Las empresas de seguridad y sus implicaciones en materia de protección de datos

Resulta necesario que las empresas de seguridad formalicen con sus clientes un contrato de encargado del tratamiento cuando accedan por control remoto a las imágenes, y esto procederá, cuando los clientes de las empresas de seguridad, sean empresas u órganos corporativos.

El principio general aplicable al tratamiento de datos que pueda desarrollarse por las Empresas y personal de seguridad privada actualmente en España, viene determinado de conformidad con lo previsto por el nuevo Reglamento General de Protección de Datos (RGDP) y LOPD española, por la Ley de Seguridad Privada, sus normas de desarrollo. De forma complementaria la Empresa de Seguridad y sus clientes deberán sustentar la base jurídica en el tratamiento de datos que puedan recabarse al amparo de las condiciones generales y particulares pactadas en el contrato de arrendamiento de servicios de seguridad privada firmado entre Empresa y cliente.

La Agencia Estatal de Protección de Datos (AEPD), en base a una consulta  sobre si las empresas de seguridad al instalar los sistemas de seguridad, con acceso remoto a las imágenes de  sus clientes cuando salta la alarma, requiere formalizar un contrato de encargado del tratamiento en los términos del artículo 28 RGDP, ha contestado que respecto a los servicios que prestan las empresas de seguridad y sus implicaciones en materia de protección de datos, debemos distinguir:

1. Instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin acceso a las imágenes.

En este caso la empresa de seguridad no posee la condición de encargado de tratamiento correspondiendo al responsable, que la contrató, la adaptación de la instalación a los requisitos normativos.

1. Instalación y/o mantenimiento de los equipos y sistemas de videovigilancia con utilización de los equipos o acceso a las imágenes.

Únicamente en este segundo caso, la empresa de seguridad será considerada encargada del tratamiento y la obligatoriedad de cumplir con las obligaciones de lo dispuesto por el artículo 28 del RGPD.

Ejemplo: Las empresas de seguridad que prestan servicios combinados de central de alarmas y videovigilancia de modo que cuando se activa la alarma se comprueban directamente las imágenes por el personal de la empresa de seguridad.

En definitiva, la empresa de seguridad puede prestar simplemente el servicio de instalación de la videocámara, teniendo el acceso a las imágenes al presidente de la comunidad de propietarios o del garaje. Puede darse el supuesto que además la empresa de seguridad se encarga de dicho tratamiento, y por tanto pueden acceder a las imágenes tanto, el presidente como la empresa contratada siendo en este caso ineludible la celebración de un contrato de acceso a los datos por cuenta de terceros, en virtud de lo previsto en 28.1 y 28.3 del RGPD.

Así, según el artículo 28.1 del RGPD, cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Y de conformidad con el artículo 28.3 del RGPD:

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Este contenido, a figurar en el contrato u acto jurídico de encargado de tratamiento, de forma resumida, sería el siguiente:

• Las instrucciones del responsable del tratamiento.
• El deber de confidencialidad.
• Las medidas de seguridad.
• El régimen de la subcontratación.
• La forma en que el encargado asistirá al responsable en el cumplimiento de responder el ejercicio de los derechos de los afectados.
• La colaboración en el cumplimiento de las obligaciones del responsable.
• El destino de los datos al finalizar la prestación.

Conclusión

La AEPD concluye en virtud de lo expuesto, que resulta necesario que las empresas de seguridad formalicen con sus clientes un contrato de encargado del tratamiento en los términos previstos en el artículo 28 del RGPD, cuando accedan por control remoto a las imágenes, y esto procederá, cuando los clientes de las empresas de seguridad, sean empresas u órganos corporativos.

No obstante sí el servicio está instalado en el domicilio particular de una persona, y sólo se acceda a las imágenes cuando salte el dispositivo de la alarma, en este caso, no se considera al particular responsable del tratamiento, pues la instalación del sistema en su domicilio, excluye la aplicación del RGPD al tratarse de un ámbito personal y doméstico, por expreso mandato de su artículo 2.2.c). Sin embargo, la empresa de seguridad cuando instala el mencionado sistema en el domicilio particular de su cliente, adquiere la condición de responsable del tratamiento de gestión de sistemas de videovigilancia con acceso a las imágenes de sus clientes, cuando éstos sean personas físicas y el sistema de seguridad con acceso a imágenes se efectúe en su domicilio particular, dado que no resulta aplicable la excepción anteriormente mencionada.

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.