Entradas

El vuelo de los drones. Nueva regulación

DronesEl pasado día 10 de abril de 2.014, publicamos un artículo sobre un tema de actualidad, “El vuelo de los drones, privacidad y otras implicaciones legales”. Nos hacíamos eco de las preocupaciones que las empresas que quieren dedicarse a explotar estos aparatos de manera profesional tenían a esa fecha.

Por aquel entonces decíamos que estaba pendiente la aprobación de una norma que regulase su uso profesional. Pues bien, ya tenemos esta norma en vigor.

El día 5 de julio se publicó en el BOE el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. Esta norma regula no solo esta materia, sino también muchas otras como la modificación de la Ley del cine, modificación de la ley de comercio minorista, aviación civil, y aeroportuaria, medidas energéticas, entre otras muchas materias.

Destacar la figura jurídica con la que se ha regulado la materia: El Real Decreto Ley

Es una norma jurídica con rango de ley que emana del poder ejecutivo y es dictada en caso de extraordinaria y urgente necesidad. Decir que aunque se trata de una norma con rango de ley, el emisor de la misma es el ejecutivo, no el legislativo, como debiera ser. Y todo ello porque el gobierno cree que las materias a regular necesitan ser abordadas con urgencia. En mi opinión, se abusa de esta figura para regular ciertas materias que con una tramitación “tradicional”, pudieran dar lugar a divergencia de opiniones. Pero bueno, hecho está.

En cuanto a los drones, materia que nos interesa, el Real Decreto dedica el artículo 50 a regular su uso civil profesional. Sin embargo esta regulación lo será de forma temporal, y hasta que, como indica la misma norma, se regule reglamentariamente “el régimen jurídico aplicable a las aeronaves civiles pilotadas por control remoto, así como a las operaciones y actividades realizadas por ellas”, momento en que quedará derogado este artículo. Quedan fuera de esta norma las actividades militares, y realizadas por los cuerpos y fuerzas de seguridad del estado, así como las realizadas por los aeromodelistas aficionados que cumplan con la legislación específica en la materia.

El Real Decreto Ley, y la LOPD

Indicar que el Real Decreto nos da “la razón”, y como adelantábamos en nuestro primer artículo, “se deberá tener en cuenta la legislación sobre, uso del espacio radioeléctrico, protección de datos o la toma de imágenes aéreas, además de la responsabilidad por los daños causados por la operación o la aeronave”. Con ello quedan validadas nuestras recomendaciones en temas de protección de datos (LOPD) en cuanto a responsables de fichero, encargados de tratamiento, y procedimientos indicados; y sobre la necesidad de contratar un seguro de responsabilidad civil para cubrir los posibles daños que se pudieran ocasionar. Las indemnizaciones por estos daños serán calculadas conforme al baremo establecido en Real Decreto 37/2001, de 19 de enero, por el que se actualiza la cuantía de las indemnizaciones por daños previstas en la Ley 48/1960, de 21 de julio, de Navegación Aérea.

¿Quién podrá manejar un dron?

El responsable de la aeronave es denominado “operador de la aeronave”, pero no se indica claramente si éste podrá ser una persona física o jurídica, entendemos que podrían ser ambos. Pero además debemos diferenciarlo del piloto de la aeronave, al que se le exigen una serie de requisitos, como ser mayor de 18 años, poseer un certificado médico, tener los conocimientos adecuados sobre la aeronave, tener licencia de piloto, incluyendo la licencia de piloto de ultraligero, o poder demostrar que se tienen los conocimientos teóricos necesarios. Esta última característica entiendo que será de difícil comprobación, a no ser por la realización de unos exámenes teóricos. Esta cuestión no queda claramente regulada. También poseer un certificado básico o avanzado para el pilotaje de aeronaves civiles pilotadas por control remoto, emitido por una organización de formación aprobada, según se quiera volar dentro o fuera del alcance visual del piloto; y que el aparato sea inferior o superior a 25 Kilos de peso.

En cuanto a la aeronave, se distinguen varios grupos, hasta 2 kg., de 2 a 25 kg., y los que excedan de 25 Kg y cuyo peso no exceda de los 150 Kg., cuyos requisitos serán distintos. Todas ellas deberán llevar una placa identificativa, del modelo, numero de serie, y operador de la misma, así como los datos de contacto de éste. Las aeronaves con peso superior a 25 kilos deberán además estar inscritas en el Registro de matrícula de aeronaves y disponer de certificado de aeronavegabilidad.

¿Dónde se podrán pilotar?

