Todo comenzó cuando G.R. instaló cámaras de videovigilancia, con sistema de iluminación nocturna, en la puerta de su domicilio, por motivos de seguridad, lo cual esta permitido por la normativa de protección de datos (Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal así como su normativa de desarrollo), siempre y cuando no graben y capten imágenes de la vía pública o de las puertas de otros vecinos, ya que ello supondría una vulneración de la intimidad de estos.

Para poder instalar estas cámaras, es necesario advertir a los usuarios con un cartel bien visible, en el que se informe de la existencia de una cámara de seguridad y de los datos identificativos del responsable del fichero. Cuando estas cámaras, además de captar la imagen en el momento, graban, deben notificarlo a la Agencia Española de Protección de Datos (AEPD), que lleva un registro de todos los ficheros de imágenes que existen. Estas filmaciones deben destruirse a los 30 días de su captación.

Así mismo, la potestad para grabar la via pública está reservada a la Policía o la Guardia Civil, y necesitan un permiso previo de una Comisión de Videovigilancia, integrada por un equipo de jueces o fiscales.

Ver nota de prensa de la APD de fecha 19 mayo 2010: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/100519_NP_GOOGLE_WIFI_WEB.pdf

Es ahora, cuando la APD abre el procedimiento sancionador contra Google, al constatar la existencia de indicios de la comisión de dos infracciones graves y tres muy graves de la ley de protección de datos, como la captación y almacenamiento de datos personales sin consentimiento. Se ha verificado la captación de datos de localización de redes wifi con identificación de sus titulares, y de datos personales de diversa naturaleza del contenido de las comunicaciones como: direcciones de correo electrónico -con nombre y apellidos-, mensajes asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas, entre otros. Y que estos datos se han transferido por parte de Google a EE UU sin garantías de protección de la privacidad.

No obstante, el expediente sancionador queda paralizado a la espera de que el Juzgado de Instrucción Nº 45 de Madrid resuelva sobre la captación de datos de redes wifi por los coches de Street View.

Este procedimiento penal se inició a raíz de una denuncia interpuesta por el presidente de la asociación (APEDANICA) por la vulneración del artículo 197 del Código Penal, que castiga con penas de uno a cuatro años de cárcel la interceptación de las comunicaciones de terceros sin su consentimiento.

Una vez que recaiga resolución judicial, la APD reanudará el procedimiento administrativo en la fase de instrucción del mismo, en la que la compañía contará con un plazo para formular alegaciones o presentar pruebas.

Todos hemos sufrido las llamadas telefónicas a nuestro móvil y domicilio, a cualquier hora del dia y en el momento mas inoportuno, de personas que nos ofrecen, de manera insistente y concienzuda, un producto o un servicio, bajo unas condiciones, según ellos, inmejorables y que no dudan en explicar con detenimiento y todo lujo de detalles, mientras escuchamos pacientemente, en unas ocasiones, o en otras, cortamos la conversación ya cansados del acoso sufrido.

Y es que además estas llamadas pueden ser realizadas desde el extranjero, ya que las empresas suelen contratar los call center en países latinoamericanos, para ahorrar costes, y la calidad del sonido de las mismas es bastante deficiente, lo cual hace mas difícil el entendimiento entre ambos interlocutores, ocasionando muchas veces, la exasperación del receptor.

En Enero de 2010, entró en vigor la Ley 29/2009, de 30 de diciembre, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los consumidores y usuarios, que prohíbe estas conductas, tal y como estable su artículo 29:

Artículo 29. Prácticas agresivas por acoso.

1. Se considera desleal por agresivo realizar visitas en persona al domicilio del consumidor o usuario, ignorando sus peticiones para que el empresario o profesional abandone su casa o no vuelva a personarse en ella.

2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual.

