30 de diciembre de 2009

La modificación de la Ley Ómnibus en los sistemas de videovigilancia

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una nota informativa sobre la modificación de la Ley Ómnibus en los sistemas de videovigilancia, tras la entrada en vigor el 27 de diciembre de la Ley 25/2009, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios.

Los puntos destacados son:
  • Hasta la entrada en vigor de la Ley 25/2009, el 27 de diciembre, sólo era conforme a la legislación de protección de datos personales la utilización de dispositivos de videovigilancia si se había contratado con empresas de seguridad privada, debidamente autorizadas por el Ministerio del Interior.
  • La Ley Ómnibus reforma la Ley de Seguridad Privada, liberalizando esta actividad determinando que la venta, entrega, instalación o mantenimiento de estos sistemas podrá llevarse a cabo por particulares y empresas distintas de las de seguridad privada siempre que la instalación no implique una conexión con centrales de alarma.
  • Se modifica por tanto la exigencia de recurrir a empresas de seguridad autorizadas por el Ministerio del Interior y de notificar el contrato a dicho Departamento.
  • En todo caso, deberán cumplirse en el tratamiento de imágenes las normas establecidas en la legislación de Protección de Datos de Carácter Personal, entre las que se incluyen el deber de informar a los interesados, la inscripción de ficheros, y la implantación de medidas de seguridad.

Nota de Prensa completa.

(Madrid, 30 de diciembre de 2009). Hasta la entrada en vigor, el pasado 27 de diciembre, de la Ley 25/2009, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (conocida como “Ley Ómnibus”), la legitimación para el tratamiento por particulares y empresas de imágenes captadas a través de dispositivos de videovigilancia sólo era posible en caso de que dichos sistemas hubieran sido contratados con empresas de seguridad privada, debidamente acreditadas ante el Ministerio del Interior, al que además debía notificarse el contrato que se hubiese celebrado, conforme a lo exigido por la Ley 23/1992, de 30 de julio de Seguridad Privada.

La Ley Ómnibus ha suprimido para la mayor parte de los casos estas exigencias, al liberalizar la comercialización, entrega, instalación y mantenimiento de estos dispositivos, de forma que ya no será necesario acudir para su puesta en funcionamiento a una empresa de seguridad privada ni cumplir las obligaciones de notificación del contrato al Ministerio del Interior.

En concreto, el artículo 14 de la nueva Ley modifica el artículo 5.1 e) de la Ley 23/1992, de 30 de julio de Seguridad Privada, añadiendo una Disposición Adicional Sexta a la Ley de Seguridad Privada con la siguiente redacción:
“Disposición Adicional Sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad:
Los prestadores de servicios y las filiales de empresas de seguridad que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidas de la legislación de seguridad privada, siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
La interpretación de la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá: “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.

No obstante, la instalación de un sistema de videovigilancia conectado a una central de alarma, sí seguirá requiriendo la concurrencia de los requisitos exigidos hasta ahora; esto es, que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento.

En todo caso, el tratamiento de las imágenes deberá cumplir los restantes requisitos exigibles en materia de protección de datos de Carácter Personal, recogidos en la Ley Orgánica y, en particular, en la instrucción 1/2006 de la Agencia Española de Protección de Datos, como son, entre otros, los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida; el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información; la notificación de la existencia de los ficheros a la Agencia Española de Protección de Datos; o la implantación de medidas de seguridad.

22 de diciembre de 2009

Eso no te lo he dicho yo

El procedimiento sancionador PS/00025/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. C.C.C. (Talleres Castelar), se inicia tras la denuncia presentada por D. G.G.G., cliente del taller del anterior, tras recibir un cargo en su cuenta corriente por servicios prestados que ya había abonado con anterioridad.

El fichero de “Clientes” del taller contiene una ficha correspondiente a D. G.G.G. en la que constan sus datos personales relativos a nombre, apellidos, DNI y dirección, que se habían utilizado en ocasiones anteriores para facturar los servicios del taller. Además de dichos datos se encontró un área tachada que, según manifestó D. C.C.C., había contenido un número de cuenta bancaria del cliente, integrado por nueve dígitos, que él nunca había proporcionado.

La AEPD dictamina:
En el presente caso, C.C.C. es responsable de haber anotado en sus propios ficheros el dato personal del denunciante relativo a su cuenta bancaria, sin que conste acreditado que el mismo hubiese prestado su consentimiento para ello, no resultando suficiente a tales efectos las manifestaciones realizadas por C.C.C. sobre la obtención de dicho consentimiento del propio denunciante manifestado de forma verbal que, además, no ha sido reconocido por el mismo.
Por tanto, C.C.C. no ha justificado el origen del dato personal relativo a la cuenta bancaria del denunciante ni la prestación del consentimiento por parte del mismo para que aquél pudiera tratar este dato, registrándolo en sus ficheros y utilizando para hacer efectivo el cobro de la factura número ***, emitida en fecha 04/03/2007 a nombre del denunciante. Ambas actuaciones constituyen un tratamiento de los datos personales del denunciante sin su consentimiento, no excluido del ámbito de protección establecido en la LOPD, según ha quedado expuesto.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. C.C.C., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000,00 € (dos mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.