En cuanto a las operaciones que podrán realizar también quedan reguladas y serán, actividades aéreas de trabajos técnicos o científicos, vuelos de prueba de producción y de mantenimiento, de demostración no abiertos al público, programas de investigación, vuelos de desarrollo, de I+D realizados por fabricantes para el desarrollo de nuevos productos, y de prueba antes de un evento.

Para las aeronaves con peso superior a 25 kg. además se requerirá la comunicación a la Agencia Estatal de Seguridad Aérea con una antelación mínima de cinco días al día del inicio de la operación, y declaración responsable de cumplir con los demás requisitos, además de aportar el manual de operaciones, el estudio aeronáutico de seguridad y la documentación acreditativa de tener suscrito el seguro obligatorio exigidos.

En cualquier caso, se deberá además determinar un área de exclusión o de seguridad.

Como vemos, quedan excluidos por tanto los vuelos por encima de personas, pudiendo únicamente volar en zonas fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre. Quedarían fuera por tanto las actividades que hemos visto recientemente en los noticiarios, como la grabación en el recorrido de los San Fermines, o en Fallas…

Desde Eurovima Consulting esperamos que esta serie de artículos os sirva para aclarar ciertos aspectos sobre el uso de estos aparatos, y en cualquier caso, quedamos a vuestra disposición para resolver vuestras dudas.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

 

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Hace unas cuantas semanas desde Facebook nos hacíamos eco de un informe publicado por la Agencia Española de Protección de Datos (AEPD) que hablaba sobre «la cesión de datos de las comunidades de vecinos a sus propietarios» y nos hacían la siguiente consulta:

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Cctv Camera In Front Of The Village, Residence Stock Photo by nipitphand in www.freedigitalphotos.net

“Puede un vecino colocar una cámara de videovigilancia en la puerta de su piso con intención de grabar supuestos «actos vandálicos» de otro vecino del edificio? Esto es, si quiero tener la certeza de que un vecino en concreto pone a su perro a hacer sus necesidades en mi felpudo, o quiero tener pruebas fehacientes de que es él quien, por ejemplo, me ralla la puerta, etc….puedo instalarla sin avisar a la comunidad, o es ésta la que debe autorizarlo?”

Bueno, pues hoy queremos tratar de dar respuesta a una situación que siendo lamentable debe tratarse y actuar conforme las leyes nos permitan y en este caso lo trataremos según lo establecido por la LOPD y para ello iremos por partes.

¿Aplica la LOPD aunque solo exista visualización y por tanto no concurra grabación?

Lo primero es aclarar que la imagen de una persona identificada o identificable es un dato de carácter personal y su tratamiento estará sujeto a la normativa de protección de datos, es decir:

  1. Por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
  2. Su Reglamento de desarrollo
  3. De manera particular por la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

[pullquote]Aunque no exista grabación, solo visualización, también le aplica la normativa, y si hay grabación, los datos serán cancelados en el plazo máximo de un mes desde su captación.[/pullquote]

Si la cámara es instalada por la comunidad, deberá:

  1. Notificar e inscribir un fichero en el Registro General de Protección de Datos.
  2. Respetar los plazos y procedimiento de almacenamiento de las imágenes grabadas, debiendo ser cancelados en el plazo máximo de un mes desde su captación.
  3. Adoptar las medidas de seguridad previstas en Reglamento de desarrollo de la LOPD.
  4. Atender los derechos de acceso, rectificación y cancelación.
  5. La instalación debe estar autorizada por la Comunidad.
  6. Respetar todos los requisitos establecidos en la Instrucción 1/2006, de 8 de noviembre.

La comunidad debe aprobar su instalación, en un acuerdo de junta de propietarios y aprobarlo por las 3/5 partes de los propietarios según establece la Ley de Propiedad Horizontal puesto que el tratamiento de datos de carácter personal a través de cámaras de videovigilancia se produce en una zona común.

¿Qué dice al respecto la Instrucción 1/2006, de 8 de noviembre, sobre sistemas de videovigilancia?

En concreto, el Artículo 3 obliga a que los responsables (la Comunidad) que cuenten con sistemas de videovigilancia cumplan con el deber de información previsto en el artículo 5 de la LOPD, debiendo:

  1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
  2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

No aplica la normativa sobre protección de datos los tratamientos que tengan su origen en actividades exclusivamente personales o domésticas, por ejemplo, las cámaras que graban solo el interior de la vivienda particular, quedaría fuera de la LOPD.

En definitiva, ¿Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Pues lo cierto es que no. La instalación se debe hacer de forma que cuando un vecino abre la puerta de su casa la cámara no graba su interior si es colocada por la comunidad y si es propiedad del vecino, no debe grabar espacios comunes de la comunidad.