El empresario o profesional deberá utilizar en estas comunicaciones sistemas que le permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional.
Para que el consumidor o usuario pueda ejercer su derecho a manifestar su oposición a recibir propuestas comerciales no deseadas, cuando éstas se realicen por vía telefónica, las llamadas deberán realizarse desde un número de teléfono identificable.

Este supuesto se entenderá sin perjuicio de lo establecido en la normativa vigente sobre protección de datos personales, servicios de la sociedad de la información, telecomunicaciones y contratación a distancia con los consumidores o usuarios, incluida la contratación a distancia de servicios financieros.

Así mismo, esta ley prohíbe ocultar el número de teléfono llamante, de manera que el usuario ha de conocer en todo momento este dato para contactar con la empresa si lo desea:

«Artículo 20. Información necesaria en la oferta comercial de bienes y servicios.

1. Las prácticas comerciales que, de un modo adecuado al medio de comunicación utilizado, incluyan información sobre las características del bien o servicio y su precio, posibilitando que el consumidor o usuario tome una decisión sobre la contratación, deberán contener, si no se desprende ya claramente del contexto, al menos la siguiente información:

a) Nombre, razón social y domicilio completo del empresario responsable de la oferta comercial y, en su caso, nombre, razón social y dirección completa del empresario por cuya cuenta actúa.

b) Las características esenciales del bien o servicio de una forma adecuada a su naturaleza y al medio de comunicación utilizado.

c) El precio final completo, incluidos los impuestos, desglosando, en su caso, el importe de los incrementos o descuentos que sean de aplicación a la oferta y los gastos adicionales que se repercutan al consumidor o usuario.

En el resto de los casos en que, debido a la naturaleza del bien o servicio, no pueda fijarse con exactitud el precio en la oferta comercial, deberá informarse sobre la base de cálculo que permita al consumidor o usuario comprobar el precio. Igualmente, cuando los gastos adicionales que se repercutan al consumidor o usuario no puedan ser calculados de antemano por razones objetivas, debe informarse del hecho de que existen dichos gastos adicionales y, si se conoce, su importe estimado.

d) Los procedimientos de pago, plazos de entrega y ejecución del contrato y el sistema de tratamiento de las reclamaciones, cuando se aparten de las exigencias de la diligencia profesional, entendiendo por tal la definida en el artículo 4.1 de la Ley de Competencia Desleal.

e) En su caso, existencia del derecho de desistimiento.

2. El incumplimiento de lo dispuesto en el apartado anterior o en las disposiciones a que se refiere el artículo 19.4 será considerado en todo caso práctica desleal por engañosa, en iguales términos a lo dispuesto en el artículo 21.2 de la Ley de Competencia Desleal.»

En el caso de que el usuario reciba insistentemente estas llamadas y no desee recibirlas mas, debe contactar con la empresa u operadora y solicitarles la baja de sus datos para fines comerciales. Si posteriormente sigue recibiendo llamadas por parte de la empresa, podrá denunciarla ante la Agencia de Protección de Datos, aportando todos los datos y pruebas de que disponga.

Es muy habitual enviar emails a varios destinatarios, incluyendo sus direcciones de correo en el apartado “PARA” de nuestro gestor de correo, de manera que todos los destinatarios saben a que personas se les ha enviado dicho correo, lo cual, en principio no tendría por que suponer un problema para los mismos. Sin embargo, pensemos en una empresa que envía un email rechazando las aspiraciones de posibles candidatos a optar a un puesto de trabajo, en este caso, la persona rechazada e incluida en este correo electrónico podría incomodarse por el hecho de que el resto de candidatos conozcan que ha solicitado dicho empleo, su cuenta de correo y además, que ha sido rechazado.

Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail.

Para: que es a quien va dirigido el correo
CC: (Con Copia), que es a quien se envía una copia de correo
CCO o BCC: (Con Copia Oculta) que es a quien se envía una copia de correo.