17 de diciembre de 2009

Empresas de seguridad privada contratadas por ayuntamientos

En el Informe 0569/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos, se responde a la cuestión sobre cual es la regulación normativa que debe de aplicarse para instalar cámaras de videovigilancia en la vía pública y en lugares públicos siendo el cliente un Ayuntamiento.

Tal y como se indicaba en la Guía de Videovigilancia editada por la AEPD:
La captación de imágenes en la vía pública está reserva a los Cuerpos y Fuerzas de Seguridad del Estado, y resultará aplicable la Ley Orgánica 4/1997 de 4 de agosto por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos.
El Informe señala que si un Ayuntamiento contrata la seguridad de su edificio con una empresa de seguridad privada, ésta deberá informarle de los extremos en los que podrá llevar a cabo su actividad, especialmente del artículo 4.3 de la Instrucción 1/2006 que dispone:
Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.
En consecuencia la normativa que debe de aplicar una empresa de seguridad privada cuando es contratada por un Ayuntamiento o cualquier organismo público es la Ley 23/1992 de 30 de julio de Seguridad Privada.

14 de diciembre de 2009

Supuestos en los que se puede comunicar información salarial para los embargos

En el Informe 0539/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), se da respuesta a uan consulta en la que se planteaba si las peticiones de información sobre sueldos y salarios realizados a la entidad consultante, por parte de diversas entidades puede ser atendida sin vulnerar la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Se sobreentiende que se trata de comunicaciones de datos sin consentimiento del afectado, que rara vez estaría de acuerdo en ponérselo fácil a aquellos que pretendar embargar parte de su salario para cobrar deudas.

La AEPD, tras repasar la legislación afectada, afirma:
En virtud de lo expuesto podemos concluir que la cesión de la información salarial se puede comunicar sin el consentimiento de los afectados a la Administración Tributaria, pues así lo ampara el artículo 93 de la Ley General Tributaria y a los Tribunales encargados de las ejecuciones dinerarias amparados en los artículos 590 y 591 de la Ley de Enjuiciamiento Civil.

9 de diciembre de 2009

Criticar a un antiguo empleado en un blog

En el procedimiento sancionador PS/00044/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ECOSMEP, S.L.L., vista la denuncia presentada por M.M.M., se trata de la publicación en un blog de la empresa de determinados datos personales del denunciante sin su consentimiento.

Concretamente en la página referida aparece fechado el 6/12/2007, una información referida a M.M.M., en la que se usa el dato personal de nombre y apellidos, se da información de su retribución, horario laboral, que llevaba 3 años aprendiendo informática en la empresa, que estuvo de baja por estrés laboral, indicando que a los 4 meses de estar de baja “le despedí”, abonándole toda la indemnización”, además de otra información sobre la opinión que le merece al que suscribe el artículo: incompetente “sin pegar palo al agua”. Al final de artículo consta “Publicado por www....X...”. El artículo está suscrito en primera persona “Teníamos” a los 4 meses de estar de baja lo despedí”, ”el empleado al que despedimos.”, “Lo he tenido cerca de durante 5 años”. Esta información podía verse en abierto en la web a fecha 6/02/2008. Con fecha 13/03/2009, ECOSMEP aporta copia de impresión de la web, en la que se lee que se ha eliminado, así como la impresión de los caracteres de su nombre y apellidos en el buscador Google en el que no aparece relación alguna con ECOSMEP.

Aunque M.M.M. había sido efectivamente empleado de la empresa y ésta había obtenido por tanto legalmente sus datos a efectos del cumplimiento de la legalidad vigente en materia laboral, no tenía desde luego ningún consentimiento para una finalidad más amplia que la que subyace del vínculo laboral.

La AEPD afirma:
En este sentido, consta acreditado que los datos personales revelados por la denunciante fueron datos personales que unidos de por sí, forman un perfil en lo profesional del denunciante en la empresa ECOSMPE. Además, la información que se da aparte de esos datos, constituye un perfil, en este caso negativo en lo laboral del denunciante. La información asociada a los datos de carácter personal del denunciante perfilan aun más el ámbito laboral del denunciante, siendo y dándose un perfil laboral negativo del denunciante.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ECOSMEP, S.L.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.