Los más detallistas, observadores o paranoicos se habrán dado cuenta que, con la entrada en aplicación del Reglamento General de Protección de Datos (en adelante GDPR, por sus siglas en ingles) ya no todos los carteles de videovigilancia (si, esos amarillos con una cámara dentro) son iguales ni en su formato ni en la información que ofrecen.
Esto lleva a preguntarnos,
¿Afecta el GDPR a la videovigilancia y por tanto a los carteles de videovigilancia?
La respuesta es sí.
La grabación de la imagen de una persona es un tratamiento de datos y por tanto le es de aplicación el Reglamento General de Protección de Datos
En cuanto a los carteles de información, que sigue siendo obligatorio mostrarlos, también quedan afectados por el GDPR.
Para los amantes de la duda metódica o del negacionismo, les informo que además de mi propio convencimiento sobre ello, esta afirmación es compartida por la Agencia Española de Protección de Datos (AEPD) cuando expresa, en su guía de videovigilancia que “La imagen de una persona en la medida que identifique o pueda identificar a la misma constituye un dato de carácter personal”.
¿Quien esta obligado a instalarlo?
Todos los responsables del tratamiento que capten o graben imágenes de personas identificadas, o identificables, con fines de vigilancia mediante cámaras, videocámaras, o cualquier otro medio técnico análogo.
Que quiere decir esto, que están obligadas todas las empresas o entidades que tengan instaladas cámaras que capten o graben imágenes de personas.
¿Y si mis cámaras son de pega?
Si las cámaras que tienes instaladas son replicas, es decir no captan ni graban datos no hay un tratamiento de datos personales y por tanto no existe obligación de poner el cartel.
Sin embargo, parece prudente instalar el cartel graben o no graben las cámaras para evitar que los amigos de lo ajeno que tengan conocimientos de protección de datos o lean nuestro blog, puedan advertir la falsedad de la cámara.
¿Qué información debe mostrar el cartel?
Según la AEPD, en el cartel de videovigilancia se ha de informar al interesado de:
- La existencia del tratamiento (videovigilancia).
- La identidad del responsable del tratamiento o del sistema de videovigilancia, y la dirección del mismo.
- La posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del GDPR.
- Dónde obtener más información sobre el tratamiento de los datos personales.
La forma más sencilla de cumplir con este deber de información es utilizar el modelo de cartel de videovigilancia que pone a disposición la AEPD y que puedes encontrar pinchando aquí.
Como veras, cumplir con los requisitos de información que establece la agencia con este cartel es muy fácil:
- La existencia del tratamiento (videovigilancia).
- El cartel lo cumple indicando “Zona videovigilada” y muestra una cámara.
- La identidad del responsable del tratamiento o del sistema de videovigilancia, y la dirección del mismo.
- Debemos escribir el nombre completo de la empresa y su dirección.
- La posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del GDPR.
- El cartel ya establece que puede ejercitar sus derechos y tan solo habrá que indicar como o donde puede ejercitarlos (por ejemplo, escribiendo a GDPR@empresa.com o acudiendo a una dirección postal o mejor aún, varias de estas alternativas)
- Dónde obtener más información sobre el tratamiento de los datos personales.
- El cartel de información de videovigilancia es una primera capa donde le informamos que la zona esta videovigilada, pero no le damos mucha más información por lo que, deberemos poner a disposición de los interesados el resto de la información el GDPR exige en su artículo 13. Por ejemplo, podemos indicarles que acudan a atención al cliente del establecimiento o indicar una dirección web o incluso instalar un código Qr en el que puedan consultar toda esta información.
¿Dónde debe colocarse?
La AEPD en un informe jurídico establece que “no es necesario que se coloque debajo de la cámara, será suficiente colocar el distintivo informativo en lugar suficientemente visible, tanto en espacios abiertos como cerrados. Por tanto, resultaría aconsejable que si tratándose de un edificio sometido a videovigilancia, en la entrada del mismo, se ubicará el cartel informativo. “
Para que el interesado esté debidamente informado de lo que exige el GDPR antes de iniciar el tratamiento de los datos, el cartel debería estar en un lugar en el que pueda leerlo antes de que se le grabe y, por tanto, pueda decidir si seguir adelante y ser grabado habiendo sido informado, o no entrar en la zona videovigilada.
¿Cómo debe ser el cartel?
La agencia no impone ningún criterio en cuanto al tamaño, aunque en el informe antes referido indica que el cartel informativo debe ser “acorde con el espacio en el que se vayan a ubicar, dado que no es equiparable colocar un cartel informativo en un autobús o en la entrada de un edificio.”.
Para que el interesado pueda está debidamente informado, el cartel debe ser lo suficientemente grande para que pueda leerlo sin problemas desde un lugar donde todavía no esté siendo grabado.
¿Debe realizarse algún trámite administrativo para instalar el cartel u homologarlo?
No, el cartel puede instalarse directamente por parte del responsable del tratamiento y no es necesario comunicarlo a ninguna institución. Tampoco se requiere ninguna habilitación de ningún órgano en materia de seguridad privada.
¿Cumplo con el GDPR tan solo con colocar el cartel?
La instalación del cartel responde al deber de información que impone el artículo 13 del Reglamento General de Protección de Datos. Es decir, instalando e informando correctamente con el cartel de videovigilancia se cumple con 1 de los 99 artículos que conforman el GDPR.
La videovigilancia como cualquier otro tratamiento de datos personales en nuestra empresa debe, entre otras exigencias, registrarse en nuestro registro de actividades de tratamiento, establecer su base de legitimación, realizar un análisis de riesgos, establecer medidas de seguridad etc. Especial atención a la necesidad de realizar una Evaluación de impacto en los casos en que se realice una observación sistemática a gran escala de una zona de acceso público.
Si no te acaba de quedar claro o quieres asesoramiento en relación a la videovigilancia o cualquier otro tema sobre el GDPR, no dudes en consultarnos.