Empresas como la inmobiliaria Sánchez Romero  o la empresa de recursos humanos Human Management ya han sido sancionadas por la APD al entender esta que con esta forma de enviar correos electrónicos se vulnera el "deber de secreto" contemplado en el artículo 10 de la Ley Orgánica.

Se trata de una obligación legal cuyo incumplimiento acarrea graves sanciones económicas que podrían llevar al cierre a muchas empresas en el caso de ser sancionadas. Y es que la sanción no depende del tamaño de la empresa, sino del precepto vulnerado, de manera que es posible que un pequeño laboratorio dental, que puede tratar datos personales de nivel alto de protección, sea sancionado con una multa de hasta 600.000 euros, lo cual, evidentemente, supondría la ruina del negocio.

Sin embargo, no solo es obligatorio cumplir con la normativa, sino  recomendable de cara a captar y fidelizar clientes, ya que vivimos en la sociedad de la información, donde esta, circula libremente y la mayoría de las veces sin control, por lo que se hace necesario establecer unos filtros tanto personales e individuales, a la hora de comunicar nuestros datos personales a terceros, como institucionales y empresariales, para delimitar y vigilar el uso que estos agentes hacen de nuestros datos.

Muchas empresas no se adecuan a la normativa porque o bien desconocen su existencia, lo cual cada vez ocurre menos, o no desean hacerlo por considerar que la inversión a realizar no revierte en un resultado traducido o valorado en términos económicos, lo cual les lleva a correr el riesgo de continuar con su actividad sin aplicar la normativa a los datos personales tratados.

Entre las entidades privadas andaluzas sancionadas (con multas que van desde los 600 a los 420.000 euros) se encuentran agencias de viajes, federaciones y clubes deportivos, empresas de moda y complementos, agencias inmobiliarias, comunidades de propietarios, empresas informáticas, ópticas, hoteles y empresas de telecomunicaciones, ubicadas en Málaga, sancionada con 8 empresas, Sevilla con 4, Jaén con 3, Almería con 2, y Granada y Cádiz con 1.

Desde Abogados Portaley recomendamos a todas las empresas, sea cual fuera su actividad, que se adecuen a la normativa de protección de datos. Nuestro despacho ofrece este servicio a medida, de modo que nuestro presupuesto se adecuan a las características y posibilidades de cada empresa. Pídanos un presupuesto y se lo ofreceremos sin compromiso.

Los hechos se produjeron en el 2002, cuando aparecieron en los alrededores del aeropuerto de El Prat varios documentos de entrega de equipajes extraviados con los datos personales de los pasajeros afectados. Los datos de los pasajeros eran registrados en el sistema de IBERIA y cuando los equipajes eran encontrados, se remitía en formato papel la información a la empresa CACESA, que se encargaba de entregar los equipajes a sus legítimos propietarios. Fue precisamente esta información la que apareció en los alrededores del aeropuerto.

Las sanciones impuestas a IBERIA fueron las siguientes:
1.    Infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01. No contar con el fichero inscrito en el Registro de la Agencia Española de Protección de Datos.
2.    Infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21. No contar con el Documento de Seguridad relativo a ese fichero.
3.    Infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05. Cesión inconsentida de datos.

Lo que resulta más destacable de esta sentencia es la sanción muy grave por considerar que ha existido una cesión de datos de carácter personal sin consentimiento. Si analizamos detenidamente los hechos, parece claro que la relación existente entre IBERIA y CACESA quedaría encuadrada como una relación de encargado del tratamiento, debido a que quién decide sobre la finalidad del fichero es IBERIA que se limita a entregar a CACESA la información de los pasajeros que extraviaron sus equipajes para hacérselos llegar. Por tanto, CACESA como encargado del tratamiento se debe limitar a cumplir con las instrucciones del responsable del fichero, IBERIA.

Si esta relación está amparada por el artículo 12 de la LOPD “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”, entonces ¿por qué la Agencia Española de Protección de Datos sanciona por una infracción tipificada como muy grave?