Cuando las cámaras graben espacios comunes de la comunidad de vecinos, nunca estaremos en un ámbito doméstico y si del ámbito de aplicación de la LOPD.

La LOPD establece que las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende (necesaria para satisfacer un interés legítimo) pero mucho nos tememos que en este caso difícilmente podremos justificar que sea imprescindible, si bien otras medidas no harán posible demostrar que se están produciendo dichos actos vandálicos.

Si lográsemos que la justicia aceptara dicho interés legítimo*, estaríamos hablando de otra cosa, pero de momento no nos consta que existen casos en los que se haya podido acreditar*.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría en protección de datos y comercio electrónico.

*15-07-14.- Actualización: Os dejamos el enlace a un artículo de David González Calleja, que aporta  más información sobre este aspecto

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

  1. El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
  2. La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
  3. El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
  4. El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
  5. De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

  1. El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
  2. El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
  3. El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
  4. El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

 


[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

La AEPD ha publicado dos sanciones con 3 días de diferencia a dos establecimientos por no hacer caso de apercibimiento. Las multas han sido de 6.500€ por ignorar las “advertencias” de la AEPD y en ambos casos la denuncia, formulada por la policía municipal (de Huelva y Madrid), estaba vinculada a sistemas de vídeovigilancia que los establecimientos habían instalado sin haber inscrito el fichero correspondiente y por no disponer de los carteles de zona video vigilada, ni de los formularios de acceso para los afectados.

photo credit: woodleywonderworks via photopin cc

photo credit: woodleywonderworks via photopin cc

Del procedimiento (PS-00059-2013) comentar de manera breve que «acuerda requerir a la entidad, de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acredite, en el plazo de un mes desde este acto de notificación, el cumplimiento de lo previsto en el artículo 5 de la LOPD, aportando fotografía que acredite tener en el establecimiento denunciado los carteles informando de la presencia de las cámaras y en los que se especifique a la persona o entidad ante la cual ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, se le requiere que acredite en el mismo plazo de un mes el cumplimiento de lo previsto en el artículo 26 de la LOPD, mediante la inscripción del fichero con la finalidad de “Videovigilancia” a nombre del denunciado».

Del segundo procedimiento, fuimos conscientes a raíz de un tweet de @fjavier_sempere aunque en un primer momento pensamos que era el mismo, ya que en ambos no se atendieron las notificaciones de la AEPD, aunque sí es cierto que en éste, la notificación fue devuelta en dos ocasiones por el servicio de correos con la indicación “AUSENTE REPARTO”, posteriormente expuesta en el tablón de edictos del Ayuntamiento de Huelva durante 20 días y finalmente en el Boletín Oficial del Estado.En el caso que ya comentamos en el anterior post Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa), tampoco fue atendida alegando posteriormente que “nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión”.

Hay que recordar que la figura del apercibimiento (BOE 5-2-2011), vino a “aliviar” en gran medida a las entidades que incumpliendo la normativa evitaban ser sancionadas de forma directa, mediante un “tirón de orejas” (salvo las infracciones muy graves o que el infractor no hubiese sido sancionado o apercibido con anterioridad) debiendo en el plazo que la AEPD determine, acreditar la adopción de las medidas correctoras notificadas.Siempre hablamos de la importancia de tener bien presentes determinados aspectos de la LOPD que siendo tan previsibles, nos pueden acarrear, no solo una mala imagen sino una sanción fácilmente evitable, aunque me temo que en ambos casos los “gestores” que les han asesorado nunca serán como los profesionales de las asesorías especializadas en la materia les puedan prestar y todos sabemos que lo barato (o “gratis” a lo LOPDCOSTECERO) a la larga, sale caro.

En fin, curioso que en tan corto plazo de tiempo, se hayan conocido sendas sanciones tan similares si bien es cierto que en lo que llevamos de año ya se han dictado cerca de 20 procedimientos con parecidas características (infracción del artículo 37.1.f) de la LOPD) y las que se han resuelto con sanción la multa ha sido de 6.500€ en la mayoría de los casos.

Conclusión: Si la AEPD te apercibe y “tira de las orejas”, no hagas “oídos sordos” y atiende su solicitud o prepara 6.500€ para la multa.

 

Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa)

En abril de 2011 la Policía Municipal de Madrid comunica a la Agencia Española de Protección de Datos (AEPD) una posible infracción de la LOPD motivada porque un “establecimiento” tiene 8 cámaras de vídeo-vigilancia instaladas y no cuentan con los oportunos carteles de zona vídeo-vigilada, ni con los formularios de acceso para los afectados.

La denuncia señala que las 8 cámaras, están conectadas a un monitor central receptor, no pudiendo comprobar el sistema de grabación empleado, observando que se encuentran conectadas a un vídeo y a un módem de una compañía telefónica.

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Los Servicios de Inspección de la Agencia iniciaron actuaciones previas con objeto de determinar si el tratamiento de los datos personales, a través del citado sistema de vídeo-vigilancia, cumplían las condiciones que impone la normativa.

Es de suponer que el establecimiento, antes de la llegada de los Servicios de Inspección de la Agencia, colocaron los carteles preceptivos y editaron el formulario informativo que debe estar a disposición de los ciudadanos acorde a la Instrucción 1/2006, ya que la inspección constató su existencia, aunque por lo que se ve “olvidaron” registrar el fichero ante la AEPD.

La inspección, también constató que las cámaras grababan las imágenes en un grabador sin que se pudiese precisar durante cuánto tiempo, ya que el sistema había sido instalado por los anteriores propietarios y estaba protegido el acceso por una clave que los actuales propietarios decían desconocer y no podían saber (pues la empresa que instaló el sistema ya no existía).

El procedimiento de la AEPD señala que “se pone de manifiesto que las cámaras efectúan grabaciones, no constando que dicho fichero se encuentre inscrito en el Registro General de Protección de Datos de esta Agencia” y la AEPD decide APERCIBIR (A/00050/2012) al  establecimiento por infracción del artículo 26 de la LOPD (“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD”), tipificada como leve por la LOPD.

En este caso, el establecimiento se “iba de rositas”, ya que simplemente debía inscribir en el plazo de un mes (marzo de 2012) dicho fichero, advirtiéndole la Agencia que en caso contrario se iniciaría la apertura de un procedimiento sancionador, como finalmente ha sido.

En éste tiempo, la Agencia por dos veces (mayo y septiembre de 2012) reitera al establecimiento, por medio del servicio de correos con acuse de recibo, lo requerido en el procedimiento de apercibimiento (inscripción de fichero con finalidad de vídeo-vigilancia) sin que se hayan adoptado las medidas correctoras solicitadas.

Por ello el 4 de febrero de 2013, el director de la AEPD acordó iniciar el procedimiento sancionador por presunta infracción del artículo 37.1.f) de la LOPD (“son funciones de la AEPD: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”) tipificada como grave, pudiendo ser sancionada con multa de 40.001 € a 300.000 €, de acuerdo a la LOPD.

Una vez notificado, el Establecimiento formuló alegaciones, entre otras y de manera textual las siguientes:

“…En cuanto tomamos conocimiento de dicha notificación nos pusimos en contacto telefónico con la Agencia Protectora de Datos, solicitando más información sobre el tema, allí muy amablemente la persona que se puso al habla no comunico bien de que iba todo el tema, y nos aclaró que ya hacía bastante tiempo que nos envían notificaciones si respuesta alguna de nuestra parte.

Allí fue nuestro asombro ya que todo lo referente a nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión.

Esta persona por lo visto no les ha presentado ningún tipo de notificación haciendo quedar a la empresa como irresponsable, de todos modo con excusarnos en otra persona no queremos evitar alguna responsabilidad, sino todo lo contrario.

… Por lo expuesto reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos.”

En resumen que la culpa es del gestor (seguramente sea así) y como manifiestan “haciendo quedar a la empresa como irresponsable” aunque ellos insisten en su incomprensión ya que “reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos”.

Estamos seguros que no van a volver a corroborarlo y que ya no se irán de rositas, ya que se le ha impuesto una multa de 6.500€ por la infracción mencionada del artículo 37.1.f) de la LOPD.

Grabaciones de imágenes desde un coche, algo más que una moda, pero… ¿es legal?

Imagen de Jabo en Flick.com

Imagen de Jabo en Flick.com

Que existan numerosas imágenes de la caída del meteorito en los Urales rusos ha sido en parte, gracias a que muchos de sus ciudadanos optaron por instalar una cámara en su coche, con distintos fines.

En general muchos lo hacen para defenderse de la corrupción policial y de la picaresca de los estafadores a las aseguradoras, unos como prueba judicial, otros como medida disuasoria o simplemente para compartir imágenes impactantes en internet con las que hacerse notar.

Recientemente hemos leído algunos artículos en los que se planteaba si ésta cuestión en España sería legal o no y también hemos recibido una consulta específica al respecto, por ello hemos decidido aportar nuestra visión.

