Resulta necesario que las empresas de seguridad formalicen con sus clientes un contrato de encargado del tratamiento cuando accedan por control remoto a las imágenes, y esto procederá, cuando los clientes de las empresas de seguridad, sean empresas u órganos corporativos.
El principio general aplicable al tratamiento de
datos que pueda desarrollarse por las Empresas y personal de seguridad
privada actualmente en España, viene determinado de conformidad con lo
previsto por el nuevo Reglamento General de Protección de Datos (RGDP) y
LOPD española, por la Ley de Seguridad Privada, sus normas de
desarrollo. De forma complementaria la Empresa de Seguridad y sus
clientes deberán sustentar la base jurídica en el tratamiento de datos
que puedan recabarse al amparo de las condiciones generales y
particulares pactadas en el contrato de arrendamiento de servicios de
seguridad privada firmado entre Empresa y cliente.
datos que pueda desarrollarse por las Empresas y personal de seguridad
privada actualmente en España, viene determinado de conformidad con lo
previsto por el nuevo Reglamento General de Protección de Datos (RGDP) y
LOPD española, por la Ley de Seguridad Privada, sus normas de
desarrollo. De forma complementaria la Empresa de Seguridad y sus
clientes deberán sustentar la base jurídica en el tratamiento de datos
que puedan recabarse al amparo de las condiciones generales y
particulares pactadas en el contrato de arrendamiento de servicios de
seguridad privada firmado entre Empresa y cliente.
La Agencia Estatal de Protección de Datos (AEPD), en base a una
consulta sobre si las empresas de seguridad al instalar los sistemas de
seguridad, con acceso remoto a las imágenes de sus clientes cuando
salta la alarma, requiere formalizar un contrato de encargado del
tratamiento en los términos del artículo 28 RGDP, ha contestado que
respecto a los servicios que prestan las empresas de seguridad y sus
implicaciones en materia de protección de datos, debemos distinguir:
consulta sobre si las empresas de seguridad al instalar los sistemas de
seguridad, con acceso remoto a las imágenes de sus clientes cuando
salta la alarma, requiere formalizar un contrato de encargado del
tratamiento en los términos del artículo 28 RGDP, ha contestado que
respecto a los servicios que prestan las empresas de seguridad y sus
implicaciones en materia de protección de datos, debemos distinguir:
- Instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin acceso a las imágenes.
En este caso la empresa de seguridad no posee la condición de
encargado de tratamiento correspondiendo al responsable, que la
contrató, la adaptación de la instalación a los requisitos normativos.
encargado de tratamiento correspondiendo al responsable, que la
contrató, la adaptación de la instalación a los requisitos normativos.
- Instalación y/o mantenimiento de los equipos y
sistemas de videovigilancia con utilización de los equipos o acceso a
las imágenes.
Únicamente en este segundo caso, la empresa de seguridad será
considerada encargada del tratamiento y la obligatoriedad de cumplir con
las obligaciones de lo dispuesto por el artículo 28 del RGPD.
considerada encargada del tratamiento y la obligatoriedad de cumplir con
las obligaciones de lo dispuesto por el artículo 28 del RGPD.
Ejemplo: Las empresas de seguridad que prestan servicios combinados
de central de alarmas y videovigilancia de modo que cuando se activa la
alarma se comprueban directamente las imágenes por el personal de la
empresa de seguridad.
de central de alarmas y videovigilancia de modo que cuando se activa la
alarma se comprueban directamente las imágenes por el personal de la
empresa de seguridad.
En definitiva, la empresa de seguridad puede prestar simplemente el
servicio de instalación de la videocámara, teniendo el acceso a las
imágenes al presidente de la comunidad de propietarios o del garaje.
Puede darse el supuesto que además la empresa de seguridad se encarga de
dicho tratamiento, y por tanto pueden acceder a las imágenes tanto, el
presidente como la empresa contratada siendo en este caso ineludible la
celebración de un contrato de acceso a los datos por cuenta de terceros,
en virtud de lo previsto en 28.1 y 28.3 del RGPD.
servicio de instalación de la videocámara, teniendo el acceso a las
imágenes al presidente de la comunidad de propietarios o del garaje.