Es este punto el verdaderamente relevante. El propio artículo 12 establece en los apartados 2 y siguientes, la obligación de contar con un contrato de encargado del tratamiento por escrito en el que se establezcan los extremos indicados en la propia Ley. Es decir, dicho contrato a grandes rasgos debe reflejar: la relación de encargado del tratamiento, las medidas de seguridad aplicables por parte de la empresa encargada del tratamiento, sus obligaciones de confidencialidad y además añade que el encargado del tratamiento deberá destruir o devolver los datos de carácter personal una vez haya finalizado la relación contractual.

En el presente caso, a pesar de que la relación entre CACESA e IBERIA es una relación de encargado del tratamiento, ésta no está reflejada en un contrato específico. El único contrato existente entre ambas empresas es uno de prestación de servicios firmado en 1992, cuyo objeto refleja el reparto domiciliario por parte de CACESA de equipajes extraviados o demorados desde el aeropuerto de Barcelona a los distintos lugares designados por IBERIA.

Difícilmente dicho contrato podría reflejar los extremos exigidos por la Ley Orgánica de Protección de Datos cuando éste se firmó antes de que entrara en vigor la primera Ley de Protección de Datos en España, la LORTAD.

Esta Sentencia demuestra la importancia de contar con los contratos de encargado. El ejemplo más habitual es el de la asesoría de nóminas que para prestar su servicio al responsable del fichero debe tratar los datos personales de los trabajadores de la empresa contratante.

En este caso ¿sucedería lo mismo que en la sentencia comentada si la asesoría extravía una nómina pero existe firmado un contrato específico de encargado del tratamiento?  En este caso el responsable del fichero no habría infringido los preceptos del a LOPD y sería la asesoría de nóminas la que respondería ante la Agencia Española de Protección de Datos por la pérdida de dicha información.

Por la experiencia que tenemos en Abril Abogados, las empresas objeto de auditoría de protección de datos, no le dan gran importancia a dejar fijadas en un contrato este tipo de relaciones. Habitualmente nos encontramos con dificultades para que se firmen este tipo de contratos, o bien porque ya existe un contrato anterior, como es el caso de IBERIA y CACESA, o bien porque existe una relación de confianza entre las empresas que consideran que no es necesario firmar contratos por escrito, o simplemente porque el que debe firmar el contrato es el director general.

Existen multitud de relaciones consideradas de encargado de tratamiento que las empresas  responsables de los ficheros desconocen y por lo tanto no cuentan con este contrato. A título enunciativo y dependiendo de cada caso concreto, se suelen considerar encargados del tratamiento las relaciones contractuales con la asesoría de nóminas, asesoría contable, empresa de mantenimiento informático, alojamiento de sitios web, empresas de back up, gestión documental, empresas de transporte, empresas de seguridad que tratan o acceden a las imágenes emitidas por las cámaras de seguridad o que controlan el acceso a edificios, etc.   

El responsable del fichero, que como hemos visto en el caso de IBERIA es el realmente perjudicado, debe actuar con diligencia y exigir la firma de este tipo de contratos y la actualización de los mismos a sus encargados del tratamiento, que en ocasiones no quieren firmar por el temor de creer que con la firma del contrato se obligan a cumplir con la LOPD cuando en realidad están obligados aunque no firmen dicho contrato.

Para terminar quisiera comentar las otras dos sanciones impuestas que aunque son menos relevantes por su cuantía económica, también nos hacen reflexionar. Ambas sanciones se suceden por un único hecho: IBERIA no se considera responsable del fichero de pasajeros que han extraviado su equipaje y por lo tanto no llegó a declarar el fichero.

