¿Es legal la instalación de cámaras de vigilancia por el ayuntamiento en la vía pública?


AEPD 30/09/2024

Se plantea reclamación contra un ayuntamiento por la instalación de cámaras de vigilancia que captaban imágenes de la vía pública sin la debida autorización y señalización.

Y la AEPD considera que no se ha cometido infracción alguna en aplicación del principio de minimización de datos del art. 5.1.c) del RGPD, concluyéndose que no se ha demostrado la captación excesiva de la vía pública, lo que lleva a archivar el procedimiento.

Agencia Española de Protección de Datos, Resolución, 30-09-2024

 

Número de documento: EXP202303521

Fecha de documento: 30/09/2024

Artículo infringido: Artículo 5.1.c) del RGPD

 

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

 ANTECEDENTES

ANTECEDENTES

 

PRIMERO: El AYUNTAMIENTO DE ALBACETE (en lo sucesivo, la parte denunciante), con fecha 13 de febrero de 2023, interpuso denuncia ante la Agencia Española de Protección de Datos. La denuncia se dirige contra D. A.A.A. con NIF ***NIF.1 (en adelante, la parte denunciada), por la instalación de un sistema de videovigilancia ubicado en CALLE ***DIRECCIÓN.1., ALBACETE, existiendo indicios de un posible incumplimiento de lo dispuesto en la normativa de protección de datos de carácter personal.

Los motivos que fundamentan la reclamación son los siguientes:

La parte denunciante aporta Informe de fecha 8 de febrero de 2023, elaborado por agentes de la POLICÍA LOCAL DE ALBACETE, en el que se pone de manifiesto que, tras llevarse a cabo el expediente EXP202300060 en el que se ponía de manifiesto que la parte denunciada era responsable de dos cámaras orientadas a la vía pública, sin que conste autorización administrativa previa para ello y sin que se encontraran debidamente señalizadas mediante los preceptivos carteles informativos de zona videovigilada, han comprobado que continúan estando ubicadas las referidas cámaras grabando vía pública, si bien en las inmediaciones se encuentra instalado un cartel de zona videovigilada.

Los documentos aportados son:

- Informes realizados por las FFCCSE

- Reportaje fotográfico

SEGUNDO: A la parte denunciada se le había remitido un escrito desde la AEPD indicando las obligaciones que tenía en materia de protección de datos y videovigilancia, habiendo sido notificado por vía postal en fecha 31 de enero de 2023, según acuse de recibo que figura en el expediente. Conforme a la nueva denuncia, en el informe señalan que hay cartel de zona videovigilada, le que indica que la parte denunciada, en dicho punto, ha tomado medidas, pero en el segundo párrafo del informe señalan que las cámaras graban vía pública, sin que conste en el Informe, que el reclamado haya acreditado lo contrario.

TERCERO: Con fecha 2 de octubre de 2023, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), por la presunta infracción del artículo 5.1.c) del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), tipificada en el artículo 83.5 del RGPD.

CUARTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP, la parte reclamada presentó escrito de alegaciones en el que, en síntesis, manifestaba que:

Existe un sistema de videovigilancia instalado en la fachada de la vivienda. En el momento de la instalación del sistema se procedió a instalar unas máscaras de privacidad para evitar la captación de la vía pública. Para garantizar la seguridad de mi vivienda resulta necesario captar una mínima porción de la vía pública, siendo totalmente imposible ubicar las cámaras en otra ubicación.

Con fecha 31 de octubre de 2023, la empresa instaladora de las cámaras de seguridad certifica:

Que las cámaras de seguridad instaladas se orientaron captando exclusivamente la propiedad privada del titular, evitando enfocar más allá de las inmediaciones de las entradas al inmueble.

Aporta imágenes de las cámaras, su ubicación y el espacio de vía pública que captan.

QUINTO: Con fecha 22 de marzo de 2024 se formuló propuesta de resolución, proponiendo que la Directora de la Agencia Española de Protección de Datos sancione a D. A.A.A. con NIF ***NIF.1, por una infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5 del RGPD, con una multa de 500 € (Quinientos euros).

SEXTO: En fecha 26 de abril de 2024, la parte reclamada presenta alegaciones a la propuesta de resolución en la que, en síntesis, manifiesta:

El art. 5.1.c) del RGPD no hace referencia ninguna infracción, sino que se limita a establecer unos principios en materia de datos personales.

Tampoco el art. 83.5 del citado Reglamento hace mención la tipificación de posibles infracciones, pues lo único que contempla es la cuantificación o graduación de las posibles sanciones.

De aceptarse la propuesta se incurriría en una flagrante vulneración de un principio básico en materia sancionadora como es el de tipicidad, dejándome en una clara situación de indefensión, puesto que se solicita la imposición de una sanción económica sin que se cite el precepto concreto donde se defina y tipifique la infracción imputada y la graduación de la misma.

En el caso que nos ocupa, no hay duda de que el principio de “minimización de datos” se ha cumplido escrupulosamente, ya que aporté un informe de la empresa instaladora de las cámaras que especifica que las cámaras captan exclusivamente imágenes de la entrada del inmueble. Y la propia empresa manifiesta que ha colocado los correspondientes carteles de señalización de presencia de las cámaras.

Adjunté también unas fotografías en las que se puede comprobar la ubicación de las cámaras.

Acompaño nuevo informe de la empresa instaladora donde se hace constar que la ubicación y alteración de las cámaras de seguridad se ha mantenido inalterada “desde su puesta en funcionamiento”, lo que descarta que en un momento anterior tuvieran mayor alcance; sin que quepa llegar a una conclusión distinta con la sola base de las denuncias formuladas por los agentes de la Policía Local.

De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:

 HECHOS

HECHOS

 

PRIMERO: Consta en el expediente Informe de 8 de febrero de 2023, de la POLICÍA LOCAL DE ALBACETE, en el que afirma que, tras llevarse a cabo el expediente EXP202300060 la parte denunciada es responsable de dos cámaras orientadas a la vía pública, sin que conste autorización administrativa previa para ello y sin que se encontraran debidamente señalizadas mediante los preceptivos carteles informativos de zona videovigilada. Asimismo, indica el informe que se ha comprobado que continúan estando ubicadas las referidas cámaras grabando vía pública, si bien en las inmediaciones se encuentra instalado un cartel de zona videovigilada.

SEGUNDO: La parte reclamada manifiesta que existe un sistema de videovigilancia instalado en la fachada de la vivienda. En el momento de la instalación del sistema se procedió a instalar unas máscaras de privacidad para evitar la captación de la vía pública. Para garantizar la seguridad de la vivienda resulta necesario captar una mínima porción de la vía pública, siendo totalmente imposible ubicar las cámaras en otra ubicación.

La empresa instaladora de las cámaras de seguridad certifica que las cámaras de seguridad instaladas se orientaron captando exclusivamente la propiedad privada del titular, evitando enfocar más allá de las inmediaciones de las entradas al inmueble.

Aporta imágenes de las cámaras, su ubicación y el espacio de vía pública que captarían.

 FUNDAMENTOS DE DERECHO

FUNDAMENTOS DE DERECHO

 

I Competencia

De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Respuesta a Alegaciones

En respuesta a las alegaciones presentadas por la parte reclamada a la propuesta de resolución se debe señalar que esta Agencia ha procedido a examinar las pruebas aportadas concluyendo que, efectivamente, no obra en el expediente prueba de que se haya producido una captación excesiva de la vía pública por lo que, en aplicación del principio de presunción de inocencia, se concluye que no cabe proponer resolución sancionadora en el presente expediente, al no quedar demostrada infracción a la normativa de protección de datos.

III La imagen es un dato personal

La imagen física de una persona, a tenor del artículo 4.1 del RGPD, es un dato personal y su protección, por tanto, es objeto de dicho Reglamento. En el artículo 4.2 del RGPD se define el concepto de “tratamiento” de datos personales.

Las imágenes generadas por un sistema de cámaras o videocámaras son datos de carácter personal, por lo que su tratamiento está sujeto a la normativa de protección de datos.

Es, por tanto, pertinente analizar si el tratamiento de datos personales (imagen de las personas físicas) llevado a cabo a través del sistema de videovigilancia denunciado es acorde con lo establecido en el RGPD.

IV

El artículo 6.1 del RGPD establece los supuestos que permiten considerar lícito el tratamiento de datos personales.

En cuanto al tratamiento con fines de videovigilancia, el artículo 22 de la LOPDGDD establece que las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

El tratamiento de datos personales está sometido al resto de los principios del tratamiento contenidos en el artículo 5 del RGPD. Destacaremos el principio de minimización de datos contenido en el artículo 5.1.c) del RGPD que dispone que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

Esto significa que en un tratamiento concreto sólo pueden tratarse los datos personales oportunos, que vengan al caso y que sean los estrictamente necesarios para cumplir la finalidad para la que son tratados. El tratamiento debe ser ajustado y proporcional a la finalidad a la que se dirige. La pertinencia en el tratamiento de los datos debe producirse tanto en el momento de la recogida de los datos como en el posterior tratamiento que se realice de los mismos.

Conforme a lo antedicho, debe restringirse el tratamiento de los datos excesivos o bien procederse a la supresión de los mismos.

La aplicación del principio de minimización de datos en materia de videovigilancia comporta que no puedan captarse imágenes de la vía pública, puesto que el tratamiento de imágenes en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad previa autorización gubernativa.

En algunas ocasiones, para la protección de espacios privados, donde se hayan instalado cámaras en fachadas o en el interior, puede ser necesario para garantizar la finalidad de seguridad la grabación de una porción de la vía pública.

Es decir, las cámaras y videocámaras instaladas con fines de seguridad no podrán obtener imágenes de la vía pública salvo que resulte imprescindible para dicho fin, o resulte imposible evitarlo por razón de la ubicación de aquéllas. Y, en tal caso extraordinario, las cámaras sólo podrán captar la porción mínima necesaria para preservar la seguridad de las personas y bienes, así como de sus instalaciones.

En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y, en particular, no pudiendo afectar a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.

Las cámaras instaladas no pueden obtener imágenes de espacio privativo de tercero y/o espacio público sin causa justificada debidamente acreditada, ni pueden afectar a la intimidad de transeúntes que transiten libremente por la zona.

No está permitida, por tanto, la colocación de cámaras hacia la propiedad privada de vecinos con la finalidad de intimidarlos o afectar a su ámbito privado sin causa justificada.

Tampoco pueden captarse ni grabarse imágenes en espacios propiedad de terceros sin el consentimiento de sus titulares, o, en su caso, de las personas que en ellos se encuentren.

Asimismo, resulta desproporcionado captar imágenes en espacios privados, tales como vestuarios, taquillas o zonas de descanso de trabajadores.

V Obligaciones en materia de videovigilancia

De conformidad con lo expuesto, el tratamiento de imágenes a través de un sistema de videovigilancia, para ser conforme con la normativa vigente, debe cumplir los requisitos siguientes:

1.- La personas físicas o jurídicas, públicas o privadas, pueden establecer un sistema de videovigilancia con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

Se ha de valorar si la finalidad pretendida puede lograrse de otra forma menos intrusiva para los derechos y libertades de los ciudadanos. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios, considerando 39 del RGPD.

2.- Las imágenes obtenidas no puedan utilizarse para una finalidad ulterior incompatible con la que motivó la instalación del sistema de videovigilancia.

3.- Se deberá cumplir con el deber de informar a los afectados previsto en los artículos 12 y 13 del RGPD, y 22 de la LOPDGDD.

En tal sentido, el artículo 22 de la LOPDGDD prevé en relación con la videovigilancia un sistema de “información por capas”.

La primera capa ha de referirse, al menos, a la existencia del tratamiento (videovigilancia), la identidad del responsable, la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del RGPD y dónde obtener más información sobre el tratamiento de los datos personales.

Esta información se contendrá en un dispositivo colocado en un lugar suficientemente visible y debe suministrarse por adelantado.

La información de la segunda capa debe estar disponible en un lugar fácilmente accesible al afectado, ya sea una hoja informativa en una recepción, cajero, etc…, colocada en un espacio público visible o en una dirección web, y ha de referirse al resto de elementos del artículo 13 del RGPD.

4.- El tratamiento de las imágenes mediante la instalación de sistemas de cámaras o videocámaras deberá ser lícito y ajustarse al principio de proporcionalidad y al de minimización de datos, en los términos ya señalados.

5.- Las imágenes podrán conservarse por un plazo máximo de un mes, salvo en aquellos supuestos en que se deban conservar para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

En este segundo supuesto, deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

6.- El responsable deberá llevar un registro de actividades de los tratamientos efectuados bajo su responsabilidad en el que se incluya la información a la que hace referencia el artículo 30.1 del RGPD.

7.- El responsable deberá realizar un análisis de riesgos o, en su caso, una evaluación de impacto en la protección de datos, para detectar los derivados de la implantación del sistema de videovigilancia, valorarlos y, en su caso, adoptar las medidas de seguridad apropiadas.

8.- Cuando se produzca una brecha de seguridad que afecte a los tratamientos de cámaras con fines de seguridad, siempre que exista riesgo para los derechos y libertades de las personas físicas, deberá notificarlo a la AEPD en un plazo máximo de 72 horas.

Se entiende por brecha de seguridad la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

9.- Cuando el sistema esté conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada que reúna los requisitos contemplados en el artículo 5 de la Ley 5/2014 de Seguridad Privada, de 4 de abril.

La Agencia Española de Protección de Datos ofrece a través de su página web [https://www.aepd.es] acceso a:

• la legislación en materia de protección de datos personales, incluyendo el RGPD y la LOPDGDD (apartado “Informes y resoluciones” / “normativa”),

• la Guía sobre el uso de videocámaras para seguridad y otras finalidades,

• la Guía para el cumplimiento del deber de informar (ambas disponibles en el apartado “Guías y herramientas”).

También resulta de interés, en caso de realizar tratamientos de datos de bajo riesgo, la herramienta gratuita Facilita (en el apartado “Guías y herramientas”), que, mediante unas preguntas concretas, permite valorar la situación del responsable respecto del tratamiento de datos personales que lleva a cabo, y en su caso, generar diversos documentos, cláusulas informativas y contractuales, así como un anexo con medidas de seguridad orientativas consideradas mínimas.

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42,

VI Conclusión

En base a lo expuesto, analizadas las alegaciones y pruebas aportadas, en particular certificado de que estaba activa la máscara de privacidad e imágenes del campo de visión, cabe concluir que no queda acreditado que la parte reclamada haya captado imágenes excesivas de la vía pública.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos:

 RESUELVE

RESUELVE

 

PRIMERO: ORDENAR el ARCHIVO del presente procedimiento al no haber quedado acreditado la comisión de infracción administrativa alguna en la materia que nos ocupa.

SEGUNDO: NOTIFICAR la presente resolución a A.A.A..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos