La Agencia Española de Protección de Datos (AEPD) ha tratado de manera reiterada el tema de dispositivos de vídeo y sistemas videovigilancia ya sea a través de resoluciones, instrucciones o guías.
Asuntos como el de los carteles informativos sobre la videovigilancia, los requisitos que se han de cumplir respecto al posicionamiento y orientación de las cámaras o el periodo de conservación de las imágenes han sido ampliamente tratados. Sin embargo, un tema que ha pasado desapercibido, es el método de actuación que ha de seguir el Responsable del Tratamiento ante la solicitud por un interesado de un ejercicio de derecho de acceso a las grabaciones. Aunque parece un asunto sencillo tiene sus particularidades que hemos de tener en cuenta.
El art. 15 del Reglamento General de Protección de Datos (RGPD) regula el Derecho de Acceso.
Un interesado podrá solicitar la copia de las grabaciones de una cámara de videovigilancia de una determinada ubicación donde haya estado en los últimos días y, además, la información adicional que se contempla en los distintos puntos del art. 15 del RGPD como, por ejemplo, los fines del tratamiento, las categorías de datos, los destinatarios o los plazos de conservación. Es especialmente relevante, como se verá más adelante, que el acceso a la copia de las grabaciones no puede ser en perjuicio de los derechos y libertades de terceras personas.
El mencionado art. 15 del RGPD es complementado en la legislación nacional por el art. 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).
Al contrario del RGPD, la LOPD-GDD aborda de manera explícita el tratamiento de datos para fines videovigilancia en su art. 22. No obstante, no regula de forma específica como se ha responder a un derecho de acceso de un interesado a las grabaciones de los dispositivos de vídeo. La respuesta a esta pregunta la podemos encontrar en los siguientes documentos:
- Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (link). Noviembre de 2006.
- Guía de la AEPD sobre el uso de videocámaras para seguridad y otras finalidades (link). Noviembre de 2018.
- Directrices 3/2019 del Comité Europeo de Protección de Datos (CEPD) sobre el tratamiento de datos personales mediante dispositivos de vídeo – Guidelines 3/2019 on processing of personal data through video devices – (link). Julio de 2019.
De los dos primeros documentos podemos extraer las siguientes conclusiones respecto de los requisitos que ha de cumplir un interesado a la hora de ejercitar un derecho de acceso. Además de escrito en el que se ejercite el derecho de acceso:
- El interesado ha de hacer constar al Responsable del Tratamiento su identidad.
- El interesado ha de acompañar su ejercicio de derecho de una imagen actualizada que permita al Responsable del Tratamiento identificar al interesado en sus grabaciones.
Además, de acuerdo con el criterio establecido por el CEPD en sus “Directrices 3/2019” existen una serie de limitaciones al derecho de acceso que el Interesado y le Responsable han de respetar:
- Afección negativa a los derechos y libertades de terceros. De acuerdo con el art. 15.4 del RGPD, el derecho del Interesado a acceder a una copia de sus datos personales mediante el ejercicio del derecho de acceso “no afectará negativamente a los derechos y libertades de otros”. Como es lógico, puede darse el caso de que en una misma secuencia de grabación aparezcan multitud de interesados. Si, de acuerdo con el artículo 15.3 del RGPD, un interesado solicita una copia de sus datos personales podrían verse afectados los derechos y libertades de terceros. En estos casos debe ser el Responsable el que valore si puede facilitar copia de las grabaciones a la persona que ejerce el derecho sin que este hecho perjudique a los derechos y libertades de terceros. No obstante, este hecho no puede ser utilizado como excusa para no atender a los ejercicios legítimos de derecho de acceso. En este sentido, siempre que sea posible el Responsable deberá recurrir a medidas técnicas, como, por ejemplo, la edición de imágenes, que permitan cumplir con el ejercicio del derecho.
No obstante, esta visión del Comité Europeo de Protección de Datos no coincide de manera plena con la de la Agencia Española de Protección de Datos. La AEPD, a diferencia del Comité, establece en su instrucción 1/2006 que el Responsable puede facilitar “el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento”. Es decir, omite la posibilidad de modificar las imágenes mediante medidas técnicas y ofrece al Responsable la opción de entregar en vez de las imágenes un documento certificado en el que se describan, con precisión suficiente, los hechos que se pueden observar en la grabación.
- Imposibilidad de identificar al interesado. Puede darse el caso que el interesado solicite el derecho de acceso a unas imágenes en las que aparezcan multitud de individuos. Por ejemplo, un Interesado que solicita al Responsable de un aeropuerto que le facilite la copia de la grabación de él entrando a las instalaciones un día determinado. En este caso, ya que en un aeropuerto entran al día miles de personas y a través de distintas puertas, podría entrar en juego el art. 11.2 del RGPD que establece que cuando “el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”.
- Información adicional que permita la identificación. Siguiendo con el ejemplo del aeropuerto, el interesado debería, a petición del Responsable, “facilitar información adicional que permita su identificación”. En este sentido se le podría exigir al Interesado que, en la medida de lo posible, identifique la puerta por la que accedió al edificio, que establezca un periodo de tiempo razonablemente acotado y que describa sus características personales o indumentaria de tal forma que sea más sencilla su identificación.
- Solicitudes excesivas. De acuerdo con el art. 12.5 del RGPD, el Responsable puede oponerse o cobrar (un canon razonable) a aquellos interesados que realicen solicitudes de acceso manifiestamente infundadas o excesivas. El RGPD no establece que puede considerarse como excesivo, sin embargo, la LOPD-GDD si establece en su art. 13.3 que “se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello”. Por su parte en el art. 13.4 se dice que “cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte.”
El Equipo Govertis