A pesar de que IBERIA sí cuenta con un fichero declarado denominado BILLETES, ni la Agencia Española de Protección de Datos, ni la Audiencia Nacional, ni el Tribunal Supremo consideran que ese fichero incluya el de pasajeros que han extraviado su equipaje. Las razones argumentadas son básicamente las siguientes: Por un lado, IBERIA crea un nuevo fichero en el momento en que el pasajero acude a los mostradores y le toman nota de la pérdida de su equipaje, por otro lado, IBERIA, trasforma el fichero a través de un procedimiento manual, remitiendo a CACESA los datos de los pasajeros agraviados por la pérdida de su equipaje.

IBERIA, erróneamente, se considera un encargado del tratamiento respecto de los datos de los pasajeros al utilizar el sistema SITA que es una herramienta de búsqueda y gestión de los equipajes extraviados. Además en las actuaciones de inspección realizadas por la Agencia Española de Protección de Datos, se determinó que según lo establecido en el contrato existente entre SITA e IBERIA éste último es el responsable de los datos introducidos en el sistema.

Al no considerar IBERIA como fichero los datos de estos pasajeros, ni declaró el fichero, sanción leve, ni lo incorporó a su Documento de Seguridad, lo que provocó la sanción grave.

Por tanto, de estas dos sanciones se extrae otra conclusión, se debe tener especial cuidado en el análisis de los datos personales, para determinar cuándo la empresa tiene obligación de declarar un fichero  e incorporarlo a su Documento de Seguridad.
 

Alvaro Ramos Suárez
Departamento de Nuevas tecnologías
ABRIL ABOGADOS

La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.

En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

•    Establecimiento del contexto (Cláusula 7)
•    Evaluación del riesgo (Cláusula 8 )
•    Tratamiento del riesgo (Cláusula 9)
•    Aceptación del riesgo (Cláusula 10)
•    Comunicación del riesgo (Cláusula 11)
•    Monitorización y revisión del riesgo (Cláusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).

Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.

En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.

Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.  

Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.

Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.

Autor: Manuel Díaz

Áudea Seguridad de la Información
www.audea.com

La red social Tuenti, es una de las mas utilizadas por los adolescentes españoles, cuya característica mas llamativa es la de necesitar ser invitado para pertenecer a ella.

Debido al perfil de los usuarios, menores de edad en su gran mayoría, ha surgido la necesidad de establecer mayores medidas que permitan preservar lo máximo posible la privacidad respecto a los datos personales de dichos menores, y evitar así que los acosadores virtuales y pedófilos se hagan pasar por menores y puedan llegar hasta ellos.

Una de las medidas establecidas por Tuenti es la de establecer un filtro de perfiles de usuarios menores de 14 años, consistente en solicitar una fotocopia del DNI, de manera que si no es aportado, se eliminaría el perfil existente o no se permitiría crearlo.

A pesar de ser una medida bien intencionada, hay quien duda de la eficacia de la misma, debido al gran número de usuarios y al trastorno que pudiera suponer para ellos el proceso de identificación.

A dicha medida, se unen la prohibición de descargar fotos creadas por terceros, aunque sea de un amigo, y la de respetar la propiedad intelectual de los contenidos generados por los usuarios.

La Agencia Española de Protección de Datos ha recibido esta iniciativa con gran optimismo, esperando sea secundada de manera general.

Información de la Agencia de Protección de Datos

Actualmente podemos contemplar con normalidad el uso de los CCTV (circuitos cerrados de televisión) y sistemas de videovigilancia por las empresas, comercios, escuelas o comunidades de vecinos que cada vez más optan por este sistema para blindarse contra los actos vandálicos.

La mayor sensación general de seguridad y el proceso de regularización de muchos de estos dispositivos que se están adecuando a la normativa de protección de datos benefició de manera significativa el incremento del fenómeno de instalar estos dispositivos en los ámbitos privados.

De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (AEPD) Artemi Rallo en una reciente entrevista se han disparado las inscripciones de los ficheros de videovigilancia especialmente en el entorno privado. En los dos últimos años se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado.

En el 2006 apenas eran unas 200 entidades que se declaraban responsables de cámaras de videovigilancia, al año siguiente se le sumaron 5.000 y a fecha de hoy son unas 21.000.