Puede darse el supuesto que además la empresa de seguridad se encarga de
dicho tratamiento, y por tanto pueden acceder a las imágenes tanto, el
presidente como la empresa contratada siendo en este caso ineludible la
celebración de un contrato de acceso a los datos por cuenta de terceros,
en virtud de lo previsto en 28.1 y 28.3 del RGPD.
Así, según el artículo 28.1 del RGPD, cuando se vaya a realizar un
tratamiento por cuenta de un responsable del tratamiento, este elegirá
únicamente un encargado que ofrezca garantías suficientes para aplicar
las medidas técnicas y organizativas apropiadas, de manera que el
tratamiento sea conforme con los requisitos del presente Reglamento y
garantice la protección de los derechos del interesado.
tratamiento por cuenta de un responsable del tratamiento, este elegirá
únicamente un encargado que ofrezca garantías suficientes para aplicar
las medidas técnicas y organizativas apropiadas, de manera que el
tratamiento sea conforme con los requisitos del presente Reglamento y
garantice la protección de los derechos del interesado.
Y de conformidad con el artículo 28.3 del RGPD:
El tratamiento por el encargado se regirá por un contrato u otro
acto jurídico con arreglo al Derecho de la Unión o de los Estados
miembros, que vincule al encargado respecto del responsable y establezca
el objeto, la duración, la naturaleza y la finalidad del tratamiento,
el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable.
acto jurídico con arreglo al Derecho de la Unión o de los Estados
miembros, que vincule al encargado respecto del responsable y establezca
el objeto, la duración, la naturaleza y la finalidad del tratamiento,
el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable.
Este contenido, a figurar en el contrato u acto jurídico de encargado de tratamiento, de forma resumida, sería el siguiente:
- Las instrucciones del responsable del tratamiento.
- El deber de confidencialidad.
- Las medidas de seguridad.
- El régimen de la subcontratación.
- La forma en que el encargado asistirá al responsable en el
cumplimiento de responder el ejercicio de los derechos de los afectados. - La colaboración en el cumplimiento de las obligaciones del responsable.
- El destino de los datos al finalizar la prestación.
Conclusión
La AEPD concluye en virtud de lo expuesto, que resulta necesario que
las empresas de seguridad formalicen con sus clientes un contrato de
encargado del tratamiento en los términos previstos en el artículo 28
del RGPD, cuando accedan por control remoto a las imágenes, y esto procederá, cuando los clientes de las empresas de seguridad, sean empresas u órganos corporativos.
las empresas de seguridad formalicen con sus clientes un contrato de
encargado del tratamiento en los términos previstos en el artículo 28
del RGPD, cuando accedan por control remoto a las imágenes, y esto procederá, cuando los clientes de las empresas de seguridad, sean empresas u órganos corporativos.
No obstante sí el servicio está instalado en el domicilio particular de una persona,
y sólo se acceda a las imágenes cuando salte el dispositivo de la
alarma, en este caso, no se considera al particular responsable del
tratamiento, pues la instalación del sistema en su domicilio, excluye la
aplicación del RGPD al tratarse de un ámbito personal y doméstico, por
expreso mandato de su artículo 2.2.c). Sin embargo, la empresa de
seguridad cuando instala el mencionado sistema en el domicilio
particular de su cliente, adquiere la condición de responsable del
tratamiento de gestión de sistemas de videovigilancia con acceso a las
imágenes de sus clientes, cuando éstos sean personas físicas y el
sistema de seguridad con acceso a imágenes se efectúe en su domicilio
particular, dado que no resulta aplicable la excepción anteriormente
mencionada.
y sólo se acceda a las imágenes cuando salte el dispositivo de la
alarma, en este caso, no se considera al particular responsable del
tratamiento, pues la instalación del sistema en su domicilio, excluye la
aplicación del RGPD al tratarse de un ámbito personal y doméstico, por
expreso mandato de su artículo 2.2.c). Sin embargo, la empresa de
seguridad cuando instala el mencionado sistema en el domicilio
particular de su cliente, adquiere la condición de responsable del
tratamiento de gestión de sistemas de videovigilancia con acceso a las
imágenes de sus clientes, cuando éstos sean personas físicas y el
sistema de seguridad con acceso a imágenes se efectúe en su domicilio
particular, dado que no resulta aplicable la excepción anteriormente
mencionada.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi