En este Ayuntamiento, existiendo Reglamento de utilización del polideportivo municipal que data de 2006 (de carácter muy básico, es prácticamente un mero recordatorio del sentido común), el alcalde ha ordenado a la monitora del polideportivo (plan de empleo, subvencionado por la Comunidad autónoma), lo siguiente:
“1) Que se lleve un registro de acceso y salida de las instalaciones, impidiendo el acceso de toda persona que no lo rellene.
2) Que los vestuarios, que no aseos, permanezcan cerrados con llave custodiada por el/la antedicho/a trabajador/a, que se proceda a su apertura bajo petición del usuario, y a comprobar en el momento de su entrada y salida el correcto estado de las instalaciones para, una vez finalizado el uso, volver a cerrar el vestuario.”
La gente se está negando a dar esa información y acatar dichas instrucciones, y se están dando de baja del polideportivo. La Orden ha carecido de todo tipo de procedimiento e informe en materia de protección de datos, ni tampoco se ha modificado el Reglamento.
¿El Ayuntamiento puede llevar un registro de entrada y salida de cada vecino? ¿Con qué motivos puede recabarse esa información y el tratamiento de los mismos?
La entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de estos datos, publicado en el Diario Oficial de la Unión Europea de 4 de mayo de 2016, que deroga la Directiva 95/46/CE -RGPD- incorporado al ordenamiento interno mediante la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPD-, tiene incidencia en el procedimiento de recopilación de datos de carácter personal de los usuarios de las instalaciones municipales.
El registro de acceso y salida de las instalaciones constituye un “tratamiento” recogido en el art. 4 RGPD, que lo define como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Dicho tratamiento requiere que el ayuntamiento identifique con precisión las finalidades y la base jurídica de los tratamientos de datos que se van a llevar a cabo, ya sea, porque el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, ya sea, porque es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Para el caso que nos ocupa, el control de acceso y salida del polideportivo municipal sólo tendría fundamento en la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. A cuyos efectos, el procedimiento que la normativa reseñada habilita es el de instalación de cámaras de seguridad o video-vigilancia, según lo dispuesto en la LOPD, en cuyos arts. 22 y 27 se contiene una regulación específica. Así, el art. 22 LOPD, bajo el epígrafe “Tratamientos con fines de videovigilancia”, dispone que:
Al margen de un sistema de videovigilancia, la iniciativa del alcalde para registrar a los usuarios del polideportivo exige que la recogida y tratamiento de los datos personales se base en el previo consentimiento expreso e informado de los usuarios, siendo ésta la única base jurídica de dicho tratamiento, sin que la falta de consentimiento autorice a prohibir la entrada. Dicho consentimiento debe tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los afectados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa. Este consentimiento debe ser “inequívoco”, lo que supone que se preste mediante una manifestación del afectado o mediante una clara acción afirmativa. Asimismo, se debe proporcionar la siguiente información a los interesados (arts. 13 y 14 RGPD): los datos de contacto del Delegado de Protección de Datos (obligatorio para la Administración Local); la base jurídica o legitimación del tratamiento; el plazo o criterios de conservación de la información; la existencia de decisiones automatizadas o elaboración de perfiles; y el derecho a presentar una reclamación ante las autoridades de control.
Además, el art.30 RGPD establece la obligación de llevar y mantener actualizado y a disposición de las autoridades de protección de datos un Registro de Actividades de Tratamiento, cuyo contenido refleja el mencionado precepto. Este registro sustituye a la obligación de notificar los ficheros y tratamientos a las autoridades de protección de datos, que desaparece tras la reforma. El registro podrá organizarse sobre la base de las informaciones ya proporcionadas en las notificaciones de los ficheros existentes. De este modo, la implantación de un sistema de recogida de los datos de los usuarios del polideportivo que voluntariamente accedan a cumplimentar el formulario que les proporciona la monitora del polideportivo requiere un análisis de riesgos y que se establezcan las medidas de seguridad adecuadas a las características de los tratamientos, debiéndose establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas, en particular para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad a las autoridades de protección de datos y, si fuera necesario, a los interesados.
1ª. La implantación de un registro de acceso y salida de las instalaciones del polideportivo municipal mediante un sistema de recogida de los datos de los usuarios en el formulario que les proporciona la monitora del polideportivo constituye un tratamiento de datos recogido en art. 4 RGPD.
2ª. Cualquier tratamiento requiere que el ayuntamiento identifique con precisión las finalidades y la base jurídica de los tratamientos de datos que se van a llevar a cabo, ya sea, porque es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, ya sea, porque es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
3ª. Para el caso que nos ocupa, el control de acceso y salida del polideportivo municipal sólo tendría fundamento en la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. A cuyos efectos, el procedimiento que la normativa reseñada habilita es el de instalación de cámaras de seguridad o video-vigilancia, según lo dispuesto en la LOPD, en cuyos arts. 22 y 27 se contiene una regulación específica.
4ª. La iniciativa del alcalde para registrar a los usuarios del polideportivo mediante la recogida de sus datos en un formulario exige que dicho tratamiento de datos personales se base en el previo consentimiento expreso e informado de los usuarios, siendo ésta la única base jurídica de dicho tratamiento, sin que la negativa a cumplimentar el mismo habilite al ayuntamiento a restringir al ciudadano la entrada a la instalación por dicho motivo.
5ª. Ya sea mediante un sistema de cámaras de videovigilancia, o mediante la cumplimentación voluntaria del formulario por los usuarios del polideportivo, el art. 30 RGPD establece la obligación de llevar y mantener actualizado y a disposición de las autoridades de protección de datos un Registro de Actividades de Tratamiento, cuyo contenido refleja el mencionado precepto.