#759
Les empreses de seguretat i les seves implicacions en matèria de protecció de dades
Resulta necessari que les empreses de seguretat formalitzin amb els seus clients un contracte d’encarregat del tractament quan accedeixin per control remot a les imatges, i això s’escaurà, quan els clients de les empreses de seguretat, siguin empreses o òrgans corporatius.
El principi general aplicable al tractament de dades que pugui desenvolupar-se per les empreses i personal de seguretat privada actualment a Espanya, ve determinat de conformitat amb el que es preveu pel nou Reglament General de Protecció de Dades (RGDP) i la LOPD espanyola, per la Llei de seguretat privada, les seves normes de desenvolupament. De manera complementària l’empresa de seguretat i els seus clients hauran de sustentar la base jurídica en el tractament de dades que es puguin recaptar a l’empara de les condicions generals i particulars pactades en el contracte d’arrendament de serveis de seguretat privada signat entre l’empresa i el client.
L’Agència Estatal de Protecció de Dades (AEPD), sobre la base d’una consulta sobre si les empreses de seguretat en instal·lar els sistemes de seguretat, amb accés remot a les imatges dels seus clients quan salta l’alarma, ha de formalitzar un contracte d’encarregat del tractament en els termes de l’article 28 del RGDP, ha contestat que respecte als serveis que presten les empreses de seguretat i les seves implicacions en matèria de protecció de dades, hem de distingir:
- Instal·lació i/o manteniment tècnic dels equips i sistemes de videovigilància sense accés a les imatges.
En aquest cas l’empresa de seguretat no posseeix la condició d’encarregat de tractament corresponent al responsable, que la va contractar, l’adaptació de la instal·lació als requisits normatius.
- Instal·lació i/o manteniment tècnic dels equips i sistemes de videovigilància amb utilització dels equips o accés a les imatges.
Únicament en aquest segon cas, l’empresa de seguretat serà considerada encarregada del tractament i l’obligatorietat de complir amb les obligacions del que es disposa per l’article 28 del RGPD.
Exemple: les empreses de seguretat que presten serveis combinats de central d’alarmes i videovigilància de manera que quan s’activa l’alarma es comproven directament les imatges pel personal de l’empresa de seguretat.
En definitiva, l’empresa de seguretat pot prestar simplement el servei d’instal·lació de la càmera de vídeo, i qui tindrà l’accés a les imatges serà el president de la comunitat de propietaris o del garatge. Es pot donar el cas que a més l’empresa de seguretat s’encarrega d’aquest tractament, i per tant poden accedir a les imatges tant, el president com l’empresa contractada i en aquest cas serà ineludible la signatura d’un contracte d’accés a les dades per compte de tercers, en virtut del que es preveu en 28.1 i 28.3 del RGPD.
Així, segons l’article 28.1 del RGPD, quan es realitzi un tractament per compte d’un responsable del tractament, aquest triarà únicament un encarregat que ofereixi garanties suficients per a aplicar les mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits del present Reglament i garanteixi la protecció dels drets de l’interessat.
I de conformitat amb l’article 28.3 del RGPD:
El tractament per l’encarregat es regirà per un contracte o un altre acte jurídic conformement al Dret de la Unió o dels Estats membres, que vinculi a l’encarregat respecte del responsable i estableixi l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d’interessats, i les obligacions i drets del responsable.
Aquest contingut, que ha de figurar en el contracte o acte jurídic d’encarregat de tractament, de forma resumida, seria el següent:
- Les instruccions del responsable del tractament.
- El deure de confidencialitat.
- Les mesures de seguretat.
- El règim de la subcontractació.
- La forma en què l’encarregat assistirà al responsable en el compliment de respondre l’exercici dels drets dels afectats.
- La col·laboració en el compliment de les obligacions del responsable.
- La destinació de les dades en finalitzar la prestació.
Conclusió
L’AEPD conclou en virtut de l’exposat, que resulta necessari que les empreses de seguretat formalitzin amb els seus clients un contracte d’encarregat del tractament en els termes previstos en l’article 28 del RGPD, quan accedeixin per control remot a les imatges, i això procedirà, quan els clients de les empreses de seguretat, siguin empreses o òrgans corporatius.
No obstant això si el servei està instal·lat en el domicili particular d’una persona, i només s’accedeix a les imatges quan salti el dispositiu de l’alarma, en aquest cas, no es considera al particular responsable del tractament, perquè la instal·lació del sistema en el seu domicili, exclou l’aplicació del RGPD ja que es tracta d’un àmbit personal i domèstic, per exprés mandat del seu article 2.2.c). No obstant això, l’empresa de seguretat quan instal·la l’esmentat sistema en el domicili particular del seu client, adquireix la condició de responsable del tractament de gestió de sistemes de videovigilància amb accés a les imatges dels seus clients, quan siguin persones físiques i el sistema de seguretat amb accés a imatges s’efectuï en el seu domicili particular, atès que no resulta aplicable l’excepció esmentada anteriorment.
Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que puguin tenir sobre aquest tema.