecho la idea de que existiría un consentimiento implícito al respecto del tratamiento de datos referidos a la celebración practicada [...] en base a la participación de éstos [los afiliados intervinientes] en el propio  congreso. Esto es así dado que en materia de protección de datos se articulan tipos de consentimiento más allá del calificado como expreso, como son los consentimientos tácitos y presuntos, desprendiéndose éste último del primigenio comportamiento de los denunciantes, que participaron en el acto sin oposición, debiendo conocer, por tanto, que el acto referido podría ser objeto de grabación”.

Como vemos, la Agencia claramente acepta la existencia de un cosentimiento presunto por parte de los intervenientes en el congreso, dado que conocían la realización de las grabaciones. Puede que haya más resoluciones en las que se acepta el consentimiento presunto, pero no hemos encontrado ninguna.

Hay en la doctrina división de opiniones sobre este asunto y he de decir que estoy de acuerdo con esta interpretación de la Agencia, pero es evidente que estamos ante una resolución que va en contra de la doctrina de la propia AEPD, repetida una y otra vez en multitud de documentos. Es más, en materia de videovigilancia, en la que a mi juicio se da un claro caso de consentimiento presunto (una vez se informa de que una zona está videovigilada, se puede deducir que aquél que entra está consintiendo la grabación de su imagen) la Agencia acude a la Ley 23/1992, de 30 de julio, de Seguridad Privada, para eximir de consentimiento por habilitación legal.

Lo más curioso de todo es que la propia AEPD “tira” del consentimiento presunto en los actos que organiza y graba, informando a los asistentes, pero sin obtener su consentimiento expresamente (y sin que se pueda amparar en la seguridad, puesto que la finalidad de la grabación es dar difusión al acto y no la videovigilancia por razones de seguridad).

En fin, que estamos ante un claro caso de inconsistencia en las resoluciones de la Agencia, que deberían garantizar más seguridad jurídica y un criterio más uniforme.

Protección de Datos

La instalación de sistemas de videovigilancia se encuentra sometida a lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). La imagen de una persona se considera un dato de carácter personal y, por tanto, el tratamiento de imágenes (incluida la mera transmisión de las mismas, sin que se almacenen) constituye un tratamiento de datos de carácter personal. Incluso la Agencia Española de Protección de Datos dictó una instrucción específica sobre la materia (Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras), que regula las obligaciones concretas aplicables a estos tratamientos de datos.

¿Y qué sucede con la instalación de cámaras falsas, sistemas que no estén en funcionamiento, o simplemente, meras carcasas de cámaras? Es una consulta bastante habitual si resulta conforme a la legalidad la instalación de cámaras de videovigilancia falsas, con un interés únicamente disuasorio. La lógica dice que, dado que no hay un tratamiento de datos, no puede aplicarse la LOPD, tan sencillo como eso. Sin embargo, tal y como han apuntado algunos colegas blogueros (1 y 2), la Agencia ha amenazado en algunos casos con la imposición de sanciones si no se retiran estos dispositivos meramente disuasorios, declarando que pueden constituir “prueba indiciaria suficiente“ de que las cámaras realmente captan imágenes. Por tanto, insta a su retirada, advirtiendo de que en caso contrario podrían imponerse sanciones “de hasta 300.506,05 €”. Esto ha sucedido, al menos, en los procedimientos E-01297-2008, E-00903-2009, PS-00155-2010 y E-00888-2010. Cierto es que hay archivos de actuaciones en las que no se incluye esta “amenaza” (como el E-00704-2007), pero no parece ser la tendencia actual.

No podemos estar de acuerdo con estas resoluciones de la Agencia. En primer lugar, por lo que ya hemos comentado, no hay tratamiento de imágenes. Si se iniciara un nuevo procedimiento sancionador contra alguno de los denunciados, la inspección volvería a determinar que no existen grabaciones, con lo que no hay tratamiento de datos, y por tanto, estamos fuera de la LOPD. Es decir, no se sostendría la existencia de una prueba indiciaria suficiente, puesto que la propia inspección comprobará la inexistencia de grabaciones.

Es más, aun aceptando que pudiera haber indicios de tratamientos de datos, deberían utilizarse esta argumentación exclusivamente en casos concretos, basándose en hechos que justificaran tal calificación y no, como parece que está empezando a hacer la Agencia, en todos los casos en los que se denuncian cámaras falsas.

No tendría sentido que lo que pretenda la AEPD sea que se inscriba el fichero, se coloquen carteles y se cumplan con todas las obligaciones derivadas del tratamiento de imágenes, puesto que no se puede inscribir algo que no existe. Por tanto, lo que parece que pretende la Agencia es que no se instalen sistemas disuasorios. La generalización de resoluciones de este tipo supondría que, por la vía de los hechos, la Agencia prohibiera la realización de una actuación (la instalación de cámaras falsas) no prohibidas por ninguna ley, y sobre la que además no tiene competencia (puesto que no debe aplicarse la LOPD).

En conclusión, ante la pregunta que titula esta entrada, instalen ustedes las cámaras falsas que estimen oportunas, como mínimo hasta que se le abra el primer procedimiento sancionador. Aunque se le haya abierto, ya han visto que de momento no se ha sancionado a nadie, con lo que en ese momento usted deberá decidir si mantiene las cámaras falsas o las retira, asustado por la amenaza de la Administración. Yo no lo haría, la verdad (entre otras cosas porque me encantaría ver cómo argumenta la Agencia en ese caso), pero el miedo es libre y ahí ya no me puedo meter.

Actualización: es interesante conocer que  la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, de la Agencia Catalana de Protección de Datos, excluye de su ámbito de aplicación, en su artículo 1.2.d, ”la instalación de cámaras falsas que no sean aptas para captar imágenes”. Gracias a Mr.Pesk por su aportación en los comentarios.

Protección de Datos