ME RALLAN EL COCHE EN EL GARAJE. ¡ VOY A GRABARLO !

Hay que tener en cuenta que se aplicará la legislación de protección de datos siempre que el garaje forme parte de un espacio compartido por el que puedan transitar el resto de los propietarios o terceros que acceden al mismo.

Si van a grabarse las imágenes, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD).

Además se colocará en lugar visible al menos un cartel que informe de que se está en una zona videovigilada (con la indicación clara de la identidad del responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos). De igual modo, se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos.

Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en las actas correspondientes. Así, no se captarán imágenes de plazas de aparcamiento ajenas, ni imágenes de la vía pública, terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Y si van a utilizarse cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.

La contratación de un servicio de videovigilancia externo, o la instalación de las cámaras por un tercero, no exime a su titular del cumplimiento de la legislación de protección de datos.

El acceso a las imágenes será exclusivamente del responsable del sistema sin que puedan ser accesibles por personas distintas; y si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por la persona que pueda acceder a dichas imágenes. A las imágenes grabadas accederá sólo la persona autorizada que deberá introducir un código de usuario y una contraseña.

Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación. Las imágenes que se utilicen para denunciar delitos o infracciones -como puede ser el caso- se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que lo requieran. No podrán utilizarse para otro fin. La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a este para ceder datos a las mismas o a los Juzgados y Tribunales que lo requieran.

(Fuente: AEPD)

IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA LAS EMPRESAS EN EL PERIODO DE TRANSICIÓN

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

1. Consentimiento

El RGPD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

2. Información

En materia de información, el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el Reglamento sea de aplicación.

3. Evaluaciones de impacto sobre la protección de datos

La realización de Evaluaciones de Impacto sobre la protección de datos -aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. No debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

4. Certificación

El Reglamento concede una especial atención a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. La AEPD entiende que, entre todas las posibilidades, lo mejor es encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

5. Delegados de protección de datos. Certificación

El Reglamento requiere que los Delegados de Protección de Datos (DPD, o DPO, Data Protection Officer) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. La AEPD considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión, pero sí está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos.

6. Relación entre responsables y encargados

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre ésta y el RGPD en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas:

-Abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones.

-Empezar a incluir, en las nuevas cláusulas contractuales, todos los elementos que el Reglamento considera necesarios.

7. Herramientas para pymes y herramientas sectoriales

La AEPD está trabajando en la preparación de herramientas que ayuden, a responsables y encargados, a entender y cumplir el Reglamento. Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

(Fuente: Agencia Española de Protección de Datos)

INSTALACIÓN DE CÁMARAS DE VIDEOVIGILANCIA EN COMUNIDADES DE PROPIETARIOS

En una de sus “fichas prácticas”, la Agencia Española de Protección de Datos (AEPD) indica que para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de Propietarios, que quedará reflejado en las actas de dicha Junta y que se recomienda que en el acuerdo se reflejen algunas de las características del sistema de videovigilancia, como el número de cámaras o el espacio captado por éstas.

Siempre que vayan a grabarse imágenes de personas, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de la AEPD.

Deberán colocarse (en los distintos accesos a la zona video vigilada y, en lugar visible) uno o varios carteles en los que se informe que se accede a una zona videovigilada indicando en ellos de forma clara la identidad del responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos. También se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos. Esta información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.

Si se pretende que las imágenes puedan ser utilizadas para el control de los trabajadores, existenrequisitos adicionales que hay que cumplir.

No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Y si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.

La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietariosy en ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca) que solo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Una vez instalado el sistema, se recomienda el cambio de la contraseña, evitando las fácilmente deducibles.

El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido y las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.

Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. No podrán utilizarse para otro fin.

La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a éste para ceder datos a las mismas o a los Juzgados y Tribunales que los requieran.