Aunque alguna mención será necesaria, dejemos claro que como de costumbre no pretendemos hacer un repaso ni acopio de menciones normativas con sus correspondientes Leyes, Reglamentos, etc. y menos desde el punto de vista de la Seguridad Vial o de Tráfico.

Haremos un enfoque normativo sobre si esas cámaras pueden grabar imágenes según establece nuestra LOPD y demás reglamentos o instrucciones como la «Videovogilancia«.

No obstante, lo primero que debemos recordar es que hay múltiples casos en los que la Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones por grabaciones indebidas y que en España hay distintas leyes que regulan aspectos vinculados a una grabación, como los que tienen fines de investigación policial o de prevención de un delito (LO 4 de 1997 de 4 de agosto, regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos) o la ley que regula la grabación de imágenes con fines de seguridad privada (Ley 23/92 de 30 de julio, de Seguridad Privada).Puesto que no estamos hablando de un caso que se enmarque en el ámbito de grabación con fines de investigación policial o de prevención de delitos ni de la grabación de imágenes con fines de seguridad privada, nos centraremos en la normativa que sí se aplica al caso.

Por tanto, para el tema que nos ocupa, debemos considerar la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (más conocida como Videovigilancia), que establece, entre otras cuestiones que:

  • “La seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de protección de datos, para de esta manera mantener la confianza de la ciudadanía en el sistema democrático”.
  • “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.”

Es decir, hablamos de un derecho fundamental que debemos respetar, constatando que las imágenes se consideran un dato de carácter personal, en virtud de lo establecido por la LOPD, que considera como dato de carácter personal la información gráfica o fotográfica, quedando excluidas el tratamiento de imágenes en el ámbito personal y doméstico (el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar).

Existen otros ámbitos en los que la grabación de imágenes pueden estar justificados y serán lícitos, como el periodista que asiste y graba un evento que tiene un claro valor informativo, en el que puedan verse imágenes de los asistentes. Dicha grabación y publicación será lícita siempre que no se invada un espacio de privacidad o cuando la información prevalezca sobre la privacidad. En cambio habrá otros en los que se enmarcan en una esfera o ámbito privado pero al que asisten personas que se escapan de nuestro ámbito privado estricto, como la función de fin de curso de un hijo o una competición. En estos casos, de los que conviene hacer un post sobre ello, habrá que ir con pies de plomo.

Volviendo a nuestras cámaras en el coche, es evidente que las nuevas tecnologías son cada vez más útiles y accesibles, en este caso para ubicarlas en un coche, por tamaño y precio hasta hace poco instalar una cámara era impensable, siendo también evidente que el uso de estas nuevas tecnologías puede generar nuevos problemas relacionados con la privacidad.

Recordemos que se considera identificable a una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción sobre videocámaras y cámaras, sin requerir plazos o actividades desproporcionados, vamos que si alguno sigue con alguna duda, que tenga muy claro, que la  imagen personal se considera dato de carácter personal, al igual que las matrículas de los vehículos (aunque sobre esta cuestión existen ciertas contradicciones).

Estas cámaras enfocarán y grabarán imágenes de la vía pública, por la que circulamos las personas y los coches y por tanto pueden grabar nuestra imagen o las matrículas de coches a discreción y por ser un dato de carácter personal, los titulares de las cámaras tendrían que cumplir con la normativa en la materia, pero además, como estamos hablando de unas imágenes que serán tomadas de la vía pública, éstas únicamente podrán ser grabadas por las Fuerzas y Cuerpos de Seguridad.

En definitiva ya no hablamos, porque ya ni procede, de esos aspectos normativos a los que los titulares de las cámaras estarían sujetos, como el consentimiento o el deber de informar al interesado (carteles informativos) o que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida, etc.

No obstante, seguro que alguno estará pensado en Google y su última campaña de Street View, por ello conviene recordar el “contencioso” AEPD-Google, en el que la AEPD concluyó en su investigación que Google se compromete a anonimizar las imágenes de personas y matrículas de vehículos antes de publicarlas, es decir, a difuminar de manera permanente e irreversible, los rostros y matrículas para que no puedan ser reconocidos y a mantener un mecanismo ágil para que los interesados puedan obtener la corrección de cualquier error (nota de prensa completa).

En resumen salvo que la normativa cambie, a día de hoy, no es posible que los particulares instalemos está cámaras en nuestros vehículos, sea cual sea el motivo (notoriedad o nuestra defensa) ya que desde el punto de vista de la LOPD no está permitido.

Ahora sólo nos queda escuchar sus opiniones o que nos planteen las dudas que puedan albergar.