La sensación de seguridad que aportan los sistemas de videovigilancia a los empresarios, comerciantes y comunidades de vecinos ha provocado también el auge de las empresas de seguridad que instalan este tipo de dispositivos y que han visto incrementar sus ventas en el último año de hasta un 40%.  En cuanto a los precios, los modelos de videovigilancia que se pueden encontrar actualmente en el mercado pueden ir desde los mil euros – con un grabador, dos cámaras y un monitor- hasta los más sofisticados a partir de los 6.000 euros.

Los principales motivos por lo que se instalan las cámaras de videovigilancia en las fincas son por vandalismo e intrusismo y por los robos en los parkings dentro de los vehículos.

Además de grabar los actos delictivos, las cámaras cumplen una función disuasoria y con su instalación los incidentes bajan, además de mejorar la convivencia entre los vecinos.

No obstante la instalación de una cámara no puede ser un acto sencillamente arbitrario al gusto del que lo haga sino que debe estar justificado por una razón de seguridad, se tiene que instalar de la forma menos agresiva posible para que sea lo menos instrusiva en la privacidad de las personas.

En particular las entidades que quieran instalar los sistemas de videovigilancia deben cumplir con los siguientes requisitos:

• La creación de un fichero de imágenes de videovigilancia exige su previa notificación a la Agencia Española de Protección de Datos para la inscripción en el registro general
• El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo
• Debe informarse sobre la captación y/o grabación de las imágenes
• Las imágenes tendrán que ser canceladas en un plazo máximo de un mes desde su captación
• Las empresas que realicen la instalación y el mantenimiento de los sistemas de videovigilancia deben estar autorizadas por la Agencia Española de Protección de Datos
• Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos
• Los ciudadanos pueden ejercer su derecho a acceder a las imágenes y a cancelarlas

Áudea Seguridad de la Información

Debido al incremento en los últimos años que están experimentando las instalaciones de cámaras y videocámaras con fines de videovigilancia, se aprobó por parte de la Agencia de Protección de Datos la Instrucción de 1/2006 de 8 de noviembre,  la cual aportó mayor claridad y seguridad jurídica en este sector. Sin embargo y posiblemente debido a una falta de conocimiento preciso de la norma por parte de los ciudadanos, empresas (incluidas las dedicadas a la instalación de los sistemas de videovigilancia, que no actúan con la diligencia debida) , incluso las Administraciones Públicas, provocan que sea el tercer sector en número de inspecciones tras las telecomunicaciones y entidades financieras.

A pesar de que los ficheros de videovigilancia inscritos en el Registro General de la Agencia de Protección de Datos han experimentado un crecimiento vertiginoso,  en cifras, en el año 2003 los ficheros de videovigilancia eran tan solo 67 pasando a ser  en 2007 un total de 5026 ficheros notificados, cifra que ha seguido aumentado a lo largo de este año.  No son pocos los casos que aparecen en los medios de comunicación en los que un Ayuntamiento instala una cámara de seguridad sin tener en cuenta la normativa o un particular instala una cámara para vigilar su coche sin previa consulta. Esto se debe a que los ciudadanos para proteger su patrimonio y los Entes locales para evitar actos vandálicos, olvidan un derecho fundamental como es el derecho a la protección de datos en aras de su seguridad.
Sin embargo, como bien se explica en la exposición de motivos de la Instrucción 1/2006  la seguridad y la vigilancia, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal.

Tras la publicación del plan sectorial de oficio  sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios por parte de la Agencia Española de Protección de Datos, se plantea la duda de  si será  necesario aprobar en un breve periodo de tiempo un plan sectorial por parte de la Agencia en materia de videovigilancia, en la que esta evalúe el funcionamiento de las cámaras de vigilancia tanto en espacios públicos como privados arrojando luz sobre este sector.

María del Águila
Responsable de Proyectos  Áudea Seguridad